IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mamadou Babaei : « C++ n'a pas besoin d'une nounou comme le vérificateur d'emprunts de Rust »
Faut-il vraiment changer de langage, ou simplement mieux maîtriser les outils existants ?

Le , par Stéphane le calme
48 commentaires

274PARTAGES

25  0 
Alors que Rust s’impose comme le champion de la sécurité mémoire grâce à son système de vérification à la compilation, certains développeurs C++ refusent de se laisser reléguer au rang de programmeurs imprudents. Avec un ton provocateur, le développeur professionnel de jeu Mamadou Babaei défend la capacité du C++ à détecter et corriger les fuites mémoire sans avoir besoin d’un « gardien de mémoire » comme Rust. À travers une démonstration concrète avec _CrtDumpMemoryLeaks, il relance le débat : faut-il vraiment changer de langage, ou simplement mieux maîtriser les outils existants ?

Rust : un langage trop protecteur ?

Rust a été acclamé ces dernières années comme l’un des langages les plus sécurisés pour le développement système. Sa principale innovation ? Le borrow checker (littéralement vérificateur d'emprunts), ce mécanisme de vérification à la compilation qui empêche les erreurs de mémoire comme les accès concurrents non sécurisés ou les use-after-free.

Le vérificateur d'emprunts est une fonctionnalité essentielle du langage Rust et fait partie de ce qui rend Rust Rust. Il vous aide (ou vous oblige) à gérer la propriété. Comme le dit le chapitre 4 de « The Rust Programming Language », « La propriété est la caractéristique la plus unique de Rust, et elle permet à Rust de garantir la sécurité de la mémoire sans avoir besoin d'un collecteur mémoire ».

Le vérificateur d'emprunt est un composant du compilateur Rust dont le rôle est de vérifier à la compilation que l’usage de la mémoire est sûr, sans fuite ni corruption potentielle, sans exécution du programme. Il repose sur trois concepts clés :
  • Propriété (ownership) : chaque valeur a un propriétaire unique.
  • Emprunts (borrowing) : on peut prêter une valeur de manière mutable ou non mutable, mais pas les deux en même temps.
  • Durée de vie (lifetimes) : chaque référence a une durée de vie clairement définie et vérifiée.

Le borrow checker interdit à la compilation :
  • Les accès concurrents à une même valeur mutable (race conditions évitées).
  • Les références à des valeurs qui ont été libérées (dangling pointers).
  • La modification de données pendant qu'elles sont empruntées de façon immuable.
  • L’utilisation après déplacement (move), pour éviter la double libération.

Mais pour certains développeurs C++, ce système ressemble davantage à une « nounou » : une surprotection qui entrave la liberté de coder rapidement et efficacement. Selon eux, les développeurs expérimentés n’ont pas besoin d’un langage qui leur interdit de faire certaines choses – ils veulent juste des outils qui les aident à le faire mieux, sans être bridés.

Un faux procès fait au C++ ?

Depuis l’essor de Rust dans les milieux de la sécurité et du développement système, une idée reçue semble s’installer : le C++ serait intrinsèquement dangereux. Ses critiques mettent en avant la complexité de sa gestion manuelle de la mémoire, source supposée d’erreurs fréquentes et de vulnérabilités critiques.

Mais ce discours occulte une réalité plus nuancée : le C++ n’est pas dangereux par nature, il est exigeant. Comme le rappelle Babaei, les fuites mémoire et les erreurs d’allocation ne sont pas une fatalité si les développeurs exploitent les outils disponibles dans l’écosystème du langage.

Ainsi, plutôt que de dénigrer le C++ pour son absence de mécanismes de sécurité intégrés à la Rust, il conviendrait de promouvoir les bonnes pratiques de développement, les outils de débogage avancés et les bibliothèques modernes comme RAII, unique_ptr, shared_ptr, ou encore Valgrind.

Dans sa vidéo intitulée « Rust Devs Think We’re Hopeless; Let’s Prove Them Wrong (with C++ Memory Leaks)! », Mamadou Babaei défend avec humour et technicité la capacité des développeurs C++ à gérer efficacement la mémoire, sans recourir aux mécanismes de sécurité stricts de Rust. Il démontre comment détecter les fuites mémoire en C++ en utilisant l'outil _CrtDumpMemoryLeaks fourni par la bibliothèque d'exécution C (CRT) de Microsoft.

Et d'indiquer :

« Lorsque les développeurs Rust pensent à nous, les gens du C++, ils imaginent une lignée maudite - un traumatisme générationnel transmis de malloc à free. Pour eux, chaque ligne de C++ que nous écrivons est comme jouer à la roulette russe - sauf que les six chambres sont chargées de comportements non définis.

« Ils nous regardent comme si nous étions sans espoir. Comme si nous étions à deux doigts d'une thérapie. Mais vous savez quoi ? Nous n'avons pas besoin d'une nounou pour le compilateur. Pas de vérificateur d'emprunts. Pas de durée de vie. Pas de modèles de propriété. Pas de magie noire. Même Valgrind n'est pas nécessaire. Juste des pointeurs bruts, de la détermination brute, et un peu de santé mentale douteuse.

« Dans cette vidéo, je vais donc vous montrer comment traquer les fuites de mémoire comme si vous étiez né avec un pointeur dans une main et un débogueur dans l'autre ».


_CrtDumpMemoryLeaks : Un outil à (re)découvrir

La démonstration de Babaei repose sur un outil méconnu mais redoutablement efficace : la fonction _CrtDumpMemoryLeaks, intégrée à la CRT (C Run-Time Library) de Microsoft. Elle permet, dès la compilation en mode debug, de détecter automatiquement les blocs de mémoire non libérés avant la fin de l’exécution.

En couplant cet outil à des macros de suivi (_CRTDBG_MAP_ALLOC, new redéfini avec traçabilité), il devient possible de cartographier précisément l'origine d'une fuite mémoire. Cette démarche, bien que nécessitant une configuration spécifique, prouve que le C++ n’est pas dépourvu de garde-fous — il demande juste qu’on les active.

Démonstration : détection de fuites mémoire avec _CrtDumpMemoryLeaks

Babaei présente un exemple de programme C++ qui génère intentionnellement une fuite mémoire en allouant de la mémoire sans la libérer. Pour détecter cette fuite, il utilise les fonctions de débogage de la CRT.

Démonstration d'une fuite de mémoire en C++ simple et intentionnelle...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

48 commentaires
Commenter Signaler un problème
jo_link_noir
Avatar de jo_link_noir
Membre expert https://www.developpez.com
Le 14/05/2025 à 18:12
Citation Envoyé par koala01 Voir le message
A quel point faudrait-il effectivement être un spécialiste du C++ "moderne" , pour autant que vous connaissiez les pointeurs intelligents la bibliothèque standard en général et les références et que vous les utilisiez ... intelligemment pour atteindre les exigeances que vous vous fixez ?
Le problème étant de considérer qu'il ne faut pas une certaine maîtrise pour utiliser intelligemment les pointeurs intelligents et les références. Les pointeurs intelligents, encore, ça passe. Il y aura des d'erreurs du compilateur principalement à cause de la sémantique de déplacement de unique_ptr. Et là, on peut déjà se retrouver avec des gens qui passent par shared_ptr parce qu'ils ne comprennent ce que cela implique.

Par contre, les références — et de manière plus générale les vues (std::string_view, std::span, std::mdspan, std::function_ref, std::views, etc) — ont quelque chose d'implicite, mais cruciale: une dépendance sur la lifetime. Le compilateur ne va pas du tout aider sur les problèmes de lifetime. Rien que séparer en 2 lignes un appel comme foo(expression_vraiment_longue) peut amener à une UB car là où en une seule expression il n'y avait pas de problème de lifetime¹, on se retrouve avec un objet détruit dès la fin de ligne qui déclare la variable. Sans parler des subtilités de construction du genre T(...) vs T{...}² qui font une extension de la durée de vie des temporaires pour le premier, mais pas pour le second... En l'absence de constructeur.

Donc non, ce n'est pas simple. Même en connaissance tous les mécanismes, l'erreur est facile. À contrario, le compilateur de rust va être particulièrement intransigeant sur ce genre d'erreur.

Citation Envoyé par koala01 Voir le message
A quel point devrez vous effectivement être un expert de Rust pour pouvoir utiliser son mode unsafe de manière "suffisamment sécuritaire" ?
Contrairement à C++ qui a "bien défini", "fonction de l'implémentation" (ou on sait pas ce que ça fait, mais le scope est limité), "comportement non défini", j'ai l'impression qu'en rust il n'y a que "bien défini" et UB. Je trouve aussi que la doc est trop légère sur cette partie et cela rend compliqué de savoir la sémantique exacte de ce que l'on fait quand on fait vraiment du bas niveau. Après, les besoins de unsafe sont assez restreint, pour beaucoup de fonction c'est un simple marqueur pour dire "attention, si les paramètres d'entrés ne sont pas bons, cela est à tes risques". Exemple: vec::get(i) -> Option<&T> vs unsafe vec::get_unchecked(i) -> &T (l'équivalent de vec[i] en C++).

¹ Et encore, même avec une seule expression on peut avoir des problème de lifetime for (auto part : str + "abc") -> oups, dangling reference avant C++23 (https://en.cppreference.com/w/cpp/la...ge_initializer)
² https://en.cppreference.com/w/cpp/la...initialization (voir l'exemple avec struct B)
8  0 
koala01
Avatar de koala01
Expert éminent sénior https://www.developpez.com
Le 12/05/2025 à 10:27
Salut,

Faut-il vraiment changer de langage, ou simplement mieux maîtriser les outils existants ?
Il faudrait surtout bien entraîner les développeurs débuttants
  • en leur faisant comprendre dés le début que ce qui peut échouer le fera obligatoirement
  • qu'on n'est pas dans un monde de bisounours et qu'ils doivent donc considérer toutes les ressources externes (introduction utilisateur, allocation de mémoire, accès réseaux ou fichiers) comme suspectes
  • en leur faisant comprendre qu'ils ne sont pas meilleurs que les utilisateurs lambda et qu'ils seront les premiers à faire des erreurs, mais que leurs erreurs peuvent mener à la catastrophe

Et, pour ce qui est spécifique au C++ en leur apprenant directement le langage de manière moderne, et non tel qu'on nous l'a appris à la fin du siècle dernier

Ce qui mènera forcément à la deuxième solution : une meilleure maîtrise des outils existants
Le borrow checker de Rust est-il un mal nécessaire ou une entrave à la créativité ?
Ce n'est sans doute pas une entrave à la créativité.

Par contre, c'est sûrement un mal rendu nécessaire par le manque de maîtrise des outils existants.

Cependant, ce n'est au final qu'un emplâtre sur une jambe de bois, car il ne résout pas le problème de fond : les gens manquent cruellement de l'entrainement nécessaire à l'utilisation correcte des outls existants.
Peut-on vraiment comparer deux langages à des stades aussi différents de maturité ?
Peut on seulement comparer deux langages de programmation quels qu'ils soient autrement que par leur philosophie ou par leur "performances brutes" (vitesse d'exécution, consommation de mémoire et consommation électrique)

Les outils de détection de fuites mémoire en C++ sont-ils suffisants pour garantir une gestion sûre de la mémoire dans des projets complexes ?
Très certainement.

Mieux encore, C++ dispose depuis près de quinze ans de nombreux outils capables de les éviter...

La complexité du système de propriété de Rust justifie-t-elle son adoption face à la flexibilité de C++ ?
Si cela peut rassurer les afficionados de Rust, pourquoi pas

Sans doute beaucoup moins pour ceux qui gardent en tête que tout se paye; ou que le fait de contourner un problème n'est pas forcément une solution à long terme
Rust est-il adapté aux débutants ou réservé aux ingénieurs systèmes expérimentés ?
C'est un très vaste débat, que l'on pourrait avoir à propos de nombreux langages de programmations sensés "simplifier le travail" du développeur.

Certains argueront que ces "facilités" permettent d'apprendre plus facilement le langage, qu'elles permettent d'obtenir plus facilement ou plus rapidement un résultat "correct et sécurisé".

D'autres prétendront qu'il ne sert à rien de faciliter le travail du dévoppeur si cela implique qu'il puisse ne pas maîtriser (voir qu'il puisse ne pas avoir conscience) des concepts de base du développement.

Les premiers répondront sans doute que les langages les plus simples sont particulièrement adpatés aux débuttants; les seconds répondront plutôt qu'ils ne devraient être utilisés que par des personnes chevronnées.

Encore une fois, il s'agit essentiellement d'une question de philosophie
9  2 
smarties
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 12/05/2025 à 12:26
Je faisait un peu de C++ dans les années 2000 et maintenant je suis passé sur Rust.

Rust met beaucoup de chose en place pour facilité son adoption :
- une documentation centralisée
- un gestionnaire de dépendances
- le Rust book qui donne beaucoup d'éléments pour démarrer avec le langage dans de bonnes conditions
- des erreurs de compilations explicites
- cargo clippy

Mes derniers souvenirs avec C++ sont moins favorables :
- documentation éclatée
- quand on reprend un projet pour le compiler, j'ai toujours eu à chercher les dépendances qu'il me manquait car ce n'était pas noté sur le projet ou c'était incomplet

Vu que je ne touche plus au C++ depuis longtemps, je ne suis pas du tout informé des outils qui existent (à part des quelques témoignages/commentaires/news lus ici). Si on se base sur les CVE, il est possible que beaucoup de ces merveilleux outils n'ait pas été utilisé pour empêcher les fuites.
9  3 
jo_link_noir
Avatar de jo_link_noir
Membre expert https://www.developpez.com
Le 13/05/2025 à 18:54
Je ne comprends, le monsieur dit qu'on a pas besoin d'être tenu par la main comme en Rust parce que C++ possède des outils pour faire la même chose.

Des outils qui demandent à changer le code. Des outils spécifiques Windows¹ et qui ne fonctionnent qu'en debug (voir la doc). Des outils qui font des vérifications uniquement runtime et qui demande donc l'exécution de toutes les branches. Des outils qui ne fonctionnent probablement qu'avec l'allocateur par défaut².

Mais comme il y a des outils, on a pas besoin que cela soit intégré au langage. Parce qu'un compilateur, ce n'est pas un outil... Comment ça si ? Parce qu'une vérification faîte à la compilation, c'est pareil qu'un truc imparfait fait au runtime... Comment ça non ?

Finalement, quelle différence entre utiliser un outil externe et avoir un outil directement intégré par le compilateur voir mieux, dans le langage ? À part que le premier est juste ultra pénible à mettre en œuvre et avec plein de contrainte, je n'en vois pas.

¹ Sur Linux et MacOS, il y a -fsanitize=leak (activé également avec -fsanitize=address sur Linux). Le compilateur injecte de lui-même du code sans que le code ait besoin d'être modifié. Pour du code externe non compilé avec cette option, il y a toujours Valgrind, Heaptrack ou Dr Memory (aussi dispo sur Windows). Comme /fsanitize=address existe depuis peu sur cl, il y aura peut-être un leak dans un avenir proche.
² c'est lié au CRT, je ne suis pas certain que changer l'allocateur par mimalloc est compatible avec cette fonction.
6  0 
fdecode
Avatar de fdecode
Membre habitué https://www.developpez.com
Le 14/05/2025 à 10:13
Citation Envoyé par Stéphane le calme Voir le message
Et si le problème était culturel, pas technique ?

Le débat entre Rust et C++ révèle autant une opposition technique qu’une différence d’approche philosophique. Rust adopte une logique « zéro confiance », où le compilateur est conçu pour interdire les erreurs dès la phase de développement. Le développeur est contraint par le système de type, le borrow checker et les règles strictes de propriété.

À l’inverse, C++ s’inscrit dans une tradition où le développeur est empowered : il est maître de la mémoire, du cycle de vie des objets, et libre d’enfreindre les règles – pour le meilleur ou pour le pire.
Il y a quelque chose de culturel, sans doute.
Ce qui me plait dans le langage Rust, ce n'est pas strictement la logique de sécurisation de la mémoire à la compilation, mais l'agencement global des fonctionnalités du langage (syntaxe, paradigmes, compilateur, centralisation des dépôts autour de crates.io, documentation...). Et ce qui m'a amené à abandonner le C++, ce n'est pas le manque de borrow checker, mais un agencement de défauts "mineurs" qui au final ont fini par particulièrement m'énerver. Je ne reviendrai pas en arrière.
Au delà de ça, je dirais qu'une maîtrise suffisante (pour l'exigence de programmation que je me fixe) du C++ nécessiterait d'être spécialiste, alors que j'atteins la maîtrise qui me convient avec Rust sans être spécialiste. Mon activité ne me porte pas à être spécialiste d'un langage (et je ne le souhaite pas), en revanche j'ai besoin de bien maîtriser certaines capacités (calcul intensif, parallélisation, concurrence, GUI, natif ou Wasm, ...). D'autres langages m'ont apporté le confort de programmation souhaité, mais pas avec une approche bas niveau.

Citation Envoyé par Stéphane le calme Voir le message
Cette liberté est précieuse pour les experts, mais redoutable pour les débutants.
Plus de liberté en C++, sans doute, mais cela se justifie-t-il par la finalité?
Le mode unsafe de Rust donne cette liberté, mais est véritablement réservé à des experts.
Et pour autant, je ne dirais pas non plus que Rust en mode safe soit un langage pour débutant.

Citation Envoyé par Metal3d Voir le message
Et je n'ai pas la garantie qu'il fait mieux que moi puisque c'est assez difficile de s'écarter de sa gestion.
On en vient au problème de finalité dont je parle. En réalité, si on prend en compte les optimisations du compilateur, notre liberté de programmation ne nous apporte pas forcément une amélioration notable par rapport à une programmation contrainte. On sait d'ailleurs que la sémantique de prêt de Rust permet au compilateur des optimisations comparables à celle du mot clef restrict du C (ou des équivalents spécifiques du C++). Le juge de paix est au final la performance de ce code optimisé en fin de production.
6  0 
fdecode
Avatar de fdecode
Membre habitué https://www.developpez.com
Le 15/05/2025 à 11:27
Citation Envoyé par koala01 Voir le message
A quel point faudrait-il effectivement être un spécialiste du C++ "moderne" , pour autant que vous connaissiez les pointeurs intelligents la bibliothèque standard en général et les références et que vous les utilisiez ... intelligemment pour atteindre les exigeances que vous vous fixez ?
Merci à jo_link_noir pour sa réponse, sur un sujet que je ne connais que superficiellement (J'ai essentiellement arrêté avec C++ en 2011, même si je garde un œil sur l'évolution du standard).
Mais au delà de la gestion de la mémoire, c'est un problème global, et je suis désolé de cette réponse un peu longue.
Mais cela touche à ce qui m’a fait adopter Rust durablement, après un parcours qui est passé par C/C++, Java, Scala… et qui s’est arrêté sur Rust, justement parce qu’il me permet d’aller loin sans être un expert.

  1. Une expertise encapsulée plutôt qu’exigée
    Rust n’est pas un langage simple, mais il rend explicite ce que C++ laisse implicite. Et pour moi, c’est la grande différence :
    • En Rust, les contraintes de propriété, d’emprunt, de thread safety, etc., sont vérifiées et documentées par le compilateur. On apprend en écrivant.
    • En C++, j’ai toujours eu le sentiment inverse : dès qu’on touche à la concurrence, à la généricité avancée ou à l’interop système, on entre dans une zone grise où il faut être un vrai spécialiste (voire lire les standards pour éviter des UB invisibles).

    Autrement dit : je suis allé plus loin en Rust en tant qu’autodidacte que je ne me le suis jamais permis en C++.

  2. Une expressivité moderne et maîtrisée
    Ce qui m’a surpris en Rust, c’est le niveau de structuration et de généricité qu’on peut atteindre sans tomber dans le piège du “template spaghetti” :
    • Traits + impl + conditions (where) donnent une généricité claire et contrôlée.
    • Les macros (déclaratives ou procédurales) sont puissantes, mais bien encadrées.
    • La syntaxe est homogène : pas de vieux artefacts syntaxiques à gérer pour cause de rétrocompatibilité.

  3. Multithread, concurrence, async : confiance après compilation
    Un des points qui m’a bluffé avec Rust, c’est ça : une fois que ça compile, ça marche.
    Bien sûr, les erreurs algorithmiques restent de ma responsabilité — le compilateur ne fait pas mon travail à ma place. Mais il m’évite toute une classe de bugs insidieux (data races, use-after-free, invalid memory access, etc.) qui me ralentissaient ou me forçaient à multiplier les précautions et les couches de complexité en C++. Et ça change tout en termes de confiance dans le code produit.
    • Je fais du multithread et de l’async sans crainte, et je n’ai pas l’impression de marcher sur des œufs.
    • Je n’ai pas besoin d’un sanitiseur externe ou d’une expertise en modèles mémoire pour écrire du code concurrent correct.
    • Je n’imagine pas m’aventurer dans l’équivalent C++ sans m’entourer d’outils de debug lourds ou d’une aide externe aguerrie aux arcanes du standard.

    Et surtout : le compilateur me forme, là où en C++ j’ai l’impression que le compilateur me laisse “libre”, parfois au point de me perdre dans les conséquences implicites.

  4. L’écosystème : cargo versus cmake/make/…
    Un point souvent oublié : l’écosystème Rust est cohérent et agréable à vivre :
    • cargo unifie build, test, dépendances, doc, release… sans bricolage.
    • Pas besoin d’aller choisir entre 5 build systems incompatibles.
    • Les crates sont versionnées, documentées, souvent testées. Et l’outil les gère sans que j’aie à lire leur README pour intégrer proprement un code tiers.

Je ne dis pas que Rust est “facile”. Mais il m’a permis de construire des choses complexes — avec multithreading, macros, async, généricité — sans avoir besoin d’être un “expert système”.
Et surtout : j’ai confiance dans ce que je produis, parce que je sais que la complexité est visible, pas silencieuse.
Alors oui, unsafe, c’est vraiment pour les experts. Mais Rust, lui, est pour les développeurs ambitieux mais pas kamikazes.

Citation Envoyé par koala01 Voir le message
A quel point devrez vous effectivement être un expert de Rust pour pouvoir utiliser son mode unsafe de manière "suffisamment sécuritaire" ?
C'est à ce niveau, qu'il faut effectivement investir dans une expertise (hormis les cas simples et usuels clairement référencés dans l'API).
En gros, pour être vraiment compétant dans l'usage général des unsafe, je pense qu'il faudrait bien se familiariser avec le développement de Rust lui-même, bref, avoir une bonne compréhension de la manière dont la librairie standard et le compilateur sont conçus.
Savoir comment les données sont alignées en mémoires (il y a plusieurs layout, pas toujours figés), assurer manuellement les contrats requis dans les blocs unsafe, comprendre en profondeur les invariants du langage...

Par exemple, une difficulté des UB parmi d'autres, c'est que la syntaxe induit des hypothèses utilisées pour l'optimisation de code au niveau de la compilation (qui se fait en 2 temps Rust -> LLVM IR -> natif/Wasm). unsafe débraye certaines sécurités qui peuvent alors induire des incohérences. Il faut vraiment avoir l'expertise pour voir cela. Typiquement, on peut produire du code qui fonctionne de manière différente en mode Debug et en mode Release.
Quand je veux lever un doute, je vais typiquement consulter les sources du std, je consulte l'API si le point est mentionné, le Rustomicon et je pose des questions sur stackoverflow ou un autre site.

En fait, l'unsafe ce n’est pas du Rust “difficile”, c’est du Rust “systémique”.
6  0 
Bktero
Avatar de Bktero
Modérateur https://www.developpez.com
Le 22/05/2025 à 11:06
Comme un électricien doit savoir câbler correctement et respecter les normes
J'ai rénové mon nouvel appartement en 2023. L'immeuble avait 50 ans.

J'ai changé toutes les prises et tous les interrupteurs. Pourquoi ? Pour en avoir des éléments modernes plus sécurisés. Par exemple, les interrupteurs modernes ne permettent pas de prendre une tige de fer, de l'enfoncer dans un des trous, et de mourrir. Il faut prendre 2 tiges et enfoncer dans les 2 trous en même temps pour désenclencher la sécurité. Autre exemple : quand tu "ouvres" une prise ou un interrupteur moderne, il n'y a pas de pièce nue sous tension et donc tu ne peux pas mourrir juste en touchant un truc.

J'ai rajouté aussi la terre sur certaines prises (malheureusement pas sur toutes) car il y a 50 ans, on ne cablait pas la terre.

Les normes et les façons de faire évoluent. Ce qui était OK il y a quelques années peut ne plus l'être aujourd'hui. A un instant T, on fait du mieux qu'on peut. Si à l'instant T+1, on trouve encore mieux, pourquoi ne pas faire encore mieux ?

Et oui, ça s'appelle être un professionnel, savoir utiliser son outil de travail
C'est aussi choisir son outil de travail.

Notre métier développeur.se n'est pas de connaitre par coeur toutes les subtilités du C++. C'est de produire des logiciels de qualité au meilleur coût. Connaitre par coeur les subtilités du C++ est une nécessité quand nous utilisons C++ pour réaliser ces logiciels.

Nos façons de coder en C++ ont évolué avec les années parce que le langage a évolué. Personne aujourd'hui ne défendrait sérieusement l'usage de pointeurs nus sous prétexte que "les vrai.e dev savent gérer la mémoire manuellement". On fait du RAII et on utilise les pointeurs intelligents de la std.

Après de nombreuses années de C++, je fais du Rust depuis quelques mois. Je pense qu'il est encore un peu tôt pour dire que Rust doit remplacer C++. Mais je trouve qu'il est déjà bien assez tard pour ne pas essayer sérieusement ce langage. Ne serait-ce que pour se rendre compte de certains manques du C++ et se demander comment on pourrait l'améliorer.
7  1 
mintho carmo
Avatar de mintho carmo
Membre éclairé https://www.developpez.com
Le 23/05/2025 à 17:35
Il y a 20 ans, on expliquait à ceux qui faisaient du C en quoi c'était pertinent de passer au C++. Et ils répondaient avec des arguments... "criticables".

Maintenant, c'est les devs C++ qui défendent leur langage avec les mêmes arguments utilisés par les devs C il y a 20 ans.

Ca me laisse perplexe.

Signé : un dev C++, qui ne veut pas non plus passer à Rust, mais qui n'adhère pas du tout à certains arguments de ceux qui défendent le C++.

"Pourquoi cherche-t-on la facilité?"
"C'est saoulant ce délire du besoin du code parfait."
"Cette sévérité sélective à l'égard du C et C++ sur cette obsession de la gestion mémoire me parait excessive."

Quand je vois ce genre de commentaires, je me dis qu'il est probablement préférable d'imposer un langage avec des contraintes qui imposent la sécurité, plutôt que laisser les devs faire selon leur bon vouloir.
8  2 
prisme60
Avatar de prisme60
Membre régulier https://www.developpez.com
Le 12/05/2025 à 14:54
Quand un code atteint des milliers de lignes de code, avec un historique de plus de 10 ans, avec le passage d'une dizaine de développeurs ayant chacun sa manière de coder, la dette technique est colossale.
  • En c++, rien ne t'oblige à utiliser les casts du C++, c'est tellement plus facile d'utiliser les casts du C.
  • On s'aperçoit aussi que les développeurs n'utilisent pas suffisamment les const/constexpr.
  • Que certaines personnes n'ont pas compris l'intérêt des std::shared_ptr/std::weak_ptr.
  • Certains écrivent encore du code avec les itérateurs begin() et end(), alors que les std::range pourraient être utilisés.
  • L'utilisation de nullptr / -1 pour indiquer que l'objet / variable primitive n'est pas valorisée, alors que le std::optional existe justement pour ces cas de figure.
  • Les namespaces permettent de bien cloisonnées les noms. Insuffisamment utilisés dans le code, on trouve parfois même des "using namespace std" partout dans le code, ce qui va à l'encontre de l'usage du namespace.
  • Personnellement, j'ai toujours eu du mal à bien utilisé le std::forward().

Le c++ est devenu une usine à gaz. Les modules ne mélangent très mal avec le code c++ existant. Les temps de compilations sont catastrophiques. La librairie std gère mal le mixe de chaine MBCS / Unicode. L'utilisation des streams C++ sont lourds. Le langage accuse l'héritage des années. La gestion de l'asynchrone avec les lambdas nécessite une réflexion complexes sans garde-fou.
Je déconseille le développement en C++ si il n'y a pas de bonne raison. Autant s'orienter sur du C#, du Go, du Rust, en fonction des besoins (IHM, Web, Embarqué) et de ou des plateformes visées (Certains langages ont été pensés portables, et permettent d'utiliser une librairie, avec une simple inclusion).

Pour en revenir au sujet de l'article, il est évident que si il suffisait de juste faire attention à la gestion de la mémoire pour qu'il n'y ai pas de bug, il n'y aurait aucune CVE sur les fuites mémoires, les use-after-free, les double-free. Rust avec son borrow checker fait des merveilles, et permet des optimisations qui seraient déclarées comme dangereuses sans ce filet de sécurité! Le meilleur exemple concerne les sous-chaine de caractères. En c++, on a le std::string_view, et en Rust on a les slice. Si on détruit la source de la std::string_view, on se retrouve avec un use-after-free. En revanche, Rust lui ne compile pas dans ce cas là.
10  5 
foetus
Avatar de foetus
Expert éminent sénior https://www.developpez.com
Le 21/05/2025 à 15:01
Citation Envoyé par d_d_v Voir le message
Et oui, ça s'appelle être un professionnel, savoir utiliser son outil de travail. Incroyable, non ?
Mais tu as plusieurs types d'outils professionnels pour sécuriser son code
  • le C++ avec ses pointeurs intelligents, ses vues ... CRT, RAII, ..
  • le Rust avec son compilateur, borrow checker, ...
  • Java et C# qui utilise 1 machine virtuelle/ ramasse miettes


Et depuis 5-6 ans on reproche au C++ de demander des profils rares (> 8 ans d'expérience, 1 truc comme cela), d'avoir des temps de développement assez longs ... et la liste des bugs mémoire toujours aussi importante.
Les normes depuis C++11 n'ont rien amélioré (que ce soit sur la sécurité du code que sur la gestion des dépendances ou sur la facilité de développer/ debugger).

Je sais que lorsqu'on maîtrise le C++ on se sent "supérieur", meilleur ... le C++ devient 1 b*rdel

Et depuis 5-6 ans pleins de sociétés (même le noyau Linux et FFmpeg) se forment sur Rust et cela semble faire son petit bonhomme de chemin ... le seul truc qui reste au C++ c'est sa vitesse d'exécution et sa énorme base de codes
D'ailleurs ce n'est pas pour rien que depuis 2022-2023, le comité C++ réfléchit à intégrer le borrow checker (il me semble que le comité C++ avait annoncé 1 grande surprise en 2022-2023)

Donc voila il y a 2 types de professionnels : ceux qui font du C++ et les autres
5  0 
Commenter Signaler un problème