@rfcbot fusion fcp

Le membre de l'équipe @withoutboats a proposé de fusionner cela. L'étape suivante est l'examen par le reste des membres de l'équipe tagués :

• [x] @Centril
• [x] @cramertj
• [x] @eddyb
• [x] @joshtriplett
• [x] @nikomatsakis
• [ ] @pnkfelix
• [x] @scottmcm
• [x] @sansbateaux

Préoccupations :

• Implementation -work-blocking-stabilization résolu par https://github.com/rust-lang/rust/issues/62149#issuecomment -517418610

Une fois qu'une majorité d'examinateurs approuve (et au plus 2 approbations sont en attente), cela entrera dans sa dernière période de commentaires. Si vous repérez un problème majeur qui n'a été soulevé à aucun moment de ce processus, veuillez en parler !

Consultez ce document pour plus d'informations sur les commandes que les membres de l'équipe tagués peuvent me donner.

(Il suffit d'enregistrer les bloqueurs existants dans le rapport ci-dessus pour s'assurer qu'ils ne glissent pas)

@rfcbot concerne la mise en œuvre-blocage-des-travail-stabilisation

Le membre de l'équipe ... a proposé de fusionner ce

Comment fusionner un problème Github (pas une pull request) ?

@vi Le bot est juste un peu idiot et ne vérifie pas s'il s'agit d'un problème ou de relations publiques :) Vous pouvez remplacer "fusionner" par "accepter" ici.

Wow, merci pour le résumé complet! Je n'ai suivi que de manière tangentielle, mais je suis complètement convaincu que vous maîtrisez tout.

@rfcbot examiné

Serait-il possible d'ajouter explicitement « Triage AsyncAwait-Unclear issues » aux bloqueurs de stabilisation (et/ou d'enregistrer une préoccupation à ce sujet) ?

J'ai https://github.com/rust-lang/rust/issues/60414 que je pense important (évidemment, c'est mon bug :p), et j'aimerais au moins qu'il soit explicitement différé avant la stabilisation :)

Je voudrais juste remercier la communauté pour l'effort que les équipes Rust ont mis dans cette fonctionnalité ! Il y a eu beaucoup de conception, de discussions et quelques pannes de communication, mais au moins moi, et j'espère que beaucoup d'autres, sont convaincus qu'à travers tout cela, nous avons trouvé la meilleure solution possible pour Rust. :tada:

(Cela dit, j'aimerais voir une mention des problèmes de pontage vers les API système basées sur l'achèvement et l'annulation asynchrone dans les possibilités futures. TL; DR, ils doivent toujours contourner les tampons possédés. C'est un problème de bibliothèque, mais un avec mention.)

J'aimerais également voir une mention des problèmes avec les API basées sur l'achèvement. (voir ce fil interne pour le contexte) Compte tenu de l'IOCP et de l'introduction de io_uring , qui pourrait devenir The Way for async IO sur Linux, je pense qu'il est important d'avoir une voie claire pour les gérer. Les idées de suppression asynchrone hypothétiques d'IIUC ne peuvent pas être implémentées en toute sécurité, et le passage des tampons possédés sera moins pratique et potentiellement moins performant (par exemple en raison d'une localité pire ou en raison de copies supplémentaires).

@newpavlov J'ai implémenté des choses similaires pour Fuchsia, et il est tout à fait possible de le faire sans drop async. Il existe différentes manières de procéder, telles que l'utilisation de la mise en commun des ressources où l'acquisition d'une ressource doit potentiellement attendre la fin d'un travail de nettoyage sur les anciennes ressources. L'API future actuelle peut et a été utilisée pour résoudre efficacement ces problèmes dans les systèmes de production.

Cependant, ce problème concerne la stabilisation d'async/wait, qui est orthogonale à la conception des futures API, qui s'est déjà stabilisée. N'hésitez pas à poser d'autres questions ou à ouvrir un sujet de discussion sur le future-rs repo.

@Ekleog

Serait-il possible d'ajouter explicitement « Triage AsyncAwait-Unclear issues » aux bloqueurs de stabilisation (et/ou d'enregistrer une préoccupation à ce sujet) ?

Oui, c'est quelque chose que nous faisons chaque semaine. WRT ce problème spécifique (#60414), je pense qu'il est important et j'aimerais le voir résolu, mais nous n'avons pas encore été en mesure de décider s'il doit ou non bloquer la stabilisation, d'autant plus qu'il est déjà observable dans -> impl Trait fonctions.

@cramertj Merci ! Je pense que le problème du #60414 est essentiellement "l'erreur peut survenir très rapidement maintenant", alors qu'avec -> impl Trait il semble que personne ne l'ait remarqué auparavant - alors ce n'est pas grave si cela est de toute façon reporté, quelques problèmes devra :) (FWIW il est apparu en code naturel dans une fonction où je renvoie à la fois () à un endroit et T::Assoc à un autre, ce que l'IIRC m'a empêché de compiler -- je n'ai pas vérifié le code depuis l'ouverture du #60414, alors peut-être que mes souvenirs sont faux)

@Ekleog Ouais c'est logique ! Je peux certainement voir pourquoi ce serait pénible - j'ai créé un flux zulip pour plonger davantage dans ce problème spécifique.

EDIT : tant pis, j'ai raté la cible 1.38 .

@cramertj

Il existe différentes manières de procéder, telles que l'utilisation de la mise en commun des ressources où l'acquisition d'une ressource doit potentiellement attendre la fin d'un travail de nettoyage sur les anciennes ressources.

Ne sont-ils pas moins efficaces que de conserver des tampons dans le cadre de l'état futur ? Ma principale préoccupation est que la conception actuelle ne sera pas à coût zéro (dans le sens où vous pourrez créer un code plus efficace en supprimant l'abstraction async ) et moins ergonomique sur les API basées sur la complétion, et il y a pas de moyen clair pour le réparer. Ce n'est en aucun cas un obstacle, mais je pense qu'il est important de ne pas oublier de telles lacunes dans la conception, d'où la demande de le mentionner dans l'OP.

@le duc

L'équipe lang peut bien sûr en juger mieux que moi, mais retarder à 1.38 pour assurer une implémentation stable semblerait beaucoup plus judicieux.

Ce problème cible 1.38, voir la première ligne de description.

@huxi merci, j'ai raté ça. J'ai édité mon commentaire.

@newpavlov

Ne sont-ils pas moins efficaces que de conserver des tampons dans le cadre de l'état futur ? Ma principale préoccupation est que la conception actuelle ne sera pas à coût nul (dans le sens où vous pourrez créer un code plus efficace en supprimant l'abstraction asynchrone) et moins ergonomique sur les API basées sur la complétion, et qu'il n'y a pas de moyen clair de corriger ce. Ce n'est en aucun cas un obstacle, mais je pense qu'il est important de ne pas oublier de telles lacunes dans la conception, d'où la demande de le mentionner dans l'OP.

Non, pas nécessairement, mais déplaçons cette discussion vers un problème sur un fil distinct, car il n'est pas lié à la stabilisation de async/wait.

(Cela dit, j'aimerais voir une mention des problèmes de pontage vers les API système basées sur l'achèvement et l'annulation asynchrone dans les possibilités futures. TL; DR, ils doivent toujours passer autour des tampons possédés. C'est un problème de bibliothèque, mais un avec mention.)

J'aimerais également voir une mention des problèmes avec les API basées sur l'achèvement. (voir ce fil de discussion interne pour le contexte) Compte tenu de l'IOCP et de l'introduction de io_uring, qui peut devenir la voie pour les IO asynchrones sous Linux, je pense qu'il est important d'avoir une voie claire à suivre pour les gérer.

Je suis d'accord avec Taylor sur le fait que discuter des conceptions d'API dans cet espace de problème serait hors sujet, mais je souhaite aborder un aspect spécifique de ces commentaires (et cette discussion autour de io_uring en général) qui est pertinent pour la stabilisation async/wait : le problème de Horaire.

io_uring est une interface qui arrive sur Linux cette année 2019. Le projet Rust travaille sur l'abstraction du futur depuis 2015, il y a quatre ans. Le choix fondamental de privilégier un sondage basé sur une API basée sur l'achèvement s'est produit en 2015 et 2016. À RustCamp en 2015, Carl Lerche a Dans cet article de blog en 2016, Aaron Turon a parlé des avantages de la création d'abstractions de niveau supérieur. Ces décisions ont été prises il y a longtemps et nous n'aurions pas pu arriver au point où nous en sommes aujourd'hui sans elles.

Les suggestions que nous devrions revoir notre modèle de futur sous-jacent sont des suggestions que nous devrions revenir à l'état dans lequel nous étions il y a 3 ou 4 ans, et recommencer à partir de ce point. Quel type d'abstraction pourrait couvrir un modèle d'E/S basé sur la complétion sans introduire de surcharge pour les primitives de niveau supérieur, comme l'a décrit Aaron ? Comment allons-nous mapper ce modèle à une syntaxe qui permet aux utilisateurs d'écrire « Rouille normale + annotations mineures » comme le fait async/wait ? Comment pourrons-nous gérer l'intégration de cela dans notre modèle de mémoire, comme nous l'avons fait pour ces machines à états avec broche ? Essayer de fournir des réponses à ces questions serait hors sujet pour ce fil; le fait est que leur répondre et prouver que les réponses sont correctes, c'est du travail. Ce qui équivaut à une solide décennie d'années de travail entre les différents contributeurs jusqu'à présent devrait être refait.

L'objectif de Rust est d'expédier un produit que les gens peuvent utiliser, et cela signifie que nous devons expédier . Nous ne pouvons pas toujours nous arrêter pour regarder vers l'avenir ce qui pourrait devenir un gros problème l'année prochaine et redémarrer notre processus de conception pour l'intégrer. Nous faisons de notre mieux en fonction de la situation dans laquelle nous nous trouvons. Évidemment, il peut être frustrant d'avoir l'impression que nous avons à peine raté quelque chose, mais dans l'état actuel des choses, nous n'avons pas non plus une vue complète a) du meilleur résultat pour la gestion de io_uring sera, b) quelle sera l'importance de io_uring dans l'écosystème dans son ensemble. Nous ne pouvons pas revenir sur 4 ans de travail sur cette base.

Il existe déjà des limitations similaires, probablement encore plus graves, de Rust dans d'autres espaces. Je veux en souligner un que j'ai examiné avec Nick Fitzgerald l'automne dernier : l'intégration de wasm GC. Le plan de gestion des objets gérés dans wasm consiste essentiellement à segmenter l'espace mémoire, de sorte qu'ils existent dans un espace d'adressage distinct des objets non gérés (en fait, un jour dans de nombreux espaces d'adressage distincts). Le modèle de mémoire de Rust n'est tout simplement pas conçu pour gérer des espaces d'adressage séparés, et tout code dangereux qui traite de la mémoire de tas suppose aujourd'hui qu'il n'y a qu'un seul espace d'adressage. Bien que nous ayons esquissé à la fois des solutions techniques révolutionnaires et techniquement non révolutionnaires, mais extrêmement perturbatrices, la voie à suivre la plus probable est d'accepter que notre histoire wasm GC n'est peut-être pas parfaitement optimale , car nous traitons avec les limites de Rust comme ça existe.

Un aspect intéressant que nous stabilisons ici est que nous rendons disponibles des structures auto-référentielles à partir de code sécurisé. Ce qui rend cela intéressant, c'est que dans un Pin<&mut SelfReferentialGenerator> , nous avons une référence mutable (stockée sous forme de champ dans le Pin ) pointant vers l'état entier du générateur, et nous avons un pointeur à l'intérieur de cet état pointant à un autre morceau de l'État. Ce pointeur interne aliase avec la référence mutable !

La référence mutable, à ma connaissance, ne s'habitue pas à accéder réellement à la partie de la mémoire que le pointeur vers un autre champ pointe ainsi. (En particulier, il n'y a pas clone méthode

Il y a probablement peu de choses que nous puissions faire à ce sujet à ce stade, en particulier puisque Pin est déjà stable, mais je pense qu'il vaut la peine de souligner que cela compliquera considérablement quelles que soient les règles pour lesquelles l'alias est autorisé et qui n'est pas. Si vous pensiez que Stacked Borrows était compliqué, préparez-vous à ce que les choses empirent.

Cc https://github.com/rust-lang/unsafe-code-guidelines/issues/148

La référence mutable, à ma connaissance, ne s'habitue pas à accéder réellement à la partie de la mémoire que le pointeur vers un autre champ pointe ainsi.

Les gens ont parlé de faire en sorte que tous ces types de coroutines implémentent Debug , il semble que cette conversation devrait également intégrer des directives de code non sécurisées pour être sûr de ce qu'il est sûr de déboguer.

Les gens ont parlé de faire en sorte que tous ces types de coroutines implémentent le débogage, il semble que cette conversation devrait également intégrer des directives de code non sécurisées pour être sûr de ce qu'il est sûr de déboguer.

En effet. Une telle implémentation Debug , si elle imprime les champs auto-référencés, interdirait probablement les optimisations basées sur les références au niveau MIR dans les générateurs.

Mise à jour concernant les bloqueurs :

Les deux bloqueurs de haut niveau ont tous les deux fait de gros progrès et pourraient en fait être tous les deux terminés (?). Plus d'infos de @cramertj @tmandry et @nikomatsakis à ce sujet seraient super :

• Le problème des durées de vie multiples aurait dû être résolu par le #61775
• La question de la taille est plus ambiguë ; il y aura toujours plus d'optimisations à faire, mais je pense que le fruit à portée de main d'éviter une augmentation exponentielle évidente des footguns a été en grande partie résolu?

Cela laisse la documentation et les tests comme les principaux obstacles à la stabilisation de cette fonctionnalité. @Centril a toujours exprimé des inquiétudes quant au fait que la fonctionnalité n'est pas suffisamment testée ou raffinée ; @Centril y a-t-il un endroit où vous avez énuméré des problèmes spécifiques qui peuvent être cochés pour conduire cette fonctionnalité à la stabilisation ?

Je ne sais pas si quelqu'un a des papiers. Quiconque souhaite se concentrer sur l'amélioration de la documentation dans l'arborescence dans le livre, la référence, etc. rendrait un grand service ! La documentation hors de l'arbre comme dans le référentiel à terme ou areweasyncyet a un peu de temps supplémentaire.

À partir d'aujourd'hui, nous avons 6 semaines jusqu'à ce que la version bêta soit coupée, alors disons que nous avons 4 semaines (jusqu'au 1er août) pour faire ces choses pour être sûr que nous ne glisserons pas 1,38.

La question de la taille est plus ambiguë ; il y aura toujours plus d'optimisations à faire, mais je pense que le fruit à portée de main d'éviter une augmentation exponentielle évidente des footguns a été en grande partie résolu?

Je crois que oui, et d'autres ont également été fermés récemment; mais il y a d'autres problèmes de blocage .

@Centril y a-t-il un endroit où vous avez énuméré des problèmes spécifiques qui peuvent être cochés pour conduire cette fonctionnalité à la stabilisation ?

Il y a un papier dropbox avec une liste de choses que nous voulions tester et il y a https://github.com/rust-lang/rust/issues/62121. En dehors de cela, je vais essayer de réexaminer les domaines qui, selon moi, sont sous-testés dès que possible. Cela dit, certains domaines sont maintenant assez bien testés.

Quiconque souhaite se concentrer sur l'amélioration de la documentation dans l'arborescence dans le livre, la référence, etc. rendrait un grand service !

En effet; Je serais heureux d'examiner les PR à la référence. Aussi cc @ehuss.

Je voudrais également déplacer async unsafe fn du MVP dans sa propre porte de fonctionnalité parce que je pense que a) il a été peu utilisé, b) il n'est pas particulièrement bien testé, c) il se comporte apparemment bizarrement parce que le .await n'est pas celui où vous écrivez unsafe { ... } et cela est compréhensible à partir du "point de vue d'implémentation qui fuit" mais pas tant à partir d'un point de vue d'effets, d) il a fait l'objet de peu de discussions et n'a pas été inclus dans la RFC ni ce rapport, et e) nous l'avons fait avec const fn et cela a bien fonctionné. (Je peux rédiger la fonction de synchronisation PR)

Je suis d' async unsafe fn déstabiliser

J'ai créé https://github.com/rust-lang/rust/issues/62500 pour déplacer async unsafe fn vers une porte de fonctionnalité distincte et je l'ai répertorié comme bloqueur. Nous devrions probablement aussi créer un problème de suivi approprié, je suppose.

Je suis fortement sceptique quant à l'obtention d'un design différent pour async unsafe fn et je suis surpris par la décision de ne pas l'inclure dans le cycle initial de stabilisation. J'ai écrit un certain nombre de async fn qui sont dangereux et qui les rendront async fn really_this_function_is_unsafe() ou quelque chose, je suppose. Cela semble être une régression dans une attente de base des utilisateurs de Rust en termes de capacité à définir des fonctions nécessitant unsafe { ... } appel de async / await est inachevé.

@cramertj semble que nous devrions discuter! J'ai créé un sujet Zulip pour cela , pour essayer d'éviter que ce problème de suivi ne soit trop surchargé.

Concernant les tailles futures, les cas qui affectent chaque point await sont optimisés. Le dernier problème que je connaisse est le #59087, où tout emprunt d'un futur avant d'attendre peut doubler la taille allouée pour ce futur. C'est assez malheureux, mais c'est quand même un peu mieux que là où nous étions avant.

J'ai une idée de la façon de résoudre ce problème, mais à moins que cela ne soit beaucoup plus courant que je ne le pense, cela ne devrait probablement pas être un bloqueur pour un MVP stable.

Cela dit, il me reste à regarder l'impact de ces optimisations sur Fuchsia (qui est bloqué depuis un moment mais devrait s'éclaircir aujourd'hui ou demain). Il est tout à fait possible que nous découvrions d'autres cas et que nous devions décider si l'un d'entre eux doit être bloquant.

@cramertj (Rappel : j'utilise async/await et je veux qu'il se stabilise dès que possible) Votre argument ressemble à un argument pour retarder la stabilisation d'async/await, pas pour stabiliser async unsafe ce moment sans expérimentation et réflexion appropriées.

D'autant plus qu'il n'était pas inclus dans la RFC et qu'il déclencherait potentiellement un autre shitstorm de « trait d'impl en position d'argument » s'il était forcé de sortir de cette façon.

[Note latérale qui ne mérite pas vraiment de discussion ici : pour « Encore une autre fonctionnalité de porte contribuera à l'impression qu'async/await n'est pas terminé », j'ai trouvé un bogue toutes les quelques heures d'utilisation d'async/await, répandu par quelques-uns mois légitimement nécessaires à l'équipe rustc pour les réparer, et c'est la chose qui me fait dire que c'est inachevé. Le dernier a été corrigé il y a quelques jours, et j'espère vraiment ne pas en découvrir un autre lorsque j'essaierai à nouveau de compiler mon code avec un rustc plus récent, mais…]

Votre argument ressemble à un argument pour retarder la stabilisation d'async/wait, pas pour stabiliser l'async dangereuse en ce moment sans expérimentation et réflexion appropriées.

Non, ce n'est pas un argument pour ça. Je crois que async unsafe est prêt, et je ne peux imaginer aucun autre design pour cela. Je crois qu'il n'y a que des conséquences négatives à ne pas l'inclure dans cette version initiale. Je ne crois pas que retarder async / await dans son ensemble, ni async unsafe particulier, produira un meilleur résultat.

Je ne peux pas imaginer un autre design pour ça

Une conception alternative, bien que nécessitant certainement des extensions compliquées : async unsafe fn est unsafe à .await , pas à call() . Le raisonnement derrière cela étant que _rien de dangereux ne peut être fait_ au point où le async fn est appelé et crée le impl Future . Tout ce que fait cette étape est de mettre des données dans une structure (en fait, tous les async fn sont const à appeler). Le point réel d'insécurité est d'avancer vers l'avenir avec poll .

(à mon humble avis, si le unsafe est immédiat, unsafe async fn plus de sens, et si le unsafe est retardé, async unsafe fn plus de sens.)

Bien sûr, si nous obtenons jamais une façon de dire par exemple unsafe Future où toutes les méthodes de Future ne sont pas sûrs d'appeler, puis « levage » le unsafe à la création de impl Future , et le contrat de ce unsafe étant d'utiliser le futur résultant de manière sûre. Mais cela peut aussi être fait presque trivialement sans unsafe async fn en "désucrant" simplement manuellement un bloc async : unsafe fn os_stuff() -> impl Future { async { .. } } .

En plus de cela, cependant, il y a une question de savoir s'il existe réellement un moyen d'avoir des invariants qui doivent être conservés une fois que poll ing démarre et qui n'ont pas besoin d'être conservés lors de la création. C'est un modèle courant dans Rust que vous utilisez un constructeur unsafe pour un type sûr (par exemple Vec::from_raw_parts ). Mais l'essentiel est qu'après la construction, le type _ne puisse pas_ être utilisé à mauvais escient ; la portée de unsafe est terminée. Cette portée de l'insécurité est la clé des garanties de Rust. Si vous introduisez un unsafe async fn qui crée un coffre-fort impl Future avec des exigences pour comment/quand il est interrogé, puis transmettez-le au code sûr, ce code sûr est soudainement à l'intérieur de votre barrière de sécurité. Et cela est _très_ susceptible de se produire dès que vous utilisez ce futur d'une autre manière que de l'attendre immédiatement, car il passera probablement par _quelque_ combinateur externe.

Je suppose que le TL;DR de ceci est qu'il y a certainement des coins de async unsafe fn qui devraient être discutés correctement avant de le stabiliser, en particulier avec la direction de const Trait potentiellement introduit (j'ai un brouillon de blog post sur la généralisation de cela à un "système d'"effets" faible" avec n'importe quel mot-clé fn -modifying). Cependant, unsafe async fn pourrait en fait être assez clair sur l'"ordre"/"positionnement" des unsafe pour se stabiliser.

Je crois qu'un trait unsafe Future basé sur les effets n'est pas seulement hors de portée de tout ce que nous savons exprimer dans le langage ou le compilateur aujourd'hui, mais que ce serait finalement une conception pire en raison de l'effet supplémentaire- polymorphisme qu'il faudrait que les combinateurs aient.

rien de dangereux ne peut être fait au moment où le fn async est appelé et crée l'impl Future. Tout ce que fait cette étape est de bourrer les données dans une structure (en fait, tous les fn async sont const à appeler). Le point réel de l'insécurité fait avancer l'avenir avec le sondage.

Il est vrai que puisqu'un async fn ne peut exécuter aucun code utilisateur avant d'être .await modifié, tout comportement indéfini serait probablement retardé jusqu'à ce que .await soit appelé. Je pense, cependant, qu'il y a une distinction importante entre le point de UB et le point de unsafe ty. Le point réel de unsafe ty est l'endroit où un auteur d'API décide qu'un utilisateur doit promettre qu'un ensemble d'invariants non vérifiables statiquement est respecté, même si le résultat de la violation de ces invariants ne causerait pas UB jusqu'à plus tard dans un autre code sûr. Un exemple courant est une fonction unsafe pour créer une valeur qui implémente un trait avec des méthodes sûres (exactement ce que c'est). J'ai vu cela utilisé pour garantir que, par exemple, les types Visitor -implémentant des traits dont les implémentations reposent sur des invariants unsafe peuvent être utilisés correctement, en exigeant unsafe pour construire le type. D'autres exemples incluent des choses comme slice::from_raw_parts , qui lui-même ne provoquera pas d'UB (invariants de validité de type mis à part), mais les accès à la tranche résultante le feront.

Je ne crois pas que async unsafe fn représente un cas unique ou intéressant ici-- il suit un modèle bien établi pour effectuer des comportements unsafe derrière une interface sûre en exigeant un unsafe constructeur.

@cramertj Le fait que vous ayez même à argumenter pour cela (et je ne suggère pas que je pense que la solution actuelle est mauvaise, ou que j'ai une meilleure idée) signifie, pour moi, que ce débat devrait être à un place que les gens qui se soucient de la rouille devraient suivre : le référentiel RFC.

Pour rappel, une citation de son readme :

Vous devez suivre ce processus si [...] :

• Tout changement sémantique ou syntaxique de la langue qui n'est pas une correction de bogue.
• [... et aussi des trucs non cités]

Je ne dis pas qu'il y aura un changement dans la conception actuelle. En fait, y penser quelques minutes me fait penser que c'est probablement le meilleur design auquel je puisse penser. Mais le processus est ce qui nous permet d'éviter que nos croyances ne deviennent un danger pour Rust, et nous manquons de la sagesse de nombreuses personnes qui suivent le référentiel RFC mais ne lisent pas chaque problème en ne suivant pas le processus ici.

Parfois, ne pas suivre le processus peut avoir du sens. Ici, je ne vois aucune urgence qui justifierait d'ignorer le processus juste pour éviter environ 2 semaines de retard FCP.

Alors s'il vous plaît, laissez Rust être honnête avec sa communauté sur les promesses qu'il donne dans son propre fichier readme, et gardez simplement cette fonctionnalité sous une porte de fonctionnalité jusqu'à ce qu'il y ait au moins une RFC acceptée et, espérons-le, une utilisation supplémentaire dans la nature. Qu'il s'agisse de l'ensemble de la porte de fonctionnalité async/async ou simplement d'une porte de fonctionnalité asynchrone non sécurisée, cela m'est égal, mais ne stabilisez pas quelque chose qui (AFAIK) a été peu utilisé au-delà de l'async-wg et est à peine connu dans le communauté globale.

J'écris un premier passage au matériel de référence pour le livre. En cours de route, j'ai remarqué que la RFC async-wait indique que le comportement de l'opérateur ? n'a pas encore été déterminé. Et pourtant, cela semble bien fonctionner dans un bloc asynchrone ( terrain de jeu ). Devrions-nous déplacer cela vers une porte de fonctionnalité distincte ? Ou cela a-t-il été résolu à un moment donné ? Je ne l'ai pas vu dans le rapport de stabilisation, mais je l'ai peut-être manqué.

(J'ai également posé cette question sur Zulip et je préférerais des réponses là-bas, car c'est plus facile à gérer pour moi.)

Oui, cela a été discuté et résolu avec le comportement de return , break , continue et. Al. qui font tous "la seule chose possible" et se comportent comme ils le feraient à l'intérieur d'une fermeture.

let f = unsafe { || {...} }; est également sûr à appeler et IIRC équivaut à déplacer le unsafe à l'intérieur de la fermeture.
Même chose pour unsafe fn foo() -> impl Fn() { || {...} } .

Ceci, pour moi, est un précédent suffisant pour "la chose dangereuse se produit après avoir quitté la portée unsafe ".

Il en est de même pour les autres lieux. Comme indiqué précédemment, unsafe n'est pas toujours là où se trouverait l'UB potentiel. Exemple:

    let mut vec: Vec<u32> = Vec::new();

    unsafe { vec.set_len(100); }      // <- unsafe

    let val = vec.get(5).unwrap();     // <- UB
    println!("{}", val);

Cela me semble juste être une incompréhension d'unsafe - unsafe ne signifie pas qu'"une opération dangereuse se produit à l'intérieur ici" - cela indique "Je garantis que je respecte les invariants nécessaires ici". Bien que vous puissiez maintenir les invariants au point d'attente, car cela n'implique aucun paramètre variable, ce n'est pas un site très évident pour vérifier que vous respectez les invariants. Cela a beaucoup plus de sens et est beaucoup plus cohérent avec le fonctionnement de toutes nos abstractions dangereuses, pour vous garantir le respect des invariants sur le site d'appel.

Ceci est lié à la raison pour laquelle penser à un effet dangereux conduit à des intuitions inexactes (comme Ralf l'a soutenu lorsque cette idée a été évoquée pour la première fois l'année dernière). L'insécurité est spécifiquement, intentionnellement, non contagieuse. Bien que vous puissiez écrire des fonctions non sécurisées qui appellent d'autres fonctions non sécurisées et simplement transférer leurs invariants vers le haut de la pile d'appels, ce n'est pas du tout la manière normale d'utiliser unsafe, et c'est en fait un marqueur syntaxique utilisé pour définir des contrats sur des valeurs et vérifier manuellement cela vous les soutenez.

Donc ce n'est pas le cas que chaque décision de conception nécessite un RFC complet, mais nous avons travaillé pour essayer de fournir plus de clarté et de structure sur la façon dont les décisions sont prises. La liste des principaux points de décision dans l'ouverture de ce numéro en est un exemple. En utilisant les outils à notre disposition, j'aimerais essayer un point de consensus structuré autour de ce problème de fns asynchrone dangereux, il s'agit donc d'un article récapitulatif avec un sondage.

async unsafe fn

async unsafe fns sont des fonctions asynchrones qui ne peuvent être appelées qu'à l'intérieur d'un bloc non sécurisé. L'intérieur de leur corps est traité comme un champ d'application dangereux. La conception alternative principale serait de rendre async unsafe fns dangereux d' attendre , plutôt que d'appeler. Il y a un certain nombre de bonnes raisons de préférer la conception dans laquelle il est dangereux d'appeler :

1. Il est cohérent syntaxiquement avec le comportement des fns non asynchrones non sécurisées, qui sont également risquées à appeler.
2. Il est plus cohérent avec la façon dont l'insécurité fonctionne en général. Une fonction non sécurisée est une abstraction qui dépend du maintien de certains invariants par son appelant. C'est-à-dire qu'il ne s'agit pas de marquer « où l'opération dangereuse se produit » mais « où l'invariant est garanti d'être respecté ». Il est beaucoup plus judicieux de vérifier que les invariants sont respectés sur le site d'appel, où les arguments sont réellement spécifiés, que sur le site d'attente, indépendamment du moment où les arguments ont été sélectionnés et vérifiés. Ceci est tout à fait normal pour les fonctions dangereuses en général, qui déterminent souvent certains états que d'autres fonctions sûres s'attendent à être correctes
3. Cela est plus cohérent avec la notion de désucrage des signatures async fn, où vous pouvez modéliser la signature comme équivalente à la suppression du modificateur async et à l'encapsulation du type de retour dans le futur.
4. L'alternative n'est pas viable à mettre en œuvre à court ou moyen terme (c'est-à-dire plusieurs années). Il n'y a aucun moyen de créer un futur qui ne soit pas sûr à interroger dans le langage Rust actuellement conçu. Une sorte d'effet "dangereux en tant qu'effet" serait un changement énorme qui aurait des implications de grande envergure et devrait traiter de la compatibilité descendante avec unsafe tel qu'il existe déjà aujourd'hui (comme des fonctions et des blocs dangereux normaux). L'ajout de fns non sécurisés asynchrone ne modifie pas de manière significative ce paysage, alors que les fns non sécurisés asynchrone selon l'interprétation actuelle de non sécurisé ont de réels cas d'utilisation pratiques à court et moyen terme.

@rfcbot ask lang "Acceptons-nous de stabiliser async unsafe fn en tant que fn async qui n'est pas sûr à appeler ?"

Je ne sais pas comment faire un sondage avec rfcbot mais je l'ai au moins nommé.

Le membre de l'équipe @withoutboats a demandé aux équipes : T-lang, pour un consensus sur :

« Acceptons-nous de stabiliser un fn asynchrone dangereux en tant que fn asynchrone qui n'est pas sûr à appeler ? »

• [x] @Centril
• [x] @cramertj
• [x] @eddyb
• [ ] @joshtriplett
• [x] @nikomatsakis
• [ ] @pnkfelix
• [ ] @scottmcm
• [x] @sansbateaux

@sansbateaux

J'aimerais essayer un point de consensus structuré autour de ce problème de fns asynchrone dangereux, il s'agit donc d'un article récapitulatif avec un sondage.

Merci pour le compte rendu. La discussion m'a convaincu que async unsafe fn tel qu'il fonctionne tous les soirs aujourd'hui se comporte bien. (Certains tests devraient probablement être ajoutés car il semblait clairsemé.) En outre, pourriez-vous s'il vous plaît modifier le rapport en haut avec des parties de votre rapport + une description du comportement de async unsafe fn ?

Il est plus cohérent avec la façon dont l'insécurité fonctionne en général. Une fonction non sécurisée est une abstraction qui dépend du maintien de certains invariants par son appelant. C'est-à-dire qu'il ne s'agit pas de marquer « où l'opération dangereuse se produit » mais « où l'invariant est garanti d'être respecté ». Il est beaucoup plus judicieux de vérifier que les invariants sont respectés sur le site d'appel, où les arguments sont réellement spécifiés, que sur le site d'attente, indépendamment du moment où les arguments ont été sélectionnés et vérifiés. Ceci est tout à fait normal pour les fonctions dangereuses en général, qui déterminent souvent certains états que d'autres fonctions sûres s'attendent à être correctes

En tant que personne ne faisant pas trop attention, je serais d'accord et je pense que la solution ici est une bonne documentation.

Je suis peut-être hors de propos ici, mais étant donné que

• les futurs sont combinatoires par nature, il est fondamental qu'ils soient composables.
• les points d'attente à l'intérieur d'une future implémentation sont généralement un détail d'implémentation invisible.
• le futur est très éloigné du contexte d'exécution, avec l'utilisateur réel peut-être entre les deux plutôt qu'à la racine.

il me semble que les invariants dépendant d'un usage/comportement spécifique en attente se situent quelque part entre une mauvaise idée et impossible à régler en toute sécurité.

S'il y a des cas où la valeur de sortie attendue est ce qui est impliqué dans le maintien des invariants, je suppose que l'avenir pourrait simplement avoir une sortie qui est un wrapper nécessitant un accès non sécurisé, comme

struct UnsafeOutput<T>(T);
impl<T> UnsafeOutput<T> {
    unsafe fn unwrap(self) -> T { self.0 }
}

Étant donné que le unsafe ness est avant le async ness dans ce "précoce peu sûr", je serais beaucoup plus heureux avec l'ordre modificateur étant unsafe async fn que async unsafe fn , car unsafe (async fn) correspond beaucoup plus clairement à ce comportement que async (unsafe fn) .

J'accepterai volontiers l'un ou l'autre, mais je pense fortement que l'ordre d'emballage exposé ici a le unsafe à l'extérieur, et l'ordre des modificateurs peut aider à clarifier cela. ( unsafe est le modificateur de async fn , pas async le modificateur de unsafe fn .)

J'accepterai volontiers l'un ou l'autre, mais je pense fortement que l'ordre d'emballage exposé ici a le unsafe à l'extérieur, et l'ordre des modificateurs peut aider à clarifier cela. ( unsafe est le modificateur de async fn , pas async le modificateur de unsafe fn .)

J'étais avec toi jusqu'à ton dernier point entre parenthèses. La rédaction de est un unsafe fn (qui s'appelle dans un contexte asynchrone).

Je dirais que nous peignons le hangar async unsafe fn vélos

Je pense que async unsafe fn plus de sens, mais je pense aussi que nous devrions grammaticalement accepter n'importe quel ordre parmi async, unsafe et const. Mais async unsafe fn plus de sens pour moi avec l'idée que vous supprimez l'async et modifiez le type de retour pour le "desucrer".

L'alternative n'est pas viable à mettre en œuvre à court ou moyen terme (c'est-à-dire plusieurs années). Il n'y a aucun moyen de créer un futur qui ne soit pas sûr à interroger dans le langage Rust actuellement conçu.

FWIW J'ai rencontré un problème similaire à celui que j'ai mentionné dans la RFC2585 en ce qui concerne les fermetures à l'intérieur de unsafe fn et les traits de fonction. Je ne m'attendais pas à ce que unsafe async fn renvoie un Future avec une méthode sûre poll , mais plutôt un UnsafeFuture avec un unsafe méthode de sondage. (*) Nous pourrions alors faire en sorte que .await fonctionne également sur des UnsafeFuture lorsqu'il est utilisé à l'intérieur de blocs unsafe { } , mais pas autrement.

Ces deux futurs traits seraient un énorme changement par rapport à ce que nous avons aujourd'hui, et ils introduiraient probablement beaucoup de problèmes de composabilité. Ainsi, le navire pour explorer des alternatives a probablement navigué. D'autant plus que cela serait différent de la façon dont les traits Fn fonctionnent aujourd'hui (par exemple, nous n'avons pas UnsafeFn trait RFC2585 était que créer une fermeture à l'intérieur d'un unsafe fn renvoie une fermeture que impls Fn() , c'est-à-dire qu'elle est sûre à appeler, même si cette fermeture peut appeler des fonctions non sécurisées.

Le problème n'est pas de créer le futur « dangereux » ou de fermer, le problème est de les appeler sans prouver que cela est sûr, en particulier lorsque leurs types ne disent pas que cela doit être fait.

(*) Nous pouvons fournir un impl de couverture de UnsafeFuture pour tous les Future s, et nous pouvons également fournir UnsafeFuture une méthode unsafe pour se "déballer" en tant que Future qui est sans danger pour poll .

Voici mes deux centimes :

• L'explication de @cramertj (https://github.com/rust-lang/rust/issues/62149#issuecomment-510166207) me convainc que les fonctions asynchrones unsafe sont la bonne conception.
• Je préfère de loin un ordre fixe des mots-clés unsafe et async
• Je préfère légèrement la commande unsafe async fn car la commande semble plus logique. Similaire à « une voiture électrique rapide » par rapport à « une voiture électrique rapide ». Principalement parce qu'un async fn dessucre à un fn . Il est donc logique que les deux mots-clés soient côte à côte.

Je pense que let f = unsafe { || { ... } } devrait rendre f sûr, un trait UnsafeFn ne devrait jamais être introduit, et a priori .await ing et async unsafe fn devraient être en sécurité. Tout UnsafeFuture nécessite une justification solide !

Tout cela s'ensuit parce que unsafe devrait être explicite et Rust devrait vous ramener dans un pays sûr. De plus, de ce fait, le f de ... ne devrait _pas_ être un bloc dangereux, https://github.com/rust-lang/rfcs/pull/2585 devrait être adopté, et un async unsafe fn devrait avoir un corps sûr.

Je pense que ce dernier point pourrait s'avérer assez crucial. Il est possible que chaque async unsafe fn utilise un bloc unsafe , mais de la même manière, la plupart bénéficieraient d'une analyse de sécurité, et beaucoup semblent assez complexes pour que les erreurs soient faciles.

Nous ne devons jamais contourner le vérificateur d'emprunt lors de la capture pour les fermetures en particulier.

Donc mon commentaire ici : https://github.com/rust-lang/rust/issues/62149#issuecomment -511116357 est une très mauvaise idée.

Un trait UnsafeFuture exigerait que l'appelant écrive unsafe { } pour sonder un futur, mais l'appelant n'a aucune idée des obligations qui doivent y être prouvées, par exemple, si vous obtenez un Box<dyn UnsafeFuture> est unsafe { future.poll() } sûr ? Pour tous les futurs ? Vous ne pouvez pas savoir. Donc, cela serait complètement inutile comme @rpjohnst l'a souligné sur UnsafeFn .

Exiger que Future soit toujours sûr pour les sondages est logique, et le processus de construction d'un futur qui doit être sûr pour les sondages peut être dangereux ; Je suppose que c'est ce qu'est async unsafe fn . Mais dans ce cas, l'élément fn peut documenter ce qui doit être confirmé afin que le futur renvoyé puisse être interrogé en toute sécurité.

@rfcbot mise en œuvre-travail-blocage-stabilisation

Il y a encore 2 bloqueurs d'implémentation connus à ma connaissance (https://github.com/rust-lang/rust/issues/61949, https://github.com/rust-lang/rust/issues/62517) et ce serait encore être bon d'ajouter quelques tests. Je résous mon souci de faire en sorte que rfcbot ne soit pas notre bloqueur dans le temps, puis nous bloquerons les correctifs à la place.

@rfcbot résout la mise en œuvre-blocage-du-travail-stabilisation

:bell: Ceci entre maintenant dans sa dernière période de commentaires , selon l' examen ci-dessus . :cloche:

PR de stabilisation déposé dans https://github.com/rust-lang/rust/pull/63209.

La période de commentaires finale, avec une disposition à fusionner , conformément à l' examen ci - terminée .

En tant que représentant automatisé du processus de gouvernance, je tiens à remercier l'auteur pour son travail et tous ceux qui ont contribué.

Le RFC sera bientôt fusionné.

Un aspect intéressant que nous stabilisons ici est que nous rendons disponibles des structures auto-référentielles à partir de code sécurisé. Ce qui rend cela intéressant, c'est que dans un Pin<&mut SelfReferentialGenerator>, nous avons une référence mutable (stockée sous forme de champ dans le Pin) pointant vers l'état entier du générateur, et nous avons un pointeur à l'intérieur de cet état pointant vers un autre morceau de l'état . Ce pointeur interne aliase avec la référence mutable !

À la suite de cela, @comex a réussi à écrire du code Rust asynchrone (sûr) qui viole les annotations noalias LLVM de la manière dont nous les émettons actuellement. Cependant, il semble qu'en raison de l'utilisation de TLS, il n'y ait actuellement aucune erreur de compilation.