В Rust Coreutils выявлено 113 уязвимостей. В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils

Ответ очевиден. Эти инструменты обслуживают один конкретный домен. Как, например эти инструменты позволяют обнаруживать ошибки возникающие при пониженном или повышенном напряжении питания? При воздействии наводок на сигнальные выводы? Или может радиации? Вот и в расте, есть боров и он закрывает конкретный домен ошибок. Но он понятия не имеет о том что там в системах с libc6 делает nss

Ну так безопасность когда настанет?

Кто они? Разрабы на расте хотят набить руку и получить строчку в резюме, вот написал то-то на расте. Промышленно эксплуатируется. Бизнесу надо показать кастомерам и правительствам в том числе, прогресс по усилению безопасности, так как это сейчас одна из точек продаж

Когда человека навсегда исключат из цепочки производства кода. Даже из самого начала: пожелания что и как должно быть. Наш строгий, но великий и справедливый повелитель - Искусственный Интеллект 1.0 будет сам знать что показывать кому и делать налету. И не удет больше багов, не будет уязвимостей.

Практика показывает что абсолютная безопасность скорее не достижима. А так уязвимости будут продолжать находить и фиксить, правда со временем все меньше. Думаю лет за 5 растовые утилиты стабилизируют

А откуда появится Искусственный Интеллект 1.0 и не будет ли в нем багов?

Про MISRA очень хорошо знаю, но это очень строгий стандарт, знаю много других подобных стандартов в разных отраслях. И это чистая правда, существуют даже таблицы кратности трудоемкости по закрытию того или иного уровня стандарта, а у реализуемых подсистем и блоков есть свои требования к минимальному уровню

Я не против раста хоть и не пишу на нем. Безопасный язык хорошо, возможно однажды появится какой то инструмент или методология для удешевления создания очень надежного безопасного софта

Когда человека навсегда исключат из цепочки производства кода. Даже из самого начала: пожелания что и как должно быть. Наш строгий, но великий и справедливый повелитель - Искусственный Интеллект 1.0 будет сам знать что показывать кому и делать налету. И не удет больше багов, не будет уязвимостей.

Ну, понимаешь, в чем дело. Тот «ИИ», который есть сейчас никогда не сможет стать тем самым ИИ 1.0, про который ты говоришь.

То, что ты имеешь в виду, это самообучающиеся системы ИИ. Но они в зачаточном состоянии. А тот «ИИ», что существует - базируется на уже полученных человеческих знаниях. В том числе - человеческих-же ошибках. Сюда-же можно добавить, что «ИИ» выдает вероятностный результат. А вчитавшись в условия поставки систем вроде копилот (а он базируется на чат-гпт), ты узнаешь, что они поставляются в развлекательных целях.

Из сингулярности же - очевидно.

Опасайся не того ИИ, что притворяется умным. Опасайся того, который притворяется глупым.

Удивительно что так много усилий нужно для казалось бы элементарных утилит. Хотя, если честно, представить не могу никого кроме новичка, желавшего отточить свои навыки, кто мог бы начать это всерьёз делать.

Обыватели. Главное ищут эти расты, в эти расты туда влезают в молодые годы, а потом говорят: «Вот это да, говорит, вот это, говорит, погорел, вот это даже не рассчитывал!» Я говорю: за всё надо платить, причём по большому счёту. Ржавая зараза, через агриковский комбинат…

возможно однажды появится какой то инструмент или методология для удешевления создания очень надежного безопасного софта

https://mistral.ai/news/leanstral - тоже на это надеюсь.

Ну так безопасность когда настанет?

У тебя? Никогда. Как справедливо отметили выше по треду

помимо использования «безопасного» язычка, нужно еще иметь мозги

В Ubuntu 26.04 возвращены cp, mv и rm из GNU Coreutils

Надолго ли?

Пилить не перепилить

а код на Rust - останется

Он прокиснет после очередного amazing обновления.

прокиснет после очередного amazing обновления — это про зиг. Код на раст — blazing fast, не надо ему чужие эпитеты приписывать.

Ну, пусть даже там присутствует сейчас «113 багозвимостей»… только что это меняет?? — Упдэйтер переключил с багнутых утилит на стабильные, как в кино — компьютер починился сам.

надёжные и стабильные дистры вроде Арч

Это сарказм, да?

Когда убунта скатилась настолько, что... это становится правдой

Когда вы устраняете повреждения памяти, то внезапно выясняется, что Rust совершенно никак не помогает вам устранять остальные типы ошибок. А они есть.

А си?

Братцы, а ведь нам говорили, что если писать без unsafe, то гонок не будет.

Это не те гонки. Помимо unsafe доступа к памяти есть целая куча других классов гонок.

Я ещё с самого начала говорил, что чем больше Rust использовать на практике, тем больше есть говна и понимать, что memory safety — это даже не полововина проблем в разработке... но будет уже поздно. Почему я и пишу, что Rust не столько плохой, сколько посредственный и заметно хуже, чем системный ЯП мог бы быть. Неспроста люди создают столько альтернатив.

А если сравнивать с альтернативой и если брать хорошее - раст хорош только memory safety и все?

Когда вы устраняете повреждения памяти, то внезапно выясняется, что Rust совершенно никак не помогает вам устранять остальные типы ошибок. А они есть.

А си?

Как я недавно иронизировал в рабочей переписке «в языке Си не нужны проверки при компиляции, потому что программисты на Си сразу пишут код без багов». Причина, почему C++ вообще кто-то в принципе рассматривал, заключалась в том, что язык С запредельно плох. Даже по сравнению с ассемблерами того времени это был шаг назад. Си получил распространение как бесплатная газетка в придачу к юниксу.

Но из-за совместимости с Си новый C++ получился как повязка на гнойную рану — снаружи вроде причёсан, но внутри всё та же самая срань.

Именно эту новую проблему попытались решить разрабы Rust, забыв про важный момент — ни в коем случае нельзя допускать крестовиков к разработке нового ЯП. Потому что иначе будет то, что мы видим сейчас ­— ЯП, который повторил большую часть недостатков C++: медленную компиляцию, неоправданную усложнённость и потому ужасную читаемость, однозадачную-однопоточную модель данных.

Растовики пытаются победить говно, которое индустрия сама себе насрала на голову. Си плох, но по итогу один сорт говна заменяют на аналогичный.

А если сравнивать с альтернативой и если брать хорошее - раст хорош только memory safety и все?

Да, Rust — это memory safety как самоцель. Не смей спрашивать у растовика «а зачем тебе вообще эта memory safety?». Ну типа memory safety сама по себе биткоины не намайнит, базы данных не организует. Для многих применений memory safety вообще не является проблемой.

Давай возьмём элементарный пример: я делаю высоконагруженный сервер; в нём происходит переполненниые целого числа в одном из воркеров — как дальше жить этому серверу? Если у него был взят мутекс при ошибке, то мутекс будет poisoned, его нельзя восстановить без потери memory safety. То есть, ошибка в одном воркере может развалить весь сервер. Таким образом тебе нужно либо выполнять много расходных воркеров с координатором перезапуска, либо придумывать неординарные штуки, вроде тех, что сделаны в Rayon, который создаёт новое API с panic-safe функциями — естественно, подразумевается, что кроме этого API ты ничего не используешь, потому что иначе, опять-таки, паника, отравление данных, отказ сервера целиком.

Просто посмотри области применения Rust в 2026 — это по прежнему маленькие изолированные утилитки, отдельные микросервисы, serverless WASM фиговины (однопоточные), какая-то ограниченная однонаправленная обработка данных, и так далее. Нельзя написать на Rust большой законченный проект. Вот нельзя и всё, я запретил. Как ни странно, в этом плане Rust ближе к Haskell, чем к C++ — именно Haskell до сих пор прославилася тем, что для него никто не мог написать большого законченного интерактивного приложения.

А нахрена не нем писать большие законченныеы проекты? Как и на си, впрочем. Я сам по началу пытался на нем полностью проекты писать, потом дошло, что я страдаю херней и я стал писать на нем модули к нормальным «быстрым» языкам - там где нужна производительность или где без низкоуровневого не обойтись.

[2026-04-24 22:03:24.701] Остановлен сервер на порту :32009
==2805== 
==2805== HEAP SUMMARY:
==2805==     in use at exit: 0 bytes in 0 blocks
==2805==   total heap usage: 250,586 allocs, 250,586 frees, 40,210,847 bytes allocated
==2805== 
==2805== All heap blocks were freed -- no leaks are possible
==2805== 
==2805== For counts of detected and suppressed errors, rerun with: -v
==2805== ERROR SUMMARY: 0 errors from 0 contexts (suppressed: 0 from 0)

Ой, как же так, на 16к строк ни одной проблемы с памятью. Наверное космические лучи изменили битики в valgrind и он всё врёт, ведь количество аллокаций не может совпадать на нагруженном драйвере устройства.

А нахрена не нем писать большие законченныеы проекты? Как и на си, впрочем.

ОС, СУБД, веб-браузер.

я стал писать на нем модули к нормальным «быстрым» языкам

Что такое «нормальные быстрые языки»?

Бизнесу надо показать кастомерам и правительствам в том числе, прогресс по усилению безопасности, так как это сейчас одна из точек продаж

Как ни странно, ценность раста для той же мозиллы была совсем не в этом. Как демонстрирует исходное сообщение, Rust безопасности не гарантирует, memory safety никакого отношения к уязвимостям логики не имеет.

Смысл Rust заключался в том, чтобы заменить опытного сеньора-крестовика на компилятор, таким образом сэкономив затраты на несколько этапов ревью. Если в C++ были скрытые небезопасные копирования, то в Rust это теперь явные unsafe.

Как ни странно, даже memory safety на практике Rust не гарантирует, потому что почти всегда используется тот или иной unsafe код, будь то растовый unsafe или внешние либы на C/C++.

это разрывная… ничего против раст не имею, но это прям комок с гавном в их весь гламурно-безопасный пиар

Собственно, как и с Rust, вот и вылезают баги.

безопасность выше

Т.е. вот эти 113 уязвимостей - это высокий уровень безопасности?

Чтобы можно было добавлять новые фичи, не боясь поломать код и не тратя человеко-годы на каждую мелочь.

Ну вот за такое смузихлёбство раст и хейтят. За идиотское приравнивание memory safety к невозможности поломать код. За fearless нейрослопинг.

Это - понятно. Пример просто кривоват как по мне. Это пример показал не какую-то кривизну языка Си, как такового, а результат оптимизации gcc, примененный к коду, к которому данный вариант оптимизации применять нельзя.

Ты немножко не понимаешь, как работает Си-шка. Не знаю, хочешь ли ты подразобраться в ней, но на случай если хочешь, оставлю вот эти ссылки:
https://blog.llvm.org/2011/05/what-every-c-programmer-should-know.html
https://blog.llvm.org/2011/05/what-every-c-programmer-should-know_14.html
https://blog.llvm.org/2011/05/what-every-c-programmer-should-know_21.html

именно Haskell до сих пор прославилася тем, что для него никто не мог написать большого законченного интерактивного приложения.

leksah ?

Всё врёти, вы этот вывод руками напечатали.

Модули к проектам на ts, например.

Это же надо так феерично обосраться. Раст в ядро? бггггг да они даже cp написать не могут, задача для школьника, начавшего изучать С.

int source = open("from", O_RDONLY, 0);
int dest = open("to", O_WRONLY | O_CREAT, 0644);
struct stat stat_source;
fstat(source, &stat_source);
sendfile(dest, source, 0, stat_source.st_size);
close(source);
close(dest);

Анекдот дня. Программиста на cpp заменили тремя молодыми на раст.

А теперь прогони свою реализацию через coreutils-testsuite и посмотрим.

У тебя даже простой обработки ошибок нет.

именно Haskell до сих пор прославилася тем, что для него никто не мог написать большого законченного интерактивного приложения.
leksah ?

Это IDE для Haskell, это не IDE, написанное на Haskell. У Haskell там роль примерно как у баша в убунте:

--------------------------------------------------------------------------------
Language                      files          blank        comment           code
--------------------------------------------------------------------------------
SVG                             218            275            213         147939
JavaScript                      300           7655           5899          67503
Haskell                         121           3060           2355          28302
HTML                            182           3840             11          23029
CSS                              78            950            626           5807
XML                              21            406            435           3076
Markdown                         10            809              0           1486
reStructuredText                 12            564             95           1360
PO File                           1            557            561           1140
Bourne Shell                     22            150             93            747

у меня такого нет. А что может пойти не так с sendfile? «it copies data between one file descriptor and another» и все.

Модули к проектам на ts, например.

И что нормально-быстрого в TypeScript? Ты же не хочешь сказать, что пишешь базы данных на языке для HTML кнопочек?

Знаешь, в чем проблема? Клоун должен быть смешным. А ты - не смешной, ты унылый.

А нафига их обрабатывать? получишь «bad file descriptor» на консоль если что пойдет не не так.

Как-Мне-Кажется, не ошибается лишь тот, кто ничего не делает; и первый блин комом, соответственно.

Мне думается, что раст-коре-утилс свой юзкейс найдут. Просто пока-что их надо фуззить и дебажить (+ревьюить нейрослопкой).

В чём смысл новости, я так и не понял… Что «с первого раза пионэры нешмагли»?

Да и вообще докучи — в резерве находятся гну-коре-утилс, основанные Столлманом. Если что-то временно не работает — просто переключаем пару программулин на резерв, и усё.

В чём смысл новости, я так и не понял…

поджечь пуканы любителям раста

Чтобы сишку закопать. Лидеры рынка тупо скинулись на убийцу сишки, вот и вся история.

Быстрого там то, что на нем можно быстро наклепать что надо. Относительно просто и будет работать.