C++ och dess framtid att programmera minnessäkert - Hur går utvecklingen?

Det var ju ett ganska barnsligt argument. Du bad om ett exempel i Rust och @Yoshman gav dig ett exempel i Rust. Han skrev väl även om ett av dina exempel i C++?

Nu talar du nedlåtande om folk som kodar Python och det är svårt att avgöra om du är okunnig eller trollar. Varför tror du inte att man behöver vara programmerare för att skriva Python? Du känner kanske inte till att Python är största språket för maskininlärning? För att gå tillbaka till ditt argument om att göra komplicerade beräkningar och optimera för GPU-offloading så tror jag att den kategorin av Python-utvecklare per din definition är mer programmerare än vad du och jag är...

Jag skulle ABSOLUT inte lite på att en utvecklares kod fungerar om personen sagt att hen studerat koden i debuggern. Jag vill ha tester för att verifiera att koden gör det som den ska, det är industristandarden.

Om du tycker annorlunda så uppmuntrar jag dig att säga att du föredrar debuggern över testning för kvalitetssäkring vid nästa arbetsintervju.

Just nu sitter vi och diskuterar OT-nonsens som du envisas med även om jag har bett dig flera inlägg att flytta detta till en annan tråd.

Nu ljuger du också ... du skrev: "Och hade samma kod skrivits i java eller kanske python hade den varit ännu enklare. Så varför går inte alla över till python där man knappt behöver vara programmerare för att skriva kod?".

Att anta att man knappt behöver vara programmerare för att skriva Python är nedlåtande och okunnigt.

Det handlar inte om att vara känslig, det handlar om att du uttrycker dig dumt och därför säger jag till dig att det är dumt. Är du känslig som inte klarar av proportionellt kritik till dina handlingar?

Du får säga att du tycker saker är bättre och sämre men att konstant hävda dig som bättre än dina med människor är jäkligt okarismatiskt.

Genom att underbygga argumenten med fakta och inte fördomar... och sedan har man en konstruktiv diskussion om ämnet.

Jag är OK med skryt men då får man faktiskt backa det också ...

Då är man dålig på att skriva tester enligt mig. Testning är nästan synonymt med kvalitetssäkring idag.

Det har exakt med det att göra.

Just how you like it ... och nej det är inte en hel vetenskap.

Nope det är för att en vettig arbetsgivare inte vill betala för att du ska sitta och glo i debuggern istället för att jobba och att glo i debuggern skalar inte som kvalitetssäkring i en större kodbas (sådana som du brukar gilla att referera till). Man vill automatisera kvalitetssäkringen för att spara tid (och pengar) och få deterministiska resultat. Att du ska kolla i en debugger är inte deterministiskt, inte ens ditt resonemang i tråden har varit deterministiskt...

Låter som skill-issue ärligt talat. Tanken med unit-tester är att isolera beteende inte introducera något nytt. Om du syftar på att använda ett test-ramverk med "att introducera beroende" så hacka ihop ett eget då med asserter.

Jodå, somliga av oss orkar fortfarande läsa

Först kom detta:

Sedan skriver du:

Nu är vi långt OT, men jag blir nyfiken på hur du kvalitétsäkrar koden utan att skriva tester. Själv är jag stor anhängare av TDD-liknande modeller. Jag är långt ifrån bokstavstrogen, men att ha massor med små testfall som testar isolerade delar av programmet (tester som går fort att köra, gärna automatiskt i samband med att man bygger sitt program) är ett bra stöd. Skulle man råka ha sönder något av den existerande funktionaliteten när man lägger till ny kod så upptäcker man det direkt.

Hur säkrar du din kod?

En debugger används inte för att upptäcka buggar, eller för att visa att koden fungerar. Det har man tester till.
Hur vet man att kod fungerar korrekt om man inte testat den? Det vet man inte.

En debugger använder man efter att man konstaterat förekomsten av en bug, för att hitta och fixa buggen. Det går oftast alldeles utmärkt att göra även utan en debugger, men en bra debugger kan onekligen förenkla processen.

En debugger hjälper dig inte att skriva bra kod, eller att undvika buggar. Den hjälper dig bara att fixa buggar i efterhand.

Fast du verkar ju sitta med Windows givet att Visual Studio inte finns till något annat OS. Det är väl ändå "knatteligan"?

Ok, inte helt seriöst men inte heller helt oseriöst. De riktigt "tunga" sakerna görs primärt på Linux idag, Visual Studio har absolut en rad kvalitéer även om jag tycker det primärt gäller C# idag, på C++ sidan är det passerat av t.ex. Rider (inte minst om man håller på med spelutveckling i C++, framförallt om det råkar vara UnrealEngine) samt definitivt rejält akterseglat av miljöer där man fullt ut kan använda GDB/LLDB (som t.ex. VS Code, men även Vim, Emacs etc).

Orsaken: sitter man i riktigt stora projekt, t.ex. OS-kärnor eller vissa embedded-system är möjligheten att kunna ha projektanpassade skript ovärdeligt. Saker man kan göra med script (både GDB och LLVM skriptas numera med Python) är emulering av kommandon som "ps", går att lägga triggers som t.ex. gör exakt det du "emulerar" med (skräp)kod i slutresultatet etc.

Så ja, sitter med VS Code (men har även Rider). Använder i praktiken enbart Windows för spelutveckling, och Visual Studio om denna spelutveckling görs med C# (annars Rider). Exemplet kördes på VS Code, som jag föredrar över XCode för allt utom Swift/Metal-programmering...

??? Är inte speciellt van front-end programmerare, men de få gånger jag pillat med React eller annan front-end var en av de första sakerna kollegor visade just hur man debuggar m.h.a. Chromes inbyggda debugger (som var/är långt mer avancerad än vad jag hade gissat).

Det är ingen som hatar dig, du verkar bara ha en oerhört grandios självbild.
Och jag tror att den erfarenheten dom flesta har av människor med grandios självbild och ett återkommande behov av att hävda sig själv, är att den självupplevda bilden stämmer dåligt överens med verkligheten.

Kan flika in ang. frontend utveckling och användning av debugging och ramverk som React då jag jobbat med det i 5+ år nu.
Samtliga mina kollegor på 4 olika arbetsplatser använder debuggern när det behövs, och testerna vi skriver körs enbart i utvecklingsmiljön / pipelines och inkluderas inte produktionskoden och saktar därför inte ner något heller.

Och som flera påpekat innan så är testerna garantin på att koden är korrekt, inte debuggern. Debuggern används för att lista ut VARFÖR något går snett, men testerna är vad som säger att koden är korrekt.

Så då kan det argumentet släppas.

Jag (och alla andra här, tror jag, även om man aldrig ska göra sig till talesman för andra) pallar.

Men du gör samma sak igen, du är så fantastisk och alla som kritiserar gör det enbart för att dom (enligt dig) inte når upp till din nivå.

C har nu också fått ett förslag i samma anda som Safe-C++ förslaget, TrapC. Angreppssättet är ett annat och efter att läst både Safe-C++ och TrapC får helt klart TrapC min röst.

Register har en artikel om detta från november
https://www.theregister.com/2024/11/12/trapc_memory_safe_fork...
TrapC blev aktuellt igen då förslaget släpptes igår.

Safe-C++ sätter bakåtkompatibilitet som prio#1, vilket givet att just "legacy" är en allt större anledning för någon att använda språket initialt känns fullt rimligt. Problemet är att slutresultatet blir något som inte alls ser ut som C++, om detta accepteras in i ISO-C++ blir det ännu en förändring som rätt fundamentalt förändrar hur man bör skriva C++.

TrapC introducerar några enstaka "breaking changes", men det spännande är att genom att göra det får man ett resultat som helt fixar problem som "use-after-free" (en av de absolut vanligaste orsakerna till säkerhetbuggar i C och C++, något som C++ i teorin löst från C++11 om man släpper användning av "nakna" pekare) och buffer-overrun (en annan otroligt vanlig bug som C++11 inte fixar lika transparent som TrapC).

Detta är ett smakprov på TrapC som inte har minnesläcka, vilket "vanlig C" skulle ha

char* strcat(char* to,const char* from) { 
    string s = to;
    s += from; // realloc with copy-append if needed, no segfault
    return s;  // returning local ok in TrapC, no segfault, no leak
}

free() är i praktiken en no-op i TrapC, minneshanteringen är rätt mycket tagen från Rust (bygger på RAII). Saker likt detta gör att majoriteten av all existerande C kod kompilerar direkt i TrapC!

int main() { 
    int* p = malloc(sizeof(int));
    free(p);  // TrapC ignores free, p not freed yet
    *p = 10;  // UB in C, no problem in TrapC
    return 0; // Leaving scope, TrapC now frees p automatically
}

Vidare fixar man en annan väldigt vanlig C bug i stränghantering, '\0' stöds men strängar, likt alla pekar-typer, innehåller RTTI samt vet sin längd. Så i TrapC är T* i praktiken std::vector<T>, vilket är det nyktra sättet att hantera minnesareor när möjligt.

Och för att gå tillbaka till ursprungliga frågeställningen i tråden: läser man inledningen till både Safe-C++ och TrapC dokumenten verkar båda "lägren" inse att man måste göra något. För allt fler organisationer drar nu öron åt sig kring de säkerhetsproblem C och C++ plågas av, samtidigt som man nu också fått "bevis" på att det var ett problem som kunde lösas inom ramen av att behålla de kritiska delarna i C och C++, nämligen förutsägbar minneshantering, zero-cost-abstractions men ändå automatisk upptäckt av alla/nästan alla minnesproblem (i.e. det kompilerar inte alt. det upptäcks runtime så programmet kan avslutas).

Är det något C++ behöver är det något likt TrapC, i.e. något som ser ut som C++ och där nästan all existerande C++ bygger direkt (och resten kan fixas relativt enkelt), men som tillåts innehålla enstaka "breaking changes". En uppenbar "breaking change" som behövs är att dessa säkerhetsgarantier måste vara opt-out (likt Rust "unsafe"), vilket är fallet i TrapC. Inte opt-in, vilket är fallet i Safe-C++.

Det här låter snarare som att du är väldigt novis utvecklare och antingen:
* inte är så säker på vad din kod du skriver faktiskt gör
* inte skriver tillräckligt många / bra tester
* skriver generellt oläslig kod
* har väldigt kort uppmärksamhetsspann

Skriver en utvecklare några hundra rader regelbundet för en feature från första början så har de nog inte brutit ner problemet ordentligt och borde tänka om. Men oavsett så förespråkar vi alla att man ska skriva just tester för den kod man checkar in som kan bevisa korrektheten i koden. Hade en utvecklare skickat in 100+ rader kod och sagt ”trust me bro, jag har debuggat den”, men inte skrivit några tester, då hade jag nekat den koden oavsett hur korrekt den ser ut.

Att skriva tester som körs vid varje incheckning av kod är en förutsättning att koden fortsätter vara underhållsbar och korrekt även när koden ändras med tiden.

Det här låter också som att du saknar förståelse för ramverken och hur den fungerar snarare än något generellt för deklarativ kod.

?????

   Foo a = Foo{1} << "2" << (Foo)3;

detta går att kompilera med pre-C++11. Hur många anrop görs på denna rad, explicit och implicita?

C++ är ett train-wreck om man "vill", inget i Safe-C++ ändrar det mer än att om man följer Safe-C++ så vet man i alla fall att om något händer som man inte tänkte på så orsakar det i alla fall inte säkerhetshål.

Begriper inte riktigt din filosofi. Å ena sidan pushar du för intellisense och andra "magiska" verktyg. Å andra sidan är du helt emot i stort sätt allt som lagts till C++ sedan C++11, du promotar den stil som Herb/Bjarne kallar "your fathers C++"

Efter C++11 är det rätt mycket konsensus att "nakna pekare" är dålig kod, man ska inte längre skriva så för det extremt error prone.

Du vill ha bloat/overhead av hungarian-notation, något som kan vara vettigt om man jobbar med ett dynamiskt typat språk och i viss mån kan vara vettigt i C när det används som väldigt svagt statiskt typat språk (en breaking change mellan C++ och C är att allt implicit kan cast:as till/från void* i C, men inte i C++).

För statiskt starkt typade språk, likt C++, Rust, Go, m.fl. håller jag med kritikerna av hungarian-notation. Kanske inte riktigt på nivån hos Linus Torvalds dock...

"Encoding the type of a function into the name (so-called Hungarian notation) is brain damaged—the compiler knows the types anyway and can check those, and it only confuses the programmer."

Om hastighet var enda orsaken folk använde C eller C++ så hade båda "förlorat" redan.

Fortran används än idag i vissa HPC-applikation då dess design medför att dess kompilator kan göra en del optimeringar som inte är möjliga för C och C++.

Likaså finns fall där Rust kompilatorn kan göra optimeringar som inte C och C++ kan. Inte alls osannolikt att det är en del i förklaringen till det @Ingetledigtnamn postade ovan om zlib omskrivet i Rust är snabbare än C versionen
#20783960

En kritisk sak i C och C++ (som även Rust har) är att allt som händer är deterministiskt. DET är en killer-feature, en killer-feature som varje sig Safe-C++ eller TrapC ändrar på.

Vad båda dessa förslag däremot "fixar" är att justera språket så en väldigt vanlig klass av problem, som är rätt unikt för just dessa två språk, kan automatiskt (vilket är långt bättre än att hoppas att programmerarna aldrig gör buggar) upptäckas endera vid kompilering (att föredra, ingen når dock nivån Rust har som i detta steg även upptäcker data-race) eller vid runtime.