Comprehensive Rust へようこそ 🦀

これは、Google の Android チームが開発した無料の Rust コースです。このコースでは、基本的な構文から、ジェネリクスやエラーハンドリングのような高度なトピックまで、Rust の全範囲を扱います。

コースの最新バージョンは https://google.github.io/comprehensive-rust/ で確認できます。これを別の場所で読んでいる場合は、更新についてそちらを確認してください。

このコースは他の言語でも利用できます。ページ右上で希望の言語を選択するか、利用可能なすべての翻訳の一覧については翻訳ページを確認してください。

このコースは PDF 版でも利用できます。

このコースの目的は、Rust を学んでもらうことです。受講者は Rust について何も知らないことを前提とし、次を目指します:

Rust の構文と言語について包括的に理解してもらう。
既存のプログラムを修正し、Rust で新しいプログラムを書けるようになってもらう。
Rust の一般的なイディオムを紹介する。

最初の 4 日間のコースを Rust Fundamentals と呼びます。

この基礎の上に、1 つ以上の専門トピックをさらに深く学ぶこともできます:

Android: Android プラットフォーム開発 (AOSP) で Rust を使う半日コースです。これには、C、C++、Java との相互運用が含まれます。
Chromium: Chromium ベースのブラウザーで Rust を使う半日コースです。これには、C++ との相互運用や、Chromium にサードパーティ製 crate を含める方法が含まれます。
ベアメタル: ベアメタル (組み込み) 開発で Rust を使う終日クラスです。マイクロコントローラーとアプリケーションプロセッサーの両方を扱います。
並行性: Rust の並行性に関する終日クラスです。古典的な並行性（スレッドとミューテックスを使用したプリエンプティブなスケジューリング）と、async/await による並行性（future を使用した協調的マルチタスク）の両方を扱います。

対象外

Rust は大きな言語であり、数日ですべてを扱うことはできません。このコースの対象外の一部は次のとおりです:

マクロの開発方法を学ぶこと: 代わりに the Rust Book と Rust by Example を参照してください。

前提

このコースでは、受講者がすでにプログラミングの方法を知っていることを前提としています。Rust は静的型付け言語であり、Rust のアプローチをよりよく説明したり対比したりするために、C や C++ と比較することがあります。

Python や JavaScript のような動的型付け言語でのプログラミング方法を知っていれば、問題なくついていくことができるでしょう。

これは スピーカーノート の例です。これらを使ってスライドに追加の情報を加えます。これには、講師が取り上げるべき重要なポイントや、授業でよく出る質問への回答などが含まれます。

コースの運営

このページはコースの講師向けです。

ここでは、Google 社内でこのコースをどのように運営してきたかについて、背景情報を少し紹介します。

通常、講義は午前 9:00 から午後 4:00 まで実施し、その間に 1 時間の昼休みを挟みます。これにより、午前の講義に 3 時間、午後の講義に 3 時間を充てることができます。どちらのセッションにも複数回の休憩と、受講者が演習に取り組む時間が含まれます。

コースを実施する前に、次のことを行っておくとよいでしょう。

コース教材に慣れておいてください。重要なポイントを強調できるよう、スピーカーノートを用意しています（ぜひスピーカーノートの追加にもご協力ください！）。発表時には、スピーカーノートをポップアップで開いておくようにしてください（“Speaker Notes” の横にある小さな矢印のリンクをクリックします）。そうすれば、クラスに見せる画面をすっきり保てます。
日程を決めてください。このコースは 4 日間かかるため、2 週間に分けて日程を組むことをお勧めします。受講者からは、コースの間に間隔があると、こちらが提供する情報を整理しやすくなって役立つ、という声が寄せられています。
対面参加者を収容できる十分な広さの部屋を確保してください。受講者数は 15〜25 人を推奨します。これは、参加者が気軽に質問できる十分に小さな規模であり、同時に 1 人の講師でも質問に答える時間を確保できる規模でもあります。部屋には、自分用と受講者用の机があることを確認してください: 全員が座ってノート PC で作業できる必要があります。特に、講師としてかなりの量のライブコーディングを行うため、演台はあまり役に立ちません。
コース当日は、準備のために少し早めに部屋に入ってください。プレゼンテーションには、ノート PC 上で動かしている mdbook serve を直接使うことをお勧めします（インストール手順を参照してください）。そうすることで、ページを切り替える際の遅延がなく、最適なパフォーマンスを確保できます。また、自分のノート PC を使えば、あなたや受講者が誤字を見つけたその場で修正できます。
演習は、各自または少人数のグループで解いてもらってください。通常、午前と午後にそれぞれ 30〜45 分を演習に充てます（解答の振り返りの時間を含みます）。行き詰まっていないか、何か手伝えることはないか、必ず声をかけてください。複数の人が同じ問題に直面しているのを見かけたら、そのことをクラス全体に共有し、解決策を示してください。たとえば、標準ライブラリのどこに関連情報があるかを示すとよいでしょう。

以上です。コース運営の成功を祈っています！私たちにとってそうであったように、あなたにとっても楽しいものになることを願っています！

今後もコースを改善し続けられるよう、終了後にぜひフィードバックをお寄せください。うまくいった点や、さらに改善できる点をぜひお聞かせください。受講者の皆さんからのフィードバックも大歓迎です！

講師の準備

すべての教材に目を通す: コースを教える前に、すべてのスライドと演習を自分で一通り確認しておいてください。そうすることで、質問や起こりうる難所を事前に想定しやすくなります。
ライブコーディングの準備をする: このコースではライブコーディングをかなり行います。授業中にスムーズに入力できるよう、例題や演習は事前に練習しておいてください。行き詰まった場合に備えて、解答も用意しておきましょう。
mdbook に慣れておく: このコースは mdbook を使って進行します。移動方法、検索方法、機能の使い方を把握しておくと、進行がよりスムーズになります。
表示領域ヘルパー: プレゼンテーション時に利用できる表示領域を示すビジュアルガイドの表示/非表示を切り替えるには、Ctrl + Alt + B を押します。赤い枠の外にあるコンテンツは、最初は表示されないと考えてください。スライドを編集するときの目安として使ってください。このリンクから有効にすることもできます。

良い学習環境を作る

質問を促す: 「くだらない」質問はないことを繰り返し伝えてください。質問しやすい雰囲気は学習にとって重要です。
時間を効果的に管理する: スケジュールは意識しつつ、柔軟に対応してください。タイムラインに厳密に従うことよりも、受講者が概念を理解することのほうが重要です。
グループ作業を促進する: 演習中は、受講者同士で協力して取り組むよう促してください。そうすることで、互いに学び合え、行き詰まり感も減らせます。

コース構成

このページはコース講師向けです。

Rust の基礎

最初の 4 日間が Rust Fundamentals に相当します。各日はテンポよく進み、幅広いトピックを扱います！

not found - {{%course outline Fundamentals}}

深掘り

4 日間の Rust Fundamentals に加えて、さらに専門的なトピックも扱います。

Rust in Android

Rust in Android の深掘りコースは、Android プラットフォーム開発で Rust を使う方法を扱う半日コースです。これには、C、C++、Java との相互運用も含まれます。

AOSP チェックアウトが必要です。同じマシン上でコースリポジトリもチェックアウトし、src/android/ ディレクトリを AOSP チェックアウトのルートに移動してください。これにより、Android ビルドシステムが src/android/ 内の Android.bp ファイルを認識できるようになります。

エミュレータまたは実機で adb sync が動作することを確認し、src/android/build_all.sh を使ってすべての Android サンプルを事前にビルドしてください。スクリプトを読んでどのコマンドが実行されるかを確認し、それらを手動で実行しても動作することを確かめてください。

Rust in Chromium

Rust in Chromium の深掘りコースは、Chromium ブラウザの一部として Rust を使う方法を扱う半日コースです。これには、Chromium の gn ビルドシステムで Rust を使うこと、サードパーティライブラリ（「クレート」）の取り込み、C++ との相互運用が含まれます。

Chromium をビルドできる必要があります — 速度の面では、デバッグ用の component build が推奨されますが、どのビルドでも動作します。ビルドした Chromium ブラウザを実行できることを確認してください。

Bare-Metal Rust

Bare-Metal Rust の深掘りコースは、ベアメタル（組み込み）開発で Rust を使う方法を扱う 1 日コースです。マイクロコントローラとアプリケーションプロセッサの両方を扱います。

マイクロコントローラのパートでは、事前に BBC micro:bit v2 開発ボードを購入しておく必要があります。全員がウェルカムページに記載されているとおりに、いくつかのパッケージをインストールする必要があります。

Rustでの並行性

Concurrency in Rust の深掘りコースは、古典的な並行性と async/await による並行性を扱う 1 日コースです。

新しいクレートをセットアップし、依存関係をダウンロードしてすぐに使えるようにしておく必要があります。その後、サンプルを src/main.rs にコピー＆ペーストして試すことができます。

cargo init concurrency
cd concurrency
cargo add tokio --features full
cargo run

not found - {{%course outline Concurrency}}

Idiomatic Rust

Idiomatic Rust の深掘りコースは、Rust のイディオムとパターンを扱う 2 日間のコースです。

このコースを始める前に、Rust Fundamentals の内容を一通り理解しておくべきです。

not found - {{%course outline Idiomatic Rust}}

Unsafe（作業中）

Unsafe の深掘りコースは、Rust 言語の unsafe を扱う 2 日間のコースです。Rust の安全性保証の基礎、unsafe の必要性、unsafe コードのレビュー手順、FFI の基礎、そして通常なら借用チェッカーに拒否されるデータ構造の構築を扱います。

not found - {{%course outline Unsafe}}

進め方

このコースは非常にインタラクティブに進めることを意図しており、質問をきっかけに Rust の探求を進めていくことをお勧めします！

キーボードショートカット

mdBook には、いくつか便利なキーボードショートカットがあります。

Arrow-Left: 前のページに移動します。
Arrow-Right: 次のページに移動します。
Ctrl + Enter: フォーカスのあるコードサンプルを実行します。
s: 検索バーをアクティブにします。

これらのショートカットは mdbook の標準機能であり、mdbook で生成されたあらゆるサイトを移動するときに役立つことを伝えてください。
各ショートカットを受講者にライブで実演できます。
検索用の s キーは、以前に取り上げたトピックをすばやく見つけるのに特に便利です。
Ctrl + Enter は、ライブコーディングをたくさん行うことになるので、あなたにとって非常に重要です。

翻訳

このコースは、素晴らしいボランティアの方々によってさまざまな言語に翻訳されています:

ポルトガル語（ブラジル）は @rastringer, @hugojacob, @joaovicmendes, @henrif75 による翻訳です。
中国語（簡体字）は @suetfei, @wnghl, @anlunx, @kongy, @noahdragon, @superwhd, @SketchK, @nodmp による翻訳です。
中国語（繁体字）は @hueich, @victorhsieh, @mingyc, @kuanhungchen, @johnathan79717 による翻訳です。
ペルシア語は @DannyRavi, @javad-jafari, @Alix1383, @moaminsharifi, @hamidrezakp, @mehrad77 による翻訳です。
日本語は @CoinEZ-JPN, @momotaro1105, @HidenoriKobayashi, @kantasv による翻訳です。
韓国語は @keispace, @jiyongp, @jooyunghan, @namhyung による翻訳です。
スペイン語は @deavid による翻訳です。
ウクライナ語は @git-user-cpp, @yaremam, @reta による翻訳です。

右上の言語選択メニューを使って、言語を切り替えてください。

未完成の翻訳

現在進行中の翻訳も数多くあります。ここでは、最近更新された翻訳へのリンクを掲載しています:

アラビア語は @younies による翻訳です。
ベンガル語は @raselmandol による翻訳です。
フランス語は @KookaS, @vcaen, @AdrienBaudemont による翻訳です。
ドイツ語は @Throvn, @ronaldfw による翻訳です。
イタリア語は @henrythebuilder, @detro による翻訳です。

翻訳の完全な一覧と現在の状況は、最終更新時点の一覧またはコースの最新版に同期された一覧でも参照できます。

この取り組みに協力したい場合は、始め方について手順を参照してください。翻訳に関する調整はイシュートラッカーで行われています。

これは、翻訳に貢献してくれたボランティアの方々に感謝を伝えるよい機会です。
授業に上記のいずれかの言語を話す受講者がいる場合は、翻訳版を確認してみるよう勧め、問題を見つけたら貢献してもらうよう促せます。
このプロジェクトがオープンソースであり、翻訳だけでなくコース内容そのものへの貢献も歓迎されていることを強調してください。

Cargo を使う

Rust について読み始めると、すぐに Cargo に出会うでしょう。これは、Rust エコシステムで Rust アプリケーションをビルドして実行するために使われる標準ツールです。ここでは、Cargo とは何か、より広いエコシステムの中でどのような位置付けにあるのか、そしてこのトレーニングの中でどのように位置付けられるのかを簡単に概説します。

インストール

https://rustup.rs/ の手順に従ってください。

これにより、Cargo ビルドツール (cargo) と Rust コンパイラ (rustc) がインストールされます。また、異なるコンパイラバージョンをインストールするために使えるコマンドラインユーティリティ rustup も利用できるようになります。

Rust をインストールしたら、エディタや IDE が Rust で動作するように設定するべきです。ほとんどのエディタは rust-analyzer と連携することでこれを実現します。rust-analyzer は、VS Code、Emacs、Vim/Neovim など多くの環境向けに、自動補完や定義へのジャンプ機能を提供します。RustRover という別の IDE も利用できます。

Debian/Ubuntu では、apt 経由で rustup をインストールできます:
```
sudo apt install rustup
```
macOS では、Rust のインストールに Homebrew を使用できますが、古いバージョンが提供される場合があります。そのため、公式サイトから Rust をインストールすることを推奨します。

Rust エコシステム

Rust エコシステムは多数のツールで構成されており、主なものは次のとおりです:

rustc: .rs ファイルをバイナリやその他の中間形式に変換する Rust コンパイラ。
cargo: Rust の依存関係マネージャー兼ビルドツール。Cargo は、通常 https://crates.io でホストされている依存関係をダウンロードでき、プロジェクトをビルドするときにそれらを rustc に渡します。Cargo には組み込みのテストランナーも含まれており、ユニットテストの実行に使われます。
rustup: Rust ツールチェーンのインストーラー兼アップデーター。このツールは、新しい Rust のバージョンがリリースされたときに rustc と cargo をインストールおよび更新するために使用されます。さらに、rustup は標準ライブラリのドキュメントもダウンロードできます。複数の Rust バージョンを同時にインストールしておくことができ、rustup を使って必要に応じてそれらを切り替えられます。

重要なポイント:

Rust は6週間ごとに新しいリリースが出るという迅速なリリースサイクルを採用しています。新しいリリースは古いリリースとの後方互換性を維持します — さらに、新しい機能も利用可能にします。
リリースチャネルは “stable”、“beta”、“nightly” の3つです。
新機能は “nightly” でテストされ、“beta” は6週間ごとに “stable” になるものです。
依存関係は、代替の registries、git、フォルダーなどから解決することもできます。
Rust には editions もあります。現在のエディションは Rust 2024 です。以前のエディションは Rust 2015、Rust 2018、Rust 2021 でした。
- エディションでは、言語に後方互換性のない変更を加えることが認められています。
- コードが壊れるのを防ぐため、エディションはオプトイン方式です: Cargo.toml ファイルを通じて、crate に使用するエディションを選択します。
- エコシステムの分断を避けるため、Rust コンパイラは異なるエディション向けに書かれたコードを混在させることができます。
- コンパイラを cargo を介さずに直接使うことはかなりまれであること（ほとんどのユーザーは一度もそうしないこと）にも触れてください。
- Cargo 自体が非常に強力で包括的なツールであることに触れるのもよいでしょう。 Cargo は、次のようなものを含む多くの高度な機能を備えています:
  - プロジェクト/パッケージ構造
  - workspaces（ワークスペース）
  - 開発依存関係および実行時依存関係の管理/キャッシュ
  - build scripting（ビルドスクリプト）
  - global installation
  - また、サブコマンドプラグインによる拡張も可能です（たとえば cargo clippy）。
- 詳しくは official Cargo Book を参照してください

このトレーニングのコードサンプル

このトレーニングでは、主にブラウザから実行できる例を通して Rust 言語を学びます。これによりセットアップがはるかに簡単になり、全員に一貫した体験を提供できます。

Cargo をインストールしておくことも引き続き推奨されます。そうすることで演習が進めやすくなります。最終日には、依存関係の扱い方を学ぶための、より大きな演習を行います。そのためには Cargo が必要です。

このコースのコードブロックは完全にインタラクティブです:

// 著作権 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    println!("Edit me!");
}

テキストボックスにフォーカスがあるときは、Ctrl + Enter でコードを実行できます。

ほとんどのコードサンプルは、上で示したように編集できます。いくつかのコードサンプルは、さまざまな理由により編集できません:

埋め込み Playground ではユニットテストを実行できません。ユニットテストを試すには、コードをコピー＆ペーストして実際の Playground で開いてください。
埋め込み Playground は、ページから移動した瞬間に状態を失います! このため、受講者はローカルの Rust インストール環境または Playground を使って演習に取り組むべきです。

Cargo を使ってローカルでコードを実行する

自分のシステムでコードを試してみたい場合は、まず Rust をインストールする必要があります。これを行うには、Rust Book の手順に従ってください。これにより、動作する rustc と cargo が手に入るはずです。本稿執筆時点では、最新の安定版 Rust リリースのバージョン番号は次のとおりです。

% rustc --version
rustc 1.69.0 (84c898d65 2023-04-16)
% cargo --version
cargo 1.69.0 (6e9a83356 2023-04-12)

Rust は後方互換性を維持しているため、これより新しいバージョンでも使用できます。

ここまで準備できたら、このトレーニングにある例の 1 つから Rust バイナリをビルドするために、次の手順に従ってください。

コピーしたい例の「Copy to clipboard」ボタンをクリックします。
cargo new exercise を使って、コード用の新しい exercise/ ディレクトリを作成します。
```
$ cargo new exercise
     Created binary (application) `exercise` package
```

exercise/ に移動し、cargo run を使ってバイナリをビルドして実行します。

$ cd exercise
$ cargo run
   Compiling exercise v0.1.0 (/home/mgeisler/tmp/exercise)
    Finished dev [unoptimized + debuginfo] target(s) in 0.75s
     Running `target/debug/exercise`
Hello, world!

src/main.rs にあるひな形コードを自分のコードに置き換えます。たとえば、前のページの例を使う場合は、src/main.rs を次のようにします。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    println!("Edit me!");
}

cargo run を使って、更新したバイナリをビルドして実行します。

$ cargo run
   Compiling exercise v0.1.0 (/home/mgeisler/tmp/exercise)
    Finished dev [unoptimized + debuginfo] target(s) in 0.24s
     Running `target/debug/exercise`
Edit me!

cargo check を使うと、プロジェクトのエラーをすばやく確認できます。cargo build を使うと、実行せずにコンパイルできます。通常のデバッグビルドでは、出力は target/debug/ にあります。最適化されたリリースビルドを生成するには、cargo build --release を使ってください。生成先は target/release/ です。
Cargo.toml を編集することで、プロジェクトに依存関係を追加できます。cargo コマンドを実行すると、不足している依存関係は自動的にダウンロードおよびコンパイルされます。

授業の参加者には、Cargo をインストールしてローカルのエディタを使うよう勧めてみてください。通常の開発環境が使えるようになるため、そのほうが作業しやすくなります。

1日目へようこそ

これは Rust Fundamentals の初日です。今日は幅広い範囲のトピックを扱います。

Rust の基本構文: 変数、スカラー型と複合型、列挙型、構造体、参照、関数、メソッド。
型と型推論。
制御フロー構文: ループ、条件分岐など。
ユーザー定義型: 構造体と列挙型。

スケジュール

session outline

受講者に次の点を忘れずに伝えてください。

質問があれば、その場でしてください。最後までためておかないでください。
このクラスは双方向で進めることを意図しており、議論は大いに歓迎されます!
- 講師としては、議論が適切な範囲に収まるよう努めてください。つまり、 Rust がどのように物事を行うかと、他の言語のやり方との比較に関する議論にしてください。適切なバランスを見つけるのは難しいかもしれませんが、一方通行のコミュニケーションよりも参加者の関与を高めるため、迷ったら議論を許容する方向で考えてください。
質問によって、スライドより先の内容について話すことになる可能性が高いです。
- それでまったく問題ありません! 反復は学習の重要な一部です。スライドはあくまで補助であり、必要に応じて自由に飛ばしてよいことを忘れないでください。

初日のねらいは、他の言語にもすぐ対応づけられる Rust の「基本」的な事柄を示すことです。Rust のより高度な部分は、その後の日に扱います。

これを教室で教えている場合は、ここでスケジュールを確認するのに適しています。各セグメントの最後には演習があり、その後に休憩があります。休憩後に演習の解答を扱う予定にしてください。ここに記載されている時間は、コースを予定どおりに進めるための目安です。必要に応じて柔軟に調整してください!

Hello, World

segment outline

Rust とは何か？

Rust は新しいプログラミング言語で、2015 年に 1.0 がリリースされました:

Rust は C++ と似た役割を担う静的コンパイル言語です
- rustc はバックエンドとして LLVM を使用します。
Rust は多くのプラットフォームとアーキテクチャをサポートしています:
- x86, ARM, WebAssembly, …
- Linux, Mac, Windows, …
Rust は幅広いデバイスで使用されています:
- ファームウェアやブートローダー、
- スマートディスプレイ、
- 携帯電話、
- デスクトップ、
- サーバー。

Rust は C++ と同じ領域に位置しています:

高い柔軟性。
高い制御性。
マイクロコントローラーのような、リソースが非常に限られたデバイスにもスケールダウンできます。
ランタイムやガベージコレクションを持ちません。
パフォーマンスを犠牲にすることなく、信頼性と安全性を重視しています。

Rust の利点

Rust の主な特長:

コンパイル時のメモリ安全性 - メモリバグの大きな分類全体をコンパイル時に防止できる
- 未初期化変数がない。
- 二重解放がない。
- 解放後使用がない。
- NULL ポインタがない。
- ロック解除し忘れたミューテックスがない。
- スレッド間のデータ競合がない。
- イテレータの無効化がない。
未定義の実行時動作がない - Rust の文が何をするかが未規定のままになることは決してない
- 配列アクセスでは境界チェックが行われる。
- 整数オーバーフローは定義されている（panic またはラップアラウンド）。
モダンな言語機能 - より高水準な言語と同等の表現力と使いやすさを備えている
- 列挙型とパターンマッチング。
- ジェネリクス。
- オーバーヘッドのない FFI。
- ゼロコスト抽象化。
- 優れたコンパイラエラー。
- 組み込みの依存関係マネージャー。
- テストの組み込みサポート。
- 優れた Language Server Protocol サポート。

ここにはあまり時間をかけないでください。これらの点はすべて、後でさらに詳しく扱います。

受講者に、どの言語の経験があるかを必ず尋ねてください。答えに応じて、Rust の異なる特徴を強調できます:

C または C++ の経験がある場合: Rust は borrow checker によって、 実行時エラー の大きな分類全体を排除します。C や C++ のような性能を得られますが、メモリ安全性の問題はありません。さらに、パターンマッチングや組み込みの依存関係管理のような構文を備えたモダンな言語でもあります。
Java, Go, Python, JavaScript… の経験がある場合: それらの言語と同じメモリ安全性に加えて、同様の高水準言語らしい感覚を得られます。さらに、 C や C++ のように高速で予測可能な性能（ガーベジコレクタなし）と、低レベルのハードウェアへのアクセスも得られます（必要であれば）。

プレイグラウンド

Rust Playground は、短い Rust プログラムを実行するための簡単な方法を提供しており、このコースの例や演習の基盤にもなっています。最初に表示される “hello-world” プログラムを実行してみてください。便利な機能がいくつかあります。

“Tools” の下にある rustfmt オプションを使うと、コードを「標準的な」方法で整形できます。
Rust には、コードを生成するための主な「プロファイル」が 2 つあります: Debug（実行時チェックが多く、最適化は少ない）と Release（実行時チェックが少なく、最適化が多い）です。これらは上部の “Debug” から利用できます。
興味があれば、“…” の下にある “ASM” を使って、生成されたアセンブリコードを見ることができます。

受講者が休憩に入る際には、プレイグラウンドを開いて少し試してみるよう促してください。コースの残りの時間もタブを開いたままにして、いろいろ試してみるよう勧めてください。これは、Rust の最適化や生成されたアセンブリについてもっと知りたい上級の受講者にとって、特に役立ちます。

型と値

segment outline

Hello, World

最も単純な Rust プログラムである、古典的な Hello World プログラムから始めましょう:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    println!("Hello 🌍!");
}

ここでわかること:

関数は fn で定義します。
main 関数はプログラムのエントリポイントです。
ブロックは、C や C++ と同様に波かっこで区切ります。
文は ; で終わります。
println はマクロであり、呼び出し時の ! で示されます。
Rust の文字列は UTF-8 でエンコードされており、任意の Unicode 文字を含められます。

このスライドは、受講者が Rust のコードに慣れ親しめるようにすることを目的としています。これからの 4 日間で大量のコードを見ることになるので、まずは馴染みのある小さなものから始めます。

重要なポイント:

Rust は、C/C++/Java の系譜にある他の言語によく似ています。命令型の言語であり、絶対に必要でない限り物事を作り直そうとはしません。
Rust はモダンで、Unicode を完全にサポートしています。
Rust では、可変個の引数を取りたい場面でマクロを使います（関数のオーバーロードはありません）。
println! がマクロなのは、通常の関数では実現できない、書式文字列に応じた任意個の引数を扱う必要があるためです。それ以外の点では、通常の関数のように扱えます。
Rust はマルチパラダイムです。たとえば、強力なオブジェクト指向プログラミング機能を備えており、また、関数型言語ではないものの、さまざまな関数型の概念を取り入れています。

変数

Rust は静的型付けによって型安全性を提供します。変数束縛は let で行います。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let x: i32 = 10;
    println!("x: {x}");
    // x = 20;
    // println!("x: {x}");
}

x = 20 のコメントを外して、変数がデフォルトで不変であることを確認しましょう。変更を許可するには、mut キーワードを追加します。
このスライドでは、未使用変数や不要な mut などに対する警告が有効になっています。こうした警告は注意をそらさないように、ほとんどのスライドでは省略されています。変更を削除して、mut キーワードだけを残してみてください。
ここでの i32 は変数の型です。これはコンパイル時にわかっている必要がありますが、型推論（後で扱います）により、多くの場合はプログラマがこれを省略できます。

値

以下は、基本的な組み込み型と、各型のリテラル値の構文です。

	型	リテラル
符号付き整数	`i8`、`i16`、`i32`、`i64`、`i128`、`isize`	`-10`、`0`、`1_000`、`123_i64`
符号なし整数	`u8`、`u16`、`u32`、`u64`、`u128`、`usize`	`0`、`123`、`10_u16`
浮動小数点数	`f32`、`f64`	`3.14`、`-10.0e20`、`2_f32`
Unicode スカラー値	`char`	`'a'`、`'α'`、`'∞'`
真偽値	`bool`	`true`、`false`

各型のビット幅は次のとおりです。

iN、uN、fN は N ビット幅です。
isize と usize はポインタの幅です。
char は 32 ビット幅です。
bool は 8 ビット幅です。

上には示していない構文がいくつかあります。

数値中のアンダースコアはすべて省略できます。これらは可読性のためだけのものです。したがって、 1_000 は 1000（または 10_00）と書くことができ、123_i64 は 123i64 と書くことができます。

算術

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn interproduct(a: i32, b: i32, c: i32) -> i32 {
    return a * b + b * c + c * a;
}

fn main() {
    println!("result: {}", interproduct(120, 100, 248));
}

これは、main 以外の関数を初めて見る場面ですが、その意味は明らかなはずです。3 つの整数を受け取り、整数を返します。関数については、後でさらに詳しく扱います。

算術は、優先順位も含めて、他の言語と非常によく似ています。

では、整数オーバーフローはどうでしょうか。C および C++ では、符号付き 整数のオーバーフローは実際には未定義であり、実行時に何が起こるかわかりません。Rust では、これは定義されています。

i32 を i16 に変更して、整数オーバーフローを確認してみてください。これは、デバッグビルドではパニックし（チェックあり）、リリースビルドでは値が折り返します。ほかにも、overflowing、saturating、carrying といった選択肢があります。これらはメソッド構文で利用でき、たとえば (a * b).saturating_add(b * c).saturating_add(c * a) のように書けます。

実際、コンパイラは定数式のオーバーフローを検出します。そのため、この例では別個の関数が必要になります。

型推論

Rust は、変数がどのように 使われるか を見て型を決定します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn takes_u32(x: u32) {
    println!("u32: {x}");
}

fn takes_i8(y: i8) {
    println!("i8: {y}");
}

fn main() {
    let x = 10;
    let y = 20;

    takes_u32(x);
    takes_i8(y);
    // takes_u32(y);
}

このスライドでは、変数宣言とその使用によって与えられる制約に基づいて、Rust コンパイラがどのように型を推論するかを示します。

このように宣言された変数が、あらゆるデータを保持できる何らかの動的な「任意の型」であるわけではないことを、強調するのは非常に重要です。こうした宣言によって生成される機械語コードは、型を明示した宣言によって生成されるものと同一です。コンパイラがその作業を代わりに行ってくれるため、より簡潔なコードを書くことができます。

整数リテラルの型を制約するものが何もない場合、Rust はデフォルトで i32 を使用します。これは、エラーメッセージでは {integer} と表示されることがあります。同様に、浮動小数点リテラルのデフォルトは f64 です。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let x = 3.14;
    let y = 20;
    assert_eq!(x, y);
    // エラー: `{float} == {integer}` に対する実装がありません
}

演習: フィボナッチ

フィボナッチ数列は [0, 1] から始まります。n > 1 の場合、次の数は直前の 2 つの数の和です。

n 番目のフィボナッチ数を計算する関数 fib(n) を書いてください。この関数はいつ panic しますか？

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn fib(n: u32) -> u32 {
    if n < 2 {
        // ベースケース。
        return todo!("ここを実装してください");
    } else {
        // 再帰ケース。
        return todo!("ここを実装してください");
    }
}

fn main() {
    let n = 20;
    println!("fib({n}) = {}", fib(n));
}

この演習は、再帰の古典的な入門です。
受講者に、ベースケースと再帰ステップについて考えるよう促してください。
「この関数はいつ panic しますか？」という問いは、整数オーバーフローについて考えるためのヒントです。フィボナッチ数列は急速に大きくなります！
受講者は反復的な解法も思いつくかもしれません。これは、再帰と反復のトレードオフ（例: パフォーマンス、深い再帰でのスタックオーバーフロー）について議論する絶好の機会です。

解答

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn fib(n: u32) -> u32 {
    if n < 2 {
        return n;
    } else {
        return fib(n - 1) + fib(n - 2);
    }
}

fn main() {
    let n = 20;
    println!("fib({n}) = {}", fib(n));
}

ここでは、関数から値を返すために return 構文を使っています。講座の後半では、ブロック内の最後の式が自動的に返されることを学びます。これにより、より簡潔なスタイルのために return キーワードを省略できるようになります。

if の条件 n < 2 には括弧は不要で、これは Rust の標準的なスタイルです。

パニック

この演習では、この関数がいつパニックするかを問います。フィボナッチ数列は非常に急速に増加します。u32 では、n が 48 に達すると、計算された値は 32 ビット整数の上限 (4,294,967,295) をオーバーフローします。

Rust では、整数演算は デバッグモード（cargo run を使うときのデフォルト）でオーバーフローを検査します。オーバーフローが発生すると、プログラムはパニックし（エラーメッセージを表示してクラッシュし）ます。 リリースモード（cargo run --release）では、オーバーフローチェックはデフォルトで無効になっており、値はラップアラウンドし（モジュラー演算）、誤った結果を生成します。

解答をステップごとにたどってください。
再帰呼び出しと、それらがどのように最終結果につながるかを説明してください。
整数オーバーフローの問題について議論してください。u32 では、この関数は n が 47 前後でパニックします。main への入力を変更することで、これを実演できます。
代替として反復的な解法を示し、その性能とメモリ使用量を再帰的なものと比較してください。反復的な解法の方がはるかに効率的です。

さらに学ぶ

より発展的な議論として、再帰的なフィボナッチ計算を最適化するためにメモ化や動的計画法を紹介できますが、これは現在のトピックの範囲を超えています。

制御フローの基本

segment outline

これから、Rust にあるさまざまな種類のフロー制御を見ていきます。
その多くは、他のプログラミング言語ですでに見たことのあるものに非常によく似ています。

ブロックとスコープ

Rust のブロックには、波かっこ {} で囲まれた一連の式が含まれます。
ブロックの最後の式によって、ブロック全体の値と型が決まります。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let z = 13;
    let x = {
        let y = 10;
        dbg!(y);
        z - y
    };
    dbg!(x);
    // dbg!(y);
}

最後の式が ; で終わる場合、結果の値と型は () になります。

変数のスコープは、それを囲むブロック内に限定されます。

dbg! は、手早いデバッグのために、与えられた式の値を出力して返す Rust マクロであると説明できます。
ブロック内の最後の行を変更すると、ブロックの値がどのように変わるかを示せます。たとえば、セミコロンを追加/削除したり、return を使ったりする場合です。
スコープの外で y にアクセスしようとするとコンパイルできないことを実演できます。
値は、そのスタック上のデータがまだ残っていても、スコープを外れると実質的に「解放」されます。

`if` 式

if 式は、他の言語の if 文とまったく同じように使用します。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let x = 10;
    if x == 0 {
        println!("zero!");
    } else if x < 100 {
        println!("biggish");
    } else {
        println!("huge");
    }
}

さらに、if は式としても使用できます。各ブロックの最後の式が、 if 式の値になります。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let x = 10;
    let size = if x < 20 { "small" } else { "large" };
    println!("number size: {}", size);
}

if は式であり、特定の型を持つ必要があるため、その両方の分岐ブロックは同じ型でなければなりません。2 つ目の例で "small" の後に ; を追加するとどうなるかを確認してください。

if 式は、他の式と同じように使用する必要があります。たとえば、 let 文で使用する場合、その文も ; で終わっていなければなりません。 println! の前の ; を削除して、コンパイラエラーを確認してください。

`match` 式

match は、値を1つ以上の選択肢と照合するために使用できます:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let val = 1;
    match val {
        1 => println!("one"),
        10 => println!("ten"),
        100 => println!("one hundred"),
        _ => {
            println!("something else");
        }
    }
}

if 式と同様に、match も値を返すことができます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let flag = true;
    let val = match flag {
        true => 1,
        false => 0,
    };
    println!("The value of {flag} is {val}");
}

match のアームは上から下へ順に評価され、一致した最初のものに対応する本体が実行されます。
他の言語の switch のようなケース間のフォールスルーはありません。
match アームの本体は、単一の式にもブロックにもできます。厳密にはブロックも式であるためこれは同じことですが、現時点では受講者はその対称性をまだ完全には理解していないかもしれません。
match 式は網羅的である必要があります。つまり、すべての可能な値をカバーするか、_ のようなデフォルトケースを持つ必要があります。網羅性は列挙型で示すのが最も簡単ですが、列挙型はまだ導入されていません。代わりに、最も単純なプリミティブ型である bool に対するマッチを示しています。
このスライドでは、パターンマッチについて触れずに match を紹介し、受講者が最初から情報を詰め込みすぎることなく構文に慣れる機会を与えています。パターンマッチについては明日より詳しく扱うので、ここではあまり詳しく立ち入らないようにしてください。

さらに探る

match を使う動機をさらに示すために、これらの例を if で書いた等価なコードと比較できます。2つ目の例では、bool に対するマッチは、 if {} else {} ブロックとかなり似ています。しかし、複数のケースを調べる最初の例では、match 式のほうが if {} else if {} else if {} else より簡潔に書けます。
match はマッチガードもサポートしており、これにより任意の論理条件を追加して、その match アームを選択すべきかどうかを評価できます。ただし、マッチガードを説明するにはパターンマッチについて説明する必要があり、このスライドではそれを避けたいと考えています。

ループ

Rust には、while、loop、for という 3 つのループ用キーワードがあります:

`while`

while キーワードは他の言語の場合とほぼ同じように動作し、条件が真である限りループ本体を実行します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut x = 200;
    while x >= 10 {
        x = x / 2;
    }
    dbg!(x);
}

`for`

for ループは、値の範囲またはコレクション内の要素を反復処理します:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    for x in 1..5 {
        dbg!(x);
    }

    for elem in [2, 4, 8, 16, 32] {
        dbg!(elem);
    }
}

内部では、for ループはさまざまな種類の範囲やコレクションを反復処理するために、「イテレータ」と呼ばれる概念を使用します。イテレータについては後で詳しく説明します。
最初の for ループは 4 までしか反復しないことに注意してください。包含範囲を表す 1..=5 構文を示してください。

`loop`

loop 文は、break するまでひたすらループし続けます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut i = 0;
    loop {
        i += 1;
        dbg!(i);
        if i > 100 {
            break;
        }
    }
}

loop 文は while true ループのように動作します。接続を永続的に処理し続けるサーバーのようなものに使います。

`break` と `continue`

次のイテレーションをすぐに開始したい場合は、 continue を使用します。

何らかの種類のループを途中で抜けたい場合は、 break を使用します。 loop では、これに省略可能な式を指定でき、その式が loop 式の値になります。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut i = 0;
    loop {
        i += 1;
        if i > 5 {
            break;
        }
        if i % 2 == 0 {
            continue;
        }
        dbg!(i);
    }
}

なお、loop は非自明な値を返せる唯一のループ構文です。これは、break 文でのみ返ることが保証されているためです（条件が満たされなくなったときにも返る while ループや for ループとは異なります）。

ラベル

continue と break はどちらも、ネストしたループを抜けるために使う省略可能なラベル引数を受け取れます:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let s = [[5, 6, 7], [8, 9, 10], [21, 15, 32]];
    let mut elements_searched = 0;
    let target_value = 10;
    'outer: for i in 0..=2 {
        for j in 0..=2 {
            elements_searched += 1;
            if s[i][j] == target_value {
                break 'outer;
            }
        }
    }
    dbg!(elements_searched);
}

ラベル付き break も任意のブロックで機能します。たとえば次のとおりです。

#![allow(unused)]
fn main() {
// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

'label: {
    break 'label;
    println!("This line gets skipped");
}
}

関数

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn gcd(a: u32, b: u32) -> u32 {
    if b > 0 { gcd(b, a % b) } else { a }
}

fn main() {
    dbg!(gcd(143, 52));
}

宣言では、パラメータの後に型を書き（一部のプログラミング言語とは逆）、次に戻り値の型を書きます。
関数本体（または任意のブロック）の最後の式が戻り値になります。式の末尾の ; を省略するだけです。早期リターンには return キーワードを使用できますが、関数の末尾では「値だけを書く」形式が慣用的です（gcd を return を使うようにリファクタリングしてみてください）。
一部の関数には戻り値がなく、「ユニット型」である () を返します。戻り値の型を省略した場合、コンパイラがこれを推論します。
オーバーロードはサポートされていません – 各関数に実装は 1 つだけです。
- 常に固定個数のパラメータを取ります。デフォルト引数はサポートされていません。可変長関数をサポートするためにマクロを使うことはできます。
- 常に 1 組のパラメータ型だけを取ります。これらの型はジェネリックにすることができ、これについては後で扱います。

マクロ

マクロはコンパイル時に Rust コードへ展開され、可変個の引数を取ることができます。末尾に ! が付くことで区別されます。Rust の標準ライブラリには、便利なマクロがいくつも含まれています。

println!(format, ..) は標準出力に 1 行出力し、std::fmt で説明されている書式設定を適用します。
format!(format, ..) は println! と同様に動作しますが、結果を文字列として返します。
dbg!(expression) は式の値をログに出力し、それを返します。
todo!() はコードの一部を未実装として示します。実行されると panic します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn factorial(n: u32) -> u32 {
    let mut product = 1;
    for i in 1..=n {
        product *= dbg!(i);
    }
    product
}

fn fizzbuzz(n: u32) -> u32 {
    todo!()
}

fn main() {
    let n = 4;
    println!("{n}! = {}", factorial(n));
}

このセクションの要点は、このような一般的で便利な機能が存在することと、その使い方です。なぜそれらがマクロとして定義されているのか、また何に展開されるのかは、特に重要ではありません。

このコースではマクロの定義は扱いませんが、後のセクションで derive マクロの使い方を説明します。

さらに調べる

標準ライブラリには、ほかにも便利なマクロがいくつも用意されています。さらに知りたい学生と共有できる、ほかの例をいくつか挙げます。

assert! と関連するマクロは、コードにアサーションを追加するために使用できます。これらはテストを書く際に多用されます。
unreachable! は、制御フローの中で決して到達しないはずの分岐を示すために使用されます。
eprintln! を使うと stderr に出力できます。

演習: コラッツ数列

コラッツ数列は、0より大きい任意の n₁ に対して、次のように定義されます:

n_i が 1 であれば、数列は n_i で終了します。
n_i が偶数であれば、n_i+1 = n_i / 2 となります。
n_i が奇数であれば、n_i+1 = 3 * n_i + 1 となります。

たとえば、n₁ = 3 から始めると:

3 は奇数なので、n₂ = 3 * 3 + 1 = 10;
10 は偶数なので、n₃ = 10 / 2 = 5;
5 は奇数なので、n₄ = 3 * 5 + 1 = 16;
16 は偶数なので、n₅ = 16 / 2 = 8;
8 は偶数なので、n₆ = 8 / 2 = 4;
4 は偶数なので、n₇ = 4 / 2 = 2;
2 は偶数なので、n₈ = 1; そして
数列は終了します。

与えられた初期 n に対するコラッツ数列の長さを計算する関数を作成してください。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// Determine the length of the collatz sequence beginning at `n`.
fn collatz_length(mut n: i32) -> u32 {
  todo!("ここを実装してください")
}

fn main() {
    println!("Length: {}", collatz_length(11)); // should be 15
}

解答

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// Determine the length of the collatz sequence beginning at `n`.
fn collatz_length(mut n: i32) -> u32 {
    let mut len = 1;
    while n > 1 {
        n = if n % 2 == 0 { n / 2 } else { 3 * n + 1 };
        len += 1;
    }
    len
}

fn main() {
    println!("Length: {}", collatz_length(11)); // should be 15
}

この解答では、いくつかの重要な Rust の機能を示しています。

mut 引数: n 引数は mut n として宣言されています。これにより、ローカル変数 n は関数スコープ内で可変になります。整数は値渡しされる Copy 型であるため、これは呼び出し元の値には影響しません。
if 式: Rust の if は式であり、値を生成することを意味します。if/else ブロックの結果を直接 n に代入しています。これは、各分岐の中で n = ... と書くよりも簡潔です。
暗黙の return: 関数は len で終わっており（セミコロンなし）、これが自動的に返されます。

Collatz 数列が有効であるためには、n は厳密に 0 より大きくなければならないことに注意してください。関数シグネチャは i32 を受け取りますが、問題文は正の整数を想定しています。より堅牢な実装では u32 を使うか、無効な入力（0 または負の数）を処理するために Option または Result を返すかもしれませんが、ここでは n <= 0 の場合に panic や無限ループが起こる可能性があります。
Fibonacci の演習と同様に、n が大きくなりすぎるとオーバーフローが潜在的な問題になります。

お帰りなさい

session outline

タプルと配列

segment outline

Rust でプリミティブ型がどのように機能するかを見てきました。次は、新しい複合型の構築を始める番です。

配列

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut a: [i8; 5] = [5, 4, 3, 2, 1];
    a[2] = 0;
    println!("a: {a:?}");
}

配列は、[0; 1024] のような短縮構文を使って初期化することもできます。これは、すべての要素を同じ値で初期化したいときや、手動で初期化するのが大変な大きな配列がある場合に便利です。
配列型 [T; N] の値は、同じ型 T の要素を N 個（コンパイル時定数）保持します。配列の長さは 型の一部 であることに注意してください。つまり、 [u8; 3] と [u8; 4] は 2 つの異なる型と見なされます。サイズが実行時に決まるスライスについては、後で扱います。
範囲外の配列要素にアクセスしてみてください。コンパイラはこのインデックスが安全ではないことを判断できるため、このコードはコンパイルされません:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut a: [i8; 5] = [5, 4, 3, 2, 1];
    a[6] = 0;
    println!("a: {a:?}");
}

配列アクセスは実行時にチェックされます。Rust は可能な場合、これらのチェックを最適化によって取り除きます。つまり、コンパイラがアクセスの安全性を証明できるなら、より高い性能のために実行時チェックを削除します。これらは unsafe Rust を使うことで回避できます。この最適化は非常に優れているため、実行時チェックが失敗する例を示すのは簡単ではありません。次のコードはコンパイルされますが、実行時に panic します:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn get_index() -> usize {
    6
}

fn main() {
    let mut a: [i8; 5] = [5, 4, 3, 2, 1];
    a[get_index()] = 0;
    println!("a: {a:?}");
}

配列に値を代入するためにリテラルを使えます。
配列はヒープに確保されません。配列はコンパイル時に分かる固定サイズを持つ通常の値であり、つまりスタック上に置かれます。これは、配列がデフォルトでヒープに確保されることがあるガベージコレクション言語に慣れた受講者の想定とは異なる場合があります。
配列から要素を削除する方法も、配列に要素を追加する方法もありません。配列の長さはコンパイル時に固定されるため、実行時にその長さを変更することはできません。

デバッグ出力

println! マクロは、? 書式パラメータでデバッグ実装を要求します: {} はデフォルト出力を与え、{:?} はデバッグ出力を与えます。整数や文字列のような型はデフォルト出力を実装していますが、配列はデバッグ出力しか実装していません。つまり、ここではデバッグ出力を使わなければなりません。
# を追加すると、たとえば {a:#?} のように「整形表示」形式になり、より読みやすくなることがあります。

タプル

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let t: (i8, bool) = (7, true);
    dbg!(t.0);
    dbg!(t.1);
}

配列と同様に、タプルは固定長です。
タプルは、異なる型の値を 1 つの複合型にまとめます。
タプルのフィールドには、ピリオドと値のインデックスを使ってアクセスできます。たとえば t.0、t.1 のようにします。
空のタプル () は「ユニット型」と呼ばれ、他の言語における void に似た、戻り値が存在しないことを表します。
配列とは異なり、タプルは for ループでは使用できません。これは、for ループではすべての要素が同じ型である必要がありますが、タプルではそうでない場合があるためです。
タプルに要素を追加したり削除したりする方法はありません。要素数とその型はコンパイル時に固定されており、実行時に変更することはできません。

配列の反復

for 文は配列に対する反復をサポートしています（ただしタプルはサポートしていません）。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let primes = [2, 3, 5, 7, 11, 13, 17, 19];
    for prime in primes {
        for i in 2..prime {
            assert_ne!(prime % i, 0);
        }
    }
}

この機能では IntoIterator トレイトを使用しますが、これについてはまだ扱っていません。

ここで assert_ne! マクロが新しく登場します。assert_eq! マクロと assert! マクロもあります。これらは常にチェックされますが、debug_assert! のようなデバッグ専用のバリアントは、リリースビルドでは何もないものにコンパイルされます。

パターンと分配束縛

Rust では、パターンマッチを使って、タプルのようなより大きな値をその構成要素に分解して束縛できます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn check_order(tuple: (i32, i32, i32)) -> bool {
    let (left, middle, right) = tuple;
    left < middle && middle < right
}

fn main() {
    let tuple = (1, 5, 3);
    println!(
        "{tuple:?}: {}",
        if check_order(tuple) { "ordered" } else { "unordered" }
    );
}

ここで使われているパターンは「irrefutable」です。つまり、コンパイラは = の右辺の値がそのパターンと同じ構造を持つことを静的に検証できます。
変数名は、どのような値にも常にマッチする irrefutable なパターンです。そのため、let を使って単一の変数を宣言することもできます。
Rust は条件式の中でパターンを使うこともサポートしており、これにより等価比較と分配束縛を同時に行えます。この形式のパターンマッチについては、後でもっと詳しく説明します。
上の例を編集して、パターンがマッチ対象の値と一致しないときにコンパイラエラーが表示されるようにしてみましょう。

演習: ネストした配列

配列には他の配列を含めることができます:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

let array = [[1, 2, 3], [4, 5, 6], [7, 8, 9]];

この変数の型は何ですか？

上のような配列を使って、行列を転置する（行を列にする）関数 transpose を書いてください:

以下のコードを https://play.rust-lang.org/ にコピーして、関数を実装してください。この関数は 3×3 行列に対してのみ動作します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn transpose(matrix: [[i32; 3]; 3]) -> [[i32; 3]; 3] {
    todo!()
}

fn main() {
    let matrix = [
        [101, 102, 103], // <-- the comment makes rustfmt add a newline
        [201, 202, 203],
        [301, 302, 303],
    ];

    println!("Original:");
    for row in matrix {
        println!("{row:?}");
    }

    let transposed = transpose(matrix);

    println!("\nTransposed:");
    for row in transposed {
        println!("{row:?}");
    }
}

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn transpose(matrix: [[i32; 3]; 3]) -> [[i32; 3]; 3] {
    let mut result = [[0; 3]; 3];
    for i in 0..3 {
        for j in 0..3 {
            result[j][i] = matrix[i][j];
        }
    }
    result
}

fn main() {
    let matrix = [
        [101, 102, 103], // <-- the comment makes rustfmt add a newline
        [201, 202, 203],
        [301, 302, 303],
    ];

    println!("Original:");
    for row in matrix {
        println!("{row:?}");
    }

    let transposed = transpose(matrix);

    println!("\nTransposed:");
    for row in transposed {
        println!("{row:?}");
    }
}

配列型: 型 [[i32; 3]; 3] は、サイズ 3 の配列を表し、各要素自体が 3 個の i32 からなる配列です。これは、多次元配列を Rust で通常表現する方法です。
初期化: result は、値を埋める前にゼロ ([[0; 3]; 3]) で初期化します。Rust では、すべての変数は使用前に初期化されている必要があり、安全な Rust には「未初期化メモリ」という概念はありません。
Copy セマンティクス: Copy 型 (i32 など) の配列自体も Copy です。 matrix を関数に渡すと、値渡しによってコピーされます。変数 result は、新しい別個の配列です。
反復: 標準的な範囲 (0..3) を使った for ループで、添字を反復処理します。Rust には強力なイテレータもあり、それらは後で見ますが、この行列の転置ではインデックス指定が分かりやすいやり方です。

[i32; 3] は [i32; 4] とは別の型であることに触れてください。配列のサイズは型シグネチャの一部です。
学生に、matrix を変更した後にそれを直接返そうとするとどうなるか（シグネチャを mut matrix に変更した場合）を尋ねてください。（答え: 動作しますが、返されるのは変更された コピー であり、main 内の元の値は変更されません。）

リファレンス

segment outline

共有参照

参照は、その値の所有権を取得することなく別の値にアクセスするための手段であり、「借用」とも呼ばれます。共有参照は読み取り専用で、参照されるデータは変更できません。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let a = 'A';
    let b = 'B';

    let mut r: &char = &a;
    dbg!(r);

    r = &b;
    dbg!(r);
}

型 T への共有参照の型は &T です。参照値は & 演算子で作成します。* 演算子は参照を「デリファレンス」し、その値を取り出します。

Rust の参照が null になることは決してないため、null チェックは不要です。
参照は、その参照先の値を「借用」すると表現されます。これはポインタに不慣れな受講者にとって有用なモデルです。コードは参照を使って値にアクセスできますが、その値は依然として元の変数に「所有」されています。このコースでは、3 日目に所有権についてさらに詳しく扱います。
参照はポインタとして実装されており、重要な利点の 1 つは、参照先のものよりもはるかに小さくできることです。C や C++ に慣れた受講者は、参照をポインタとして認識するでしょう。コースの後半では、Rust が生ポインタの使用に起因するメモリ安全性のバグをどのように防ぐかを扱います。
& による明示的な参照化が必要です。ただし、メソッド呼び出し時は例外で、Rust が自動的に参照化とデリファレンスを行います。
Rust は一部の状況で自動デリファレンスを行います。特にメソッド呼び出し時がそうです（r.is_ascii() を試してください）。C++ のような -> 演算子は不要です。
この例では、r は再代入できるように可変になっています（r = &b）。これによって r は再束縛され、別のものを参照するようになります。これは、参照への代入が参照先の値を変更する C++ とは異なります。
共有参照では、たとえ参照先の値が可変であっても、その値を変更することはできません。*r = 'X' を試してください。
Rust は、すべての参照のライフタイムを追跡して、それらが十分に長く生存することを保証します。ダングリング参照は safe Rust では発生しません。
所有権を扱う際に、借用とダングリング参照の防止についてさらに詳しく説明します。

排他的参照

排他的参照は、可変参照とも呼ばれ、参照先の値を変更できる参照です。型は &mut T です。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut point = (1, 2);
    let x_coord = &mut point.0;
    *x_coord = 20;
    println!("point: {point:?}");
}

要点:

「排他的」とは、この参照だけがその値へのアクセスに使用できることを意味します。他の参照（共有または排他的）は同時に存在できず、排他的参照が存在する間は参照先の値にアクセスすることもできません。x_coord が有効な間に &point.0 を作成したり、 point.0 を変更したりしてみてください。
let mut x_coord: &i32 と let x_coord: &mut i32 の違いに注意してください。前者は異なる値に束縛できる共有参照であり、後者は可変な値への排他的参照です。

スライス

スライスは、より大きなコレクションの一部へのビューを提供します：

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let a: [i32; 6] = [10, 20, 30, 40, 50, 60];
    println!("a: {a:?}");

    let s: &[i32] = &a[2..4];
    println!("s: {s:?}");
}

スライスは、切り出し元の型からデータを借用します。

スライスは a を借用し、角括弧内で開始インデックスと終了インデックスを指定して作成します。
スライスがインデックス 0 から始まる場合、Rust の範囲構文では開始インデックスを省略できます。つまり、&a[0..a.len()] と &a[..a.len()] は同一です。
終了側のインデックスについても同様なので、&a[2..a.len()] と &a[2..] は同一です。
したがって、配列全体のスライスは &a[..] を使うと簡単に作成できます。
s は i32 のスライスへの参照です。s の型 (&[i32]) には、もはや配列の長さが含まれていないことに注目してください。これにより、サイズの異なるスライスに対して計算を行えます。
スライスは常に別のオブジェクトから借用します。この例では、少なくともスライスが存在している間は、a が ‘alive’（スコープ内にあること）でなければなりません。
一度作成したスライスを後から「拡張」することはできません：
- スライスは基になるバッファを所有していないため、要素を追加できません。
- スライスが基になるバッファのより大きな領域を指すように拡張することもできません。スライスは基になるバッファの長さに関する情報を持たないため、どこまで大きくできるかを知ることができません。
- より大きなスライスが必要な場合は、元のバッファに戻って、そこからより大きなスライスを作成する必要があります。

文字列

これで、Rust における 2 つの文字列型を理解できます。

&str は UTF-8 エンコードされたバイトのスライスであり、&[u8] に似ています。
String は UTF-8 エンコードされたバイトの所有権を持つバッファであり、Vec<T> に似ています。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let s1: &str = "World";
    println!("s1: {s1}");

    let mut s2: String = String::from("Hello ");
    println!("s2: {s2}");

    s2.push_str(s1);
    println!("s2: {s2}");

    let s3: &str = &s2[2..9];
    println!("s3: {s3}");
}

&str は文字列スライスを表します。これは、メモリブロックに格納された UTF-8 エンコード済み文字列データへの不変参照です。文字列リテラル（"Hello"）は、プログラムのバイナリに格納されます。
Rust の String 型は、バイトのベクタを包むラッパーです。Vec<T> と同様に、所有権を持ちます。
多くのほかの型と同様に、String::from() は文字列リテラルから文字列を作成します。String::new() は新しい空文字列を作成し、これには push() メソッドと push_str() メソッドを使って文字列データを追加できます。
format!() マクロは、動的な値から所有権を持つ文字列を生成する便利な方法です。 println!() と同じ書式指定を受け付けます。
& と必要に応じた範囲指定を使って、String から &str スライスを借用できます。文字境界に揃っていないバイト範囲を選択すると、その式は panic します。chars イテレータは文字ごとに反復するため、文字境界を正しく扱おうとするよりもこちらが推奨されます。
C++ プログラマ向け: &str は C++ の std::string_view だと考えてください。ただし、常にメモリ内の有効な文字列を指すものです。Rust の String は C++ の std::string に大まかに相当します（主な違い: UTF-8 エンコードされたバイトしか含められず、small-string optimization は決して使用しません）。

バイト文字列リテラルを使うと、&[u8] 値を直接作成できます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    println!("{:?}", b"abc");
    println!("{:?}", &[97, 98, 99]);
}

raw 文字列を使うと、エスケープを無効にした &str 値を作成できます: r"\n" == "\\n"。引用符の両側に同じ数の # を使うことで、二重引用符を埋め込めます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    println!(r#"<a href="link.html">link</a>"#);
    println!("<a href=\"link.html\">link</a>");
}

参照の有効性

Rust では、参照を常に安全に使用できるようにするための、参照に関するいくつかのルールが適用されます。その 1 つは、参照は決して null にならないというルールで、これにより null チェックなしで安全に使用できます。もう 1 つ、ここで見ておくルールは、参照の寿命が、参照先のデータの寿命を 超える ことはできない、というものです。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let x_ref = {
        let x = 10;
        &x
    };
    dbg!(x_ref);
}

このスライドは、Rust の参照には他の言語とは異なるルールがあるため、学生に参照を単なるポインタではないものとして考えさせます。
Rust の借用ルールの残りについては、Rust の所有権システムを扱う 3 日目に見ていきます。

さらに調べるには

Rust における null 許容性に相当するものは Option 型であり、これを使うと任意の型を「null 許容」にできます（参照/ポインタだけではありません）。ただし、まだ enum やパターンマッチは導入していないので、ここではあまり詳しく立ち入らないようにしてください。

演習: 幾何学

点を [f64;3] として表現し、3 次元幾何学のためのいくつかのユーティリティ関数を作成します。関数シグネチャは自分で決めてください。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 各座標の二乗を合計し、その平方根を取ることでベクトルの大きさを
// 計算します。平方根の計算には `sqrt()` メソッドを使用します。
// たとえば `v.sqrt()` のようにします。


fn magnitude(...) -> f64 {
    todo!()
}

// ベクトルの大きさを計算し、その大きさで各座標を割ることでベクトルを
// 正規化します。


fn normalize(...) {
    todo!()
}

// 以下の `main` を使って自分の実装をテストしてください。

fn main() {
    println!("Magnitude of a unit vector: {}", magnitude(&[0.0, 1.0, 0.0]));

    let mut v = [1.0, 2.0, 9.0];
    println!("Magnitude of {v:?}: {}", magnitude(&v));
    normalize(&mut v);
    println!("Magnitude of {v:?} after normalization: {}", magnitude(&v));
}

解答

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// Calculate the magnitude of the given vector.
fn magnitude(vector: &[f64; 3]) -> f64 {
    let mut mag_squared = 0.0;
    for coord in vector {
        mag_squared += coord * coord;
    }
    mag_squared.sqrt()
}

/// Change the magnitude of the vector to 1.0 without changing its direction.
fn normalize(vector: &mut [f64; 3]) {
    let mag = magnitude(vector);
    for item in vector {
        *item /= mag;
    }
}

fn main() {
    println!("Magnitude of a unit vector: {}", magnitude(&[0.0, 1.0, 0.0]));

    let mut v = [1.0, 2.0, 9.0];
    println!("Magnitude of {v:?}: {}", magnitude(&v));
    normalize(&mut v);
    println!("Magnitude of {v:?} after normalization: {}", magnitude(&v));
}

normalize では、各要素を変更するために *item /= mag を実行できたことに注目してください。これは、配列への可変参照を使って反復処理しているためであり、その結果 for ループは各要素への可変参照を返します。
ここではスライス参照を取ることも可能です。たとえば、 fn magnitude(vector: &[f64]) -> f64。これにより関数はより汎用的になりますが、その代わりに実行時の長さチェックのコストがかかります。

ユーザー定義型

segment outline

名前付きフィールドを持つ構造体

C や C++ と同様に、Rust は独自の構造体をサポートしています:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Person {
    name: String,
    age: u8,
}

fn describe(person: &Person) {
    println!("{} is {} years old", person.name, person.age);
}

fn main() {
    let mut peter = Person {
        name: String::from("Peter"),
        age: 27,
    };
    describe(&peter);

    peter.age = 28;
    describe(&peter);

    let name = String::from("Avery");
    let age = 39;
    let avery = Person { name, age };
    describe(&avery);
}

重要なポイント:

構造体は C や C++ のように機能します。
- C++ と同様で、C とは異なり、型を定義するために typedef は不要です。
- C++ とは異なり、構造体同士に継承はありません。
ここで、構造体にはいくつかの種類があることを説明するのもよいでしょう。
- ゼロサイズ構造体（例: struct Foo;）は、ある型に対してトレイトを実装する際に、値自体に格納したいデータがない場合に使われることがあります。
- 次のスライドでは、フィールド名が重要でない場合に使われるタプル構造体を紹介します。
すでに適切な名前の変数がある場合は、省略記法を使って構造体を作成できます。
構造体のフィールドはデフォルト値をサポートしていません。デフォルト値は Default トレイトを実装することで指定します。これについては後で扱います。

さらに詳しく

ここでは、構造体更新構文も実演できます:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

let jackie = Person { name: String::from("Jackie"), ..avery };

これにより、古い構造体から大部分のフィールドを、すべてを明示的に書き出さずにコピーできます。これは常に最後の要素でなければなりません。
これは主に Default トレイトと組み合わせて使われます。構造体更新構文については Default トレイトのスライドでより詳しく説明するので、受講者から質問がない限り、ここでは触れなくてもかまいません。

タプル構造体

フィールド名が重要でない場合は、タプル構造体を使用できます:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Point(i32, i32);

fn main() {
    let p = Point(17, 23);
    println!("({}, {})", p.0, p.1);
}

これは、単一フィールドのラッパー（newtype と呼ばれます）によく使われます:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct PoundsOfForce(f64);
struct Newtons(f64);

fn compute_thruster_force() -> PoundsOfForce {
    todo!("Ask a rocket scientist at NASA")
}

fn set_thruster_force(force: Newtons) {
    // ...
}

fn main() {
    let force = compute_thruster_force();
    set_thruster_force(force);
}

newtype は、プリミティブ型の値に追加情報を持たせるための優れた方法です。たとえば:
- 数値が特定の単位で測定されている: 上の例の Newtons。
- 値が作成時に何らかの検証を通過しているため、使用のたびに再び検証する必要がなくなる: PhoneNumber(String) や OddNumber(u32)。
newtype パターンについては、「Idiomatic Rust」モジュールで詳しく扱っています。
newtype の単一フィールドにアクセスして、f64 の値を Newtons 型に加える方法を実演してください。
- Rust は一般に、自動アンラップや真偽値を整数として使用することのような、暗黙的な変換を避けます。
  - 演算子オーバーロードについては 2 日目の (標準ライブラリのトレイト) で説明します。
タプル構造体のフィールドが 0 個の場合、() は省略できます。結果はゼロサイズ型（ZST）になり、その値は 1 つだけです（型名そのもの）。
- これは、何らかの振る舞いを実装するがデータは持たない型でよく見られます（常に EOF を返すことでリーダーとしての振る舞いを実装する NullReader を想像してください）。
この例は、 Mars Climate Orbiter の失敗へのさりげない言及です。

列挙型

enum キーワードを使うと、いくつかの異なるバリアントを持つ型を作成できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
enum Direction {
    Left,
    Right,
}

#[derive(Debug)]
enum PlayerMove {
    Pass,                        // 単純なバリアント
    Run(Direction),              // タプルバリアント
    Teleport { x: u32, y: u32 }, // 構造体バリアント
}

fn main() {
    let dir = Direction::Left;
    let player_move: PlayerMove = PlayerMove::Run(dir);
    println!("On this turn: {player_move:?}");
}

ポイント:

列挙型を使うと、一連の値を 1 つの型の下にまとめられます。
Direction はバリアントを持つ型です。Direction の値には 2 つあります: Direction::Left と Direction::Right です。
PlayerMove は 3 つのバリアントを持つ型です。Rust はペイロードに加えて、実行時に PlayerMove の値にどのバリアントが入っているかを判別できるよう、判別子も格納します。
ここで、構造体と列挙型を比較してみるとよいでしょう:
- どちらでも、フィールドのない単純な形（ユニット構造体）や、異なる型のフィールドを持つ形（バリアントのペイロード）を持てます。
- 列挙型の異なるバリアントを別々の構造体として実装することもできますが、その場合、それらをすべて列挙型の中で定義した場合のように同じ型にはなりません。

Rust は判別子を格納するために必要最小限の領域を使います。

必要であれば、必要最小のサイズの整数を格納します
許可されたバリアント値がすべてのビットパターンを網羅していない場合、 Rust は無効なビットパターンを使って判別子を符号化します（「ニッチ最適化」）。たとえば、Option<&u8> は整数へのポインタ、または None バリアントを表す NULL を格納します。

必要に応じて判別子を制御できます（たとえば、C との互換性のため）:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[repr(u32)]
enum Bar {
    A, // 0
    B = 10000,
    C, // 10001
}

fn main() {
    println!("A: {}", Bar::A as u32);
    println!("B: {}", Bar::B as u32);
    println!("C: {}", Bar::C as u32);
}

repr がない場合、10001 は 2 バイトに収まるため、判別子の型は 2 バイトになります。

さらに学ぶ

Rust には、列挙型が占有する領域を小さくするために適用できる最適化がいくつかあります。

ヌルポインタ最適化: 一部の型について、 Rust は size_of::<T>() が size_of::<Option<T>>() と等しいことを保証します。

実際にビット単位の表現がどのように見える 可能性がある かを示したい場合のコード例です。この表現についてコンパイラはいかなる保証も提供しないため、これは完全に unsafe です。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::mem::transmute;

macro_rules! dbg_bits {
    ($e:expr, $bit_type:ty) => {
        println!("- {}: {:#x}", stringify!($e), transmute::<_, $bit_type>($e));
    };
}

fn main() {
    unsafe {
        println!("bool:");
        dbg_bits!(false, u8);
        dbg_bits!(true, u8);

        println!("Option<bool>:");
        dbg_bits!(None::<bool>, u8);
        dbg_bits!(Some(false), u8);
        dbg_bits!(Some(true), u8);

        println!("Option<Option<bool>>:");
        dbg_bits!(Some(Some(false)), u8);
        dbg_bits!(Some(Some(true)), u8);
        dbg_bits!(Some(None::<bool>), u8);
        dbg_bits!(None::<Option<bool>>, u8);

        println!("Option<&i32>:");
        dbg_bits!(None::<&i32>, usize);
        dbg_bits!(Some(&0i32), usize);
    }
}

型エイリアス

型エイリアスは、別の型に対する名前を作成します。この 2 つの型は互いに置き換えて使用できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

enum CarryableConcreteItem {
    Left,
    Right,
}

type Item = CarryableConcreteItem;

// 型エイリアスは、長くて複雑な型でより便利です:
use std::cell::RefCell;
use std::sync::{Arc, RwLock};
type PlayerInventory = RwLock<Vec<Arc<RefCell<Item>>>>;

newtype は、別個の型を作成するため、よりよい代替手段であることがよくあります。 type InventoryCount = usize ではなく struct InventoryCount(usize) を優先してください。
C プログラマーには、これは typedef に似たものだとわかるでしょう。

`const`

定数はコンパイル時に評価され、その値は使用されるすべての箇所にインライン展開されます:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

const DIGEST_SIZE: usize = 3;
const FILL_VALUE: u8 = calculate_fill_value();

const fn calculate_fill_value() -> u8 {
    if DIGEST_SIZE < 10 { 42 } else { 13 }
}

fn compute_digest(text: &str) -> [u8; DIGEST_SIZE] {
    let mut digest = [FILL_VALUE; DIGEST_SIZE];
    for (idx, &b) in text.as_bytes().iter().enumerate() {
        digest[idx % DIGEST_SIZE] = digest[idx % DIGEST_SIZE].wrapping_add(b);
    }
    digest
}

fn main() {
    let digest = compute_digest("Hello");
    println!("digest: {digest:?}");
}

const 値を生成するためにコンパイル時に呼び出せるのは、const が付いた関数だけです。ただし、const 関数は実行時に呼び出すこともできます。

const は意味論的には C++ の constexpr と似たように振る舞うことに言及する

`static`

静的変数はプログラムの実行全体を通して存続するため、移動しません:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

static BANNER: &str = "Welcome to RustOS 3.14";

fn main() {
    println!("{BANNER}");
}

Rust RFC Book で述べられているように、これらは使用時にインライン化されず、実際に対応するメモリ位置を持ちます。これは unsafe コードや組み込みコードで有用であり、変数はプログラムの実行全体を通して存続します。グローバルスコープの値にオブジェクト同一性を必要とする理由がない場合は、一般に const が好まれます。

static は、C++ の可変グローバル変数に似ています。
static はオブジェクト同一性、つまり、Mutex<T> のような内部可変性を持つ型が必要とするメモリ上のアドレスと状態を提供します。

さらに詳しく

static 変数はどのスレッドからでもアクセスできるため、Sync でなければなりません。内部可変性は、 Mutex、アトミック型、または同様の仕組みを通じて実現できます。

初回使用時の初期化をサポートする方法として、static で OnceLock を使うのは一般的です。 OnceCell は Sync ではないため、この文脈では使用できません。

スレッドローカルデータは、マクロ std::thread_local で作成できます。

演習: エレベーターイベント

エレベーター制御システム内のイベントを表すデータ構造を作成します。さまざまなイベントを構築するための型と関数は、自分で定義してください。型を {:?} でフォーマットできるようにするため、#[derive(Debug)] を使用してください。

この演習では、main がエラーなく実行されるように、データ構造を作成して値を設定するだけで十分です。コースの次のパートでは、これらの構造からデータを取り出す方法を扱います。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![allow(dead_code)]

#[derive(Debug)]
/// An event in the elevator system that the controller must react to.
enum Event {
    // TODO: 必要なバリアントを追加する
}

/// A direction of travel.
#[derive(Debug)]
enum Direction {
    Up,
    Down,
}

/// The car has arrived on the given floor.
fn car_arrived(floor: i32) -> Event {
    todo!()
}

/// The car doors have opened.
fn car_door_opened() -> Event {
    todo!()
}

/// The car doors have closed.
fn car_door_closed() -> Event {
    todo!()
}

/// A directional button was pressed in an elevator lobby on the given floor.
fn lobby_call_button_pressed(floor: i32, dir: Direction) -> Event {
    todo!()
}

/// A floor button was pressed in the elevator car.
fn car_floor_button_pressed(floor: i32) -> Event {
    todo!()
}

fn main() {
    println!(
        "A ground floor passenger has pressed the up button: {:?}",
        lobby_call_button_pressed(0, Direction::Up)
    );
    println!("The car has arrived on the ground floor: {:?}", car_arrived(0));
    println!("The car door opened: {:?}", car_door_opened());
    println!(
        "A passenger has pressed the 3rd floor button: {:?}",
        car_floor_button_pressed(3)
    );
    println!("The car door closed: {:?}", car_door_closed());
    println!("The car has arrived on the 3rd floor: {:?}", car_arrived(3));
}

学生が演習の先頭にある #![allow(dead_code)] について質問した場合、これは Event 型に対して行っていることが、それを表示することだけなので必要です。コンパイラがデッドコードを検査する方法の細かな仕様により、コードが未使用だと判断されてしまいます。この演習の目的では無視して構いません。

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![allow(dead_code)]

#[derive(Debug)]
/// An event in the elevator system that the controller must react to.
enum Event {
    /// A button was pressed.
    ButtonPressed(Button),

    /// The car has arrived at the given floor.
    CarArrived(Floor),

    /// The car's doors have opened.
    CarDoorOpened,

    /// The car's doors have closed.
    CarDoorClosed,
}

/// A floor is represented as an integer.
type Floor = i32;

/// A direction of travel.
#[derive(Debug)]
enum Direction {
    Up,
    Down,
}

/// A user-accessible button.
#[derive(Debug)]
enum Button {
    /// A button in the elevator lobby on the given floor.
    LobbyCall(Direction, Floor),

    /// A floor button within the car.
    CarFloor(Floor),
}

/// The car has arrived on the given floor.
fn car_arrived(floor: i32) -> Event {
    Event::CarArrived(floor)
}

/// The car doors have opened.
fn car_door_opened() -> Event {
    Event::CarDoorOpened
}

/// The car doors have closed.
fn car_door_closed() -> Event {
    Event::CarDoorClosed
}

/// A directional button was pressed in an elevator lobby on the given floor.
fn lobby_call_button_pressed(floor: i32, dir: Direction) -> Event {
    Event::ButtonPressed(Button::LobbyCall(dir, floor))
}

/// A floor button was pressed in the elevator car.
fn car_floor_button_pressed(floor: i32) -> Event {
    Event::ButtonPressed(Button::CarFloor(floor))
}

fn main() {
    println!(
        "A ground floor passenger has pressed the up button: {:?}",
        lobby_call_button_pressed(0, Direction::Up)
    );
    println!("The car has arrived on the ground floor: {:?}", car_arrived(0));
    println!("The car door opened: {:?}", car_door_opened());
    println!(
        "A passenger has pressed the 3rd floor button: {:?}",
        car_floor_button_pressed(3)
    );
    println!("The car door closed: {:?}", car_door_closed());
    println!("The car has arrived on the 3rd floor: {:?}", car_arrived(3));
}

データを持つ列挙型: Rust の enum バリアントはデータを持てます。CarArrived(Floor) は整数を持ち、ButtonPressed(Button) はネストされた Button enum を持ちます。これにより、Event は型安全な方法で豊富な状態の集合を表現できます。
型エイリアス: type Floor = i32 は i32 に意味的な名前を与えます。これにより可読性は向上しますが、コンパイラにとって Floor は依然として単なる i32 です。
#[derive(Debug)]: この属性は、{:?} を使って列挙型を出力用にフォーマットするコードを自動生成するために使います。これがなければ、fmt::Debug トレイトを手動で実装する必要があります。
ネストされた列挙型: Button enum は Event::ButtonPressed の中にネストされています。この階層構造は、複雑なドメインをモデル化するために Rust でよく使われます。

Event::CarDoorOpened は「ユニットバリアント」（データを持たない）である一方、Event::CarArrived は「タプルバリアント」であることに注意してください。
Button を別個の enum にしている理由について議論してもよいでしょう。Event に LobbyCallButtonPressed と CarFloorButtonPressed のバリアントを直接持たせることもできます。どちらも有効ですが、関連する概念（ボタンなど）をまとめることで、コードをよりすっきりさせられます。

2日目へようこそ

これまでに Rust の基礎を学びました。

基本型: 整数、ブール値、文字、タプル、配列。
制御フロー: if 式、ループ、match 式。
関数: 関数の定義方法と呼び出し方法。
ユーザー定義型: struct と enum を使ったデータのモデリング。
参照: & と &mut による基本的な借用。

これで、Rust であらゆる型を構築し、基本的なロジックを実装できるようになりました！

スケジュール

session outline

パターンマッチング

segment outline

反駁不能なパターン

1日目では、パターンを使って複合値を分解する方法を簡単に見ました。ここでそれを振り返りつつ、パターンで表現できるほかのいくつかのことについて見ていきましょう:

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn takes_tuple(tuple: (char, i32, bool)) {
    let a = tuple.0;
    let b = tuple.1;
    let c = tuple.2;

    // これは上と同じことを行います。
    let (a, b, c) = tuple;

    // 最初の要素は無視し、2番目と3番目だけを束縛します。
    let (_, b, c) = tuple;

    // 最後の要素以外をすべて無視します。
    let (.., c) = tuple;
}

fn main() {
    takes_tuple(('a', 777, true));
}

ここで示したパターンはすべて 反駁不能 であり、右辺の値に常に一致することを意味します。
パターンは、反駁不能なパターンも含めて、型に固有です。タプルに要素を追加または削除して、結果として生じるコンパイラエラーを見てみてください。
変数名は常に一致するパターンであり、一致した値をその名前の新しい変数に束縛します。
_ は常に任意の値に一致するパターンであり、一致した値は破棄されます。
.. を使うと、複数の値を一度に無視できます。

さらに試してみる

また、タプルの中央の要素を無視するなど、.. のより高度な使い方を示すこともできます。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn takes_tuple(tuple: (char, i32, bool, u8)) {
    let (first, .., last) = tuple;
}
}

これらのパターンはどれも配列でも機能します:

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn takes_array(array: [u8; 5]) {
    let [first, .., last] = array;
}
}

値のマッチング

match キーワードを使うと、値を 1 つ以上の パターン に照合できます。パターンは C や C++ の switch と同様に単純な値にもできますが、より複雑な条件を表現するためにも使えます:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[rustfmt::skip]
fn main() {
    let input = 'x';
    match input {
        'q'                       => println!("Quitting"),
        'a' | 's' | 'w' | 'd'     => println!("Moving around"),
        '0'..='9'                 => println!("Number input"),
        key if key.is_lowercase() => println!("Lowercase: {key}"),
        _                         => println!("Something else"),
    }
}

パターン内の変数（この例では key）は、match アーム内で使用できるバインディングを作成します。これについては次のスライドでさらに学びます。

match ガードがあると、そのアームは条件が真の場合にのみマッチします。条件が偽なら、後続のケースのチェックが続行されます。

重要なポイント:

パターンの中で、いくつかの特定の文字がどのように使われているかを指摘するとよいでしょう
- | は or
- .. は任意の個数の要素にマッチします
- 1..=5 は終端を含む範囲を表します
- _ はワイルドカードです
独立した構文機能としての match ガードは、パターンだけでは表現しきれないより複雑な考えを簡潔に表現したいときに重要かつ必要です。
match ガードは、=> の後に置く if 式とは異なります。if 式は match アームが選択されたあとで評価されます。そのブロック内の if 条件が満たされなくても、元の match 式のほかのアームが検討されることはありません。次の例では、ワイルドカードパターン _ => は試されることすらありません。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[rustfmt::skip]
fn main() {
    let input = 'a';
    match input {
        key if key.is_uppercase() => println!("Uppercase"),
        key => if input == 'q' { println!("Quitting") },
        _   => println!("Bug: this is never printed"),
    }
}

ガードで定義した条件は、| を含むパターン内のすべての式に適用されます。
既存の変数を match アーム内でそのまま使って条件にすることはできない点に注意してください。代わりにそれは変数名パターンとして解釈され、既存の変数をシャドーイングする新しい変数が作られます。たとえば次のようになります:
```
#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

let expected = 5;
match 123 {
    expected => println!("Expected value is 5, actual is {expected}"),
    _ => println!("Value was something else"),
}
}
```
ここでは数値 123 に対してマッチさせようとしており、最初のケースでその値が 5 かどうかを確認したいと考えています。素朴に考えると、値が 5 ではないため最初のケースはマッチしないはずです。しかし実際には、これは常にマッチする変数パターンとして解釈されるため、最初の分岐が常に選ばれます。代わりに定数を使えば、期待どおりに動作します。

さらに詳しく

受講者に紹介できるパターン構文の別の要素として、パターンの一部を変数に束縛する @ 構文があります。たとえば次のようになります:

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

let opt = Some(123);
match opt {
    outer @ Some(inner) => {
        println!("outer: {outer:?}, inner: {inner}");
    }
    None => {}
}
}

この例では、inner は分解によって Option から取り出した値 123 を持っています。一方、outer は Some(inner) 式全体をキャプチャするため、完全な Option::Some(123) を含みます。これはめったに使われませんが、より複雑なパターンでは役に立つことがあります。

構造体

タプルと同様に、構造体もマッチングによって分解できます。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Move {
    delta: (i32, i32),
    repeat: u32,
}

#[rustfmt::skip]
fn main() {
    let m = Move { delta: (10, 0), repeat: 5 };

    match m {
        Move { delta: (0, 0), .. }        => println!("Standing still"),
        Move { delta: (x, 0), repeat }    => println!("{repeat} step x: {x}"),
        Move { delta: (0, y), repeat: 1 } => println!("Single step y: {y}"),
        _                                 => println!("Other move"),
    }
}

m 内のリテラル値を変更して、ほかのパターンにマッチするようにしてみましょう。
Movement に新しいフィールドを追加し、必要に応じてパターンも変更してみましょう。
delta: (x, 0) がネストされたパターンであることに注目してください。

さらに試してみる

match &m を試して、キャプチャの型を確認してください。パターン構文自体は同じままですが、キャプチャは共有参照になります。これは match ergonomics であり、enum に対するメソッドを実装するときの match self でよく役立ちます。
- match &mut m でも同じ効果が起こります。この場合、キャプチャは排他的参照になります。
キャプチャと定数式の違いは見分けにくいことがあります。最初のアームの 10 を変数に変えてみると、微妙にうまく動かないことが分かります。これを const に変えると、再び動くことを確認してください。

列挙型

タプルと同様に、列挙型もマッチによって分解できます。

パターンは、値の一部に変数を束縛するためにも使えます。これは、型の構造を調べる方法です。まずは単純な enum 型から始めましょう。

// 著作権 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

enum Result {
    Ok(i32),
    Err(String),
}

fn divide_in_two(n: i32) -> Result {
    if n % 2 == 0 {
        Result::Ok(n / 2)
    } else {
        Result::Err(format!("cannot divide {n} into two equal parts"))
    }
}

fn main() {
    let n = 100;
    match divide_in_two(n) {
        Result::Ok(half) => println!("{n} divided in two is {half}"),
        Result::Err(msg) => println!("sorry, an error happened: {msg}"),
    }
}

ここでは、各アームを使って Result の値を分解しています。最初のアームでは、half は Ok バリアントの中の値に束縛されます。2 番目のアームでは、 msg はエラーメッセージに束縛されます。

if/else 式は列挙型を返しており、それが後で match によってアンパックされます。
列挙型定義に 3 つ目のバリアントを追加し、コードを実行したときのエラーを表示してみましょう。コードが網羅的でなくなっている箇所と、コンパイラがどのようにヒントを与えようとするかを指摘してください。
列挙型の各バリアント内の値にアクセスできるのは、パターンマッチした後だけです。
網羅的でない場合に何が起きるかを示してください。すべてのケースが処理されていることを確認してくれるという、Rust コンパイラの利点に注目してください。
構造体風のバリアントを列挙型定義と match に追加して、その構文を示してください。これが構造体に対するマッチと構文的にどのように似ているかを指摘してください。

let による制御フロー

Rust には、他の言語とは異なる制御フロー構文がいくつかあります。これらはパターンマッチングに使用されます。

if let 式
while let 式
let else 式

`if let` 式

この if let 式を使うと、値がパターンに一致するかどうかに応じて異なるコードを実行できます:

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::time::Duration;

fn sleep_for(secs: f32) {
    let result = Duration::try_from_secs_f32(secs);

    if let Ok(duration) = result {
        std::thread::sleep(duration);
        println!("slept for {duration:?}");
    }
}

fn main() {
    sleep_for(-10.0);
    sleep_for(0.8);
}

match とは異なり、if let はすべての分岐を網羅する必要はありません。そのため、 match よりも簡潔に書ける場合があります。
よくある使い方は、Option を扱う際に Some の値を処理することです。
match とは異なり、if let はパターンマッチングのガード節をサポートしていません。
else 節と組み合わせると、式として使用できます。

`while let` 文

if let と同様に、 while let というバリアントがあり、値をパターンに対して繰り返しテストします。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut name = String::from("Comprehensive Rust 🦀");
    while let Some(c) = name.pop() {
        dbg!(c);
    }
    // （文字列を逆順にするもっと効率的な方法はあります！）
}

ここで String::pop は、文字列が空になるまでは Some(c) を返し、その後は None を返します。 while let を使うことで、すべての要素に対して反復を続けられます。

while let ループは、値がパターンに一致している限り継続することを指摘してください。
while let ループは、name.pop() からアンラップする値がなくなったときに break する if 文を使った無限ループとして書き換えることもできます。while let は、このような場面のためのシンタックスシュガーを提供します。
この形式は、条件が偽の場合に値を持たない可能性があるため、式としては使用できません。

`let else` 文

パターンにマッチさせて関数から返る一般的なケースでは、 let else を使います。「else」側は発散しなければなりません（return、break、または panic。つまり、ブロックの末尾まで到達してそのまま抜けることはできません）。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn hex_or_die_trying(maybe_string: Option<String>) -> Result<u32, String> {
    let s = if let Some(s) = maybe_string {
        s
    } else {
        return Err(String::from("None を受け取りました"));
    };

    let first_byte_char = if let Some(first) = s.chars().next() {
        first
    } else {
        return Err(String::from("空の文字列を受け取りました"));
    };

    let digit = if let Some(digit) = first_byte_char.to_digit(16) {
        digit
    } else {
        return Err(String::from("16進数の桁ではありません"));
    };

    Ok(digit)
}

fn main() {
    println!("結果: {:?}", hex_or_die_trying(Some(String::from("foo"))));
}

書き換えたバージョンは次のとおりです:

#![allow(unused)]
fn main() {
// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn hex_or_die_trying(maybe_string: Option<String>) -> Result<u32, String> {
    let Some(s) = maybe_string else {
        return Err(String::from("None を受け取りました"));
    };

    let Some(first_byte_char) = s.chars().next() else {
        return Err(String::from("空の文字列を受け取りました"));
    };

    let Some(digit) = first_byte_char.to_digit(16) else {
        return Err(String::from("16進数の桁ではありません"));
    };

    Ok(digit)
}
}

さらに詳しく

この早期 return ベースの制御フローは、Result から値を取り出そうとし、 Result が Err だった場合にエラーを返す Rust のエラーハンドリングコードでよく見られます。
学生から質問があれば、実際のエラーハンドリングコードを ? でどのように書くかも示せます。

演習: 式の評価

算術式のためのシンプルな再帰的評価器を書いてみましょう。

小さな算術式の例として 10 + 20 があり、これは 30 に評価されます。この式は木として表現できます。

より大きく複雑な式として (10 * 9) + ((3 - 4) * 5) があり、これは 85 に評価されます。これはさらに大きな木として表現されます。

コードでは、この木を 2 つの型で表現します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// An operation to perform on two subexpressions.
#[derive(Debug)]
enum Operation {
    Add,
    Sub,
    Mul,
    Div,
}

/// An expression, in tree form.
#[derive(Debug)]
enum Expression {
    /// An operation on two subexpressions.
    Op { op: Operation, left: Box<Expression>, right: Box<Expression> },

    /// A literal value
    Value(i64),
}

ここでの Box 型はスマートポインタであり、コースの後半で詳しく扱います。式は、テストにあるとおり Box::new で「ボックス化」できます。ボックス化された式を評価するには、デリファレンス演算子 (*) を使って「アンボックス」します: eval(*boxed_expr)。

次のコマンドで新しい Cargo ライブラリプロジェクトを作成してください。

cargo new --lib evaluator

以下のコードを src/lib.rs ファイルにコピー＆ペーストしてください。

次に eval の実装を始めてください。最終的なライブラリがテストに合格することを cargo test で確認してください。todo!() を使い、テストを 1 つずつ通していくとよいでしょう。#[ignore] を使えば、テストを一時的にスキップすることもできます。

#[test]
#[ignore]
fn test_value() { .. }

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// An operation to perform on two subexpressions.
#[derive(Debug)]
enum Operation {
    Add,
    Sub,
    Mul,
    Div,
}

/// An expression, in tree form.
#[derive(Debug)]
enum Expression {
    /// An operation on two subexpressions.
    Op { op: Operation, left: Box<Expression>, right: Box<Expression> },

    /// A literal value
    Value(i64),
}

fn eval(e: Expression) -> i64 {
    todo!()
}

#[test]
fn test_value() {
    assert_eq!(eval(Expression::Value(19)), 19);
}

#[test]
fn test_sum() {
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Add,
            left: Box::new(Expression::Value(10)),
            right: Box::new(Expression::Value(20)),
        }),
        30
    );
}

#[test]
fn test_recursion() {
    let term1 = Expression::Op {
        op: Operation::Mul,
        left: Box::new(Expression::Value(10)),
        right: Box::new(Expression::Value(9)),
    };
    let term2 = Expression::Op {
        op: Operation::Mul,
        left: Box::new(Expression::Op {
            op: Operation::Sub,
            left: Box::new(Expression::Value(3)),
            right: Box::new(Expression::Value(4)),
        }),
        right: Box::new(Expression::Value(5)),
    };
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Add,
            left: Box::new(term1),
            right: Box::new(term2),
        }),
        85
    );
}

#[test]
fn test_zeros() {
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Add,
            left: Box::new(Expression::Value(0)),
            right: Box::new(Expression::Value(0))
        }),
        0
    );
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Mul,
            left: Box::new(Expression::Value(0)),
            right: Box::new(Expression::Value(0))
        }),
        0
    );
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Sub,
            left: Box::new(Expression::Value(0)),
            right: Box::new(Expression::Value(0))
        }),
        0
    );
}

#[test]
fn test_div() {
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Div,
            left: Box::new(Expression::Value(10)),
            right: Box::new(Expression::Value(2)),
        }),
        5
    )
}

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// An operation to perform on two subexpressions.
#[derive(Debug)]
enum Operation {
    Add,
    Sub,
    Mul,
    Div,
}

/// An expression, in tree form.
#[derive(Debug)]
enum Expression {
    /// An operation on two subexpressions.
    Op { op: Operation, left: Box<Expression>, right: Box<Expression> },

    /// A literal value
    Value(i64),
}

fn eval(e: Expression) -> i64 {
    match e {
        Expression::Op { op, left, right } => {
            let left = eval(*left);
            let right = eval(*right);
            match op {
                Operation::Add => left + right,
                Operation::Sub => left - right,
                Operation::Mul => left * right,
                Operation::Div => left / right,
            }
        }
        Expression::Value(v) => v,
    }
}

#[test]
fn test_value() {
    assert_eq!(eval(Expression::Value(19)), 19);
}

#[test]
fn test_sum() {
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Add,
            left: Box::new(Expression::Value(10)),
            right: Box::new(Expression::Value(20)),
        }),
        30
    );
}

#[test]
fn test_recursion() {
    let term1 = Expression::Op {
        op: Operation::Mul,
        left: Box::new(Expression::Value(10)),
        right: Box::new(Expression::Value(9)),
    };
    let term2 = Expression::Op {
        op: Operation::Mul,
        left: Box::new(Expression::Op {
            op: Operation::Sub,
            left: Box::new(Expression::Value(3)),
            right: Box::new(Expression::Value(4)),
        }),
        right: Box::new(Expression::Value(5)),
    };
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Add,
            left: Box::new(term1),
            right: Box::new(term2),
        }),
        85
    );
}

#[test]
fn test_zeros() {
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Add,
            left: Box::new(Expression::Value(0)),
            right: Box::new(Expression::Value(0))
        }),
        0
    );
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Mul,
            left: Box::new(Expression::Value(0)),
            right: Box::new(Expression::Value(0))
        }),
        0
    );
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Sub,
            left: Box::new(Expression::Value(0)),
            right: Box::new(Expression::Value(0))
        }),
        0
    );
}

#[test]
fn test_div() {
    assert_eq!(
        eval(Expression::Op {
            op: Operation::Div,
            left: Box::new(Expression::Value(10)),
            right: Box::new(Expression::Value(2)),
        }),
        5
    )
}

メソッドとトレイト

segment outline

メソッド

Rust では、新しい型に関数を関連付けることができます。これは impl ブロックで行います:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
struct CarRace {
    name: String,
    laps: Vec<i32>,
}

impl CarRace {
    // レシーバなし、静的メソッド
    fn new(name: &str) -> Self {
        Self { name: String::from(name), laps: Vec::new() }
    }

    // self への排他的な借用による読み書きアクセス
    fn add_lap(&mut self, lap: i32) {
        self.laps.push(lap);
    }

    // self への共有の読み取り専用借用アクセス
    fn print_laps(&self) {
        println!("Recorded {} laps for {}:", self.laps.len(), self.name);
        for (idx, lap) in self.laps.iter().enumerate() {
            println!("Lap {idx}: {lap} sec");
        }
    }

    // self の排他的な所有権（後で扱います）
    fn finish(self) {
        let total: i32 = self.laps.iter().sum();
        println!("Race {} is finished, total lap time: {}", self.name, total);
    }
}

fn main() {
    let mut race = CarRace::new("Monaco Grand Prix");
    race.add_lap(70);
    race.add_lap(68);
    race.print_laps();
    race.add_lap(71);
    race.print_laps();
    race.finish();
    // race.add_lap(42);
}

self 引数は「レシーバ」、つまりそのメソッドが作用するオブジェクトを指定します。メソッドでよく使われるレシーバには、いくつかの共通パターンがあります:

&self: 共有かつ不変の参照を使って、呼び出し元からオブジェクトを借用します。その後もオブジェクトは再び使用できます。
&mut self: 一意で可変な参照を使って、呼び出し元からオブジェクトを借用します。その後もオブジェクトは再び使用できます。
self: オブジェクトの所有権を取得し、呼び出し元からムーブします。メソッドがそのオブジェクトの所有者になります。所有権が明示的に移譲されない限り、メソッドから戻るときにそのオブジェクトはドロップ（メモリ解放）されます。完全な所有権を持つことは、自動的に可変であることを意味するわけではありません。
mut self: 上と同じですが、メソッドがオブジェクトを変更できます。
レシーバなし: これは構造体上の静的メソッドになります。通常、慣例的に new と呼ばれるコンストラクタを作るために使われます。

重要なポイント:

メソッドは関数と比較して導入すると理解しやすいことがあります。
- メソッドは、型（構造体や列挙型など）のインスタンスに対して呼び出され、最初のパラメータは self としてそのインスタンスを表します。
- 開発者は、メソッドレシーバ構文を活用し、より整理しやすくするためにメソッドを選ぶことがあります。メソッドを使うことで、すべての実装コードを予測しやすい 1 か所にまとめておけます。
- メソッドは、レシーバを明示的に渡すことで、関連関数のように呼び出すこともできます。たとえば CarRace::add_lap(&mut race, 20) のようになります。
メソッドレシーバであるキーワード self の使い方を指摘してください。
- これが self: Self の省略形であることを示し、場合によっては構造体名も使えることを示してください。
- Self はその impl ブロックが属する型の型エイリアスであり、ブロック内の他の場所でも使えることを説明してください。
- self が他の構造体と同じように使われ、ドット記法で個々のフィールドを参照できることに触れてください。
- finish を 2 回実行してみて、&self と self の違いを示すには良いタイミングかもしれません。
- self のバリエーションに加えて、特別なラッパー型といったレシーバ型として許可される特別なラッパー型もあり、その例が Box<Self> です。

トレイト

Rust では、トレイトを使って型を抽象化できます。トレイトはインターフェースに似ています。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait Pet {
    /// このペットの発言を 1 つ返します。
    fn talk(&self) -> String;

    /// このペットにあいさつする文字列をターミナルに出力します。
    fn greet(&self);
}

トレイトは、そのトレイトを実装するために型が備えていなければならない複数のメソッドを定義します。
次の「ジェネリクス」セクションでは、トレイトを実装するすべての型に対してジェネリックな機能をどのように構築するかを見ていきます。

トレイトを実装する

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait Pet {
    fn talk(&self) -> String;

    fn greet(&self) {
        println!("Oh you're a cutie! What's your name? {}", self.talk());
    }
}

struct Dog {
    name: String,
    age: i8,
}

impl Pet for Dog {
    fn talk(&self) -> String {
        format!("Woof, my name is {}!", self.name)
    }
}

fn main() {
    let fido = Dog { name: String::from("Fido"), age: 5 };
    dbg!(fido.talk());
    fido.greet();
}

Type に対して Trait を実装するには、impl Trait for Type { .. } ブロックを使います。
Go のインターフェースとは異なり、対応するメソッドがあるだけでは十分ではありません。talk() メソッドを持つ Cat 型があっても、impl Pet ブロックに入っていない限り、自動的に Pet を満たすことにはなりません。
トレイトは一部のメソッドにデフォルト実装を提供できます。デフォルト実装は、そのトレイトのすべてのメソッドを利用できます。この場合、 greet が提供されており、talk に依存しています。
1 つの型に対して複数の impl ブロックを持つことができます。これには、固有の impl ブロックとトレイト impl ブロックの両方が含まれます。同様に、1 つの型に対して複数のトレイトを実装することもできます（実際、多くの型はたくさんのトレイトを実装しています）。impl ブロックは複数のモジュールやファイルにまたがっていてもかまいません。

スーパートレイト

トレイトは、それを実装する型に対して、スーパートレイト と呼ばれる他のトレイトの実装も要求できます。ここでは、Pet を実装する任意の型は Animal を実装しなければなりません。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait Animal {
    fn leg_count(&self) -> u32;
}

trait Pet: Animal {
    fn name(&self) -> String;
}

struct Dog(String);

impl Animal for Dog {
    fn leg_count(&self) -> u32 {
        4
    }
}

impl Pet for Dog {
    fn name(&self) -> String {
        self.0.clone()
    }
}

fn main() {
    let puppy = Dog(String::from("Rex"));
    println!("{} has {} legs", puppy.name(), puppy.leg_count());
}

これは「トレイト継承」と呼ばれることもありますが、受講者はこれがオブジェクト指向の継承のように振る舞うと期待すべきではありません。これは単に、トレイトの実装に追加の要件を指定しているだけです。

導出

サポートされているトレイトは、次のようにしてカスタム型に自動実装できます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug, Clone, Default)]
struct Player {
    name: String,
    strength: u8,
    hit_points: u8,
}

fn main() {
    let p1 = Player::default(); // Default トレイトは `default` コンストラクタを追加します。
    let mut p2 = p1.clone(); // Clone トレイトは `clone` メソッドを追加します。
    p2.name = String::from("EldurScrollz");
    // Debug トレイトは `{:?}` を使った出力をサポートします。
    println!("{p1:?} vs. {p2:?}");
}

導出はマクロによって実装されており、多くのクレートが有用な機能を追加するための便利な derive マクロを提供しています。たとえば、serde は #[derive(Serialize)] を使って構造体のシリアライズ対応を導出できます。
導出は通常、多くの場合に正しい共通の定型実装を持つトレイトに対して提供されます。たとえば、手動の Clone 実装が、トレイトを導出する場合と比べてどれほど冗長になり得るかを示しましょう。
```
// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl Clone for Player {
    fn clone(&self) -> Self {
        Player {
            name: self.name.clone(),
            strength: self.strength.clone(),
            hit_points: self.hit_points.clone(),
        }
    }
}
```
この場合、上記の .clone() のすべてが必要というわけではありませんが、これは手動実装が一般的に従う定型的なパターンを示しており、学生に derive の使用を明確に伝える助けになります。

演習: `Logger` トレイト

log メソッドを持つトレイト Logger を使って、シンプルなロギングユーティリティを設計してみましょう。進行状況をログに出力する可能性があるコードは、&impl Logger を受け取れるようになります。テストでは、これによってメッセージをテストのログファイルに出力できます。一方、本番ビルドでは、メッセージをログサーバーに送信できます。

ただし、以下で与えられている StderrLogger は、冗長性に関係なくすべてのメッセージをログに出力します。あなたの課題は、最大冗長性を超えるメッセージを無視する VerbosityFilter 型を書くことです。

これは一般的なパターンです。つまり、トレイト実装をラップする構造体が、その同じトレイトを実装し、その過程で振る舞いを追加するというものです。「Generics」セグメントでは、ラッパーをラップ対象の型に対してジェネリックにする方法を見ていきます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait Logger {
    /// Log a message at the given verbosity level.
    fn log(&self, verbosity: u8, message: &str);
}

struct StderrLogger;

impl Logger for StderrLogger {
    fn log(&self, verbosity: u8, message: &str) {
        eprintln!("verbosity={verbosity}: {message}");
    }
}

/// Only log messages up to the given verbosity level.
struct VerbosityFilter {
    max_verbosity: u8,
    inner: StderrLogger,
}

// TODO: `VerbosityFilter` に `Logger` トレイトを実装する。

fn main() {
    let logger = VerbosityFilter { max_verbosity: 3, inner: StderrLogger };
    logger.log(5, "FYI");
    logger.log(2, "Uhoh");
}

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait Logger {
    /// Log a message at the given verbosity level.
    fn log(&self, verbosity: u8, message: &str);
}

struct StderrLogger;

impl Logger for StderrLogger {
    fn log(&self, verbosity: u8, message: &str) {
        eprintln!("verbosity={verbosity}: {message}");
    }
}

/// Only log messages up to the given verbosity level.
struct VerbosityFilter {
    max_verbosity: u8,
    inner: StderrLogger,
}

impl Logger for VerbosityFilter {
    fn log(&self, verbosity: u8, message: &str) {
        if verbosity <= self.max_verbosity {
            self.inner.log(verbosity, message);
        }
    }
}

fn main() {
    let logger = VerbosityFilter { max_verbosity: 3, inner: StderrLogger };
    logger.log(5, "FYI");
    logger.log(2, "Uhoh");
}

ジェネリクス

segment outline

ジェネリック関数

Rust はジェネリクスをサポートしており、これにより、使用または格納される型に対してアルゴリズムやデータ構造（ソートや二分木など）を抽象化できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn pick<T>(cond: bool, left: T, right: T) -> T {
    if cond { left } else { right }
}

fn main() {
    println!("picked a number: {:?}", pick(true, 222, 333));
    println!("picked a string: {:?}", pick(false, 'L', 'R'));
}

pick を単相化したバージョンを示すと役立つことがあります。ジェネリックな pick について説明する前に示せば、ジェネリクスがどのようにコードの重複を減らせるかを示せますし、ジェネリクスについて説明した後に示せば、単相化がどのように機能するかを示せます。

#![allow(unused)]
fn main() {
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn pick_i32(cond: bool, left: i32, right: i32) -> i32 {
    if cond { left } else { right }
}

fn pick_char(cond: bool, left: char, right: char) -> char {
    if cond { left } else { right }
}
}

Rust は、引数と戻り値の型に基づいて T の型を推論します。
この例では、T にはプリミティブ型の i32 と char だけを使っていますが、ここではユーザー定義型を含む任意の型を使用できます。
```
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Foo {
    val: u8,
}

pick(false, Foo { val: 7 }, Foo { val: 99 });
```
これは C++ のテンプレートに似ていますが、Rust はジェネリック関数を即座に部分的にコンパイルするため、その関数は制約に一致するすべての型に対して有効でなければなりません。たとえば、cond が false のときに pick が left + right を返すように変更してみてください。整数での pick のインスタンス化だけが使われる場合でも、Rust はそれを無効とみなします。C++ ならこれを許します。
ジェネリックコードは、呼び出し箇所に基づいて非ジェネリックなコードへと変換されます。これはゼロコスト抽象化です。抽象化なしでデータ構造を手で実装した場合と、まったく同じ結果が得られます。

トレイト境界

ジェネリクスを扱うときは、型に何らかのトレイトの実装を要求して、そのトレイトのメソッドを呼び出せるようにしたいことがよくあります。

これは T: Trait で指定できます。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn duplicate<T: Clone>(a: T) -> (T, T) {
    (a.clone(), a.clone())
}

struct NotCloneable;

fn main() {
    let foo = String::from("foo");
    let pair = duplicate(foo);
    println!("{pair:?}");
}

NotCloneable を作成して、それを duplicate に渡してみましょう。
複数のトレイトが必要な場合は、+ で連結します。
where 句も示しましょう。受講者はコードを読むときにこれに出会います。
```
// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn duplicate<T>(a: T) -> (T, T)
where
    T: Clone,
{
    (a.clone(), a.clone())
}
```
- パラメータが多い場合、関数シグネチャをすっきりさせられます。
- 追加の機能があり、より強力です。
  - もし質問されたら、追加の機能とは : の左側の型を Option<T> のように任意にできることだと説明してください。
Rust は（まだ）特殊化をサポートしていないことに注意してください。たとえば、元の duplicate があるとき、特殊化した duplicate(a: u32) を追加することは無効です。

ジェネリックなデータ型

ジェネリクスを使うと、具体的なフィールド型を抽象化できます。前のセグメントの演習に戻ると、次のようになります:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Logger {
    /// 指定された詳細度レベルでメッセージをログに記録します。
    fn log(&self, verbosity: u8, message: &str);
}

struct StderrLogger;

impl Logger for StderrLogger {
    fn log(&self, verbosity: u8, message: &str) {
        eprintln!("verbosity={verbosity}: {message}");
    }
}

/// 指定された詳細度レベル以下のメッセージだけをログに記録します。
struct VerbosityFilter<L> {
    max_verbosity: u8,
    inner: L,
}

impl<L: Logger> Logger for VerbosityFilter<L> {
    fn log(&self, verbosity: u8, message: &str) {
        if verbosity <= self.max_verbosity {
            self.inner.log(verbosity, message);
        }
    }
}

fn main() {
    let logger = VerbosityFilter { max_verbosity: 3, inner: StderrLogger };
    logger.log(5, "FYI");
    logger.log(2, "Uhoh");
}

Q: なぜ impl<L: Logger> .. VerbosityFilter<L> では L を 2 回指定しているのですか？冗長ではないのですか？
- これは、ジェネリックな型に対するジェネリックな実装ブロックだからです。これらは独立してジェネリックです。
- これは、これらのメソッドが任意の L に対して定義されることを意味します。
- impl VerbosityFilter<StderrLogger> { .. } と書くこともできます。
  - VerbosityFilter 自体は引き続きジェネリックなので VerbosityFilter<f64> も使えますが、このブロック内のメソッドは VerbosityFilter<StderrLogger> に対してのみ利用できます。
VerbosityFilter 型そのものにはトレイト境界を付けていない点に注意してください。そこに境界を付けることもできますが、一般に Rust ではトレイト境界は impl ブロックにだけ付けます。

ジェネリックトレイト

トレイトも、型や関数と同じようにジェネリックにできます。トレイトのパラメータには、使用時に具体的な型が与えられます。たとえば、From<T> トレイトは型変換を定義するために使われます。

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait From<T>: Sized {
    fn from(value: T) -> Self;
}
}

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
struct Foo(String);

impl From<u32> for Foo {
    fn from(from: u32) -> Foo {
        Foo(format!("Converted from integer: {from}"))
    }
}

impl From<bool> for Foo {
    fn from(from: bool) -> Foo {
        Foo(format!("Converted from bool: {from}"))
    }
}

fn main() {
    let from_int = Foo::from(123);
    let from_bool = Foo::from(true);
    dbg!(from_int);
    dbg!(from_bool);
}

From トレイトについてはこのコースの後で扱いますが、その std ドキュメントにある定義は単純なので、参考のためここに転載しています。
トレイトの実装は、考えられるすべての型パラメータを網羅する必要はありません。ここでは、Foo に対する From<&str> の実装がないため、 Foo::from("hello") はコンパイルできません。
ジェネリックトレイトは型を「入力」として受け取る一方、関連型は一種の「出力」型です。トレイトは、異なる入力型に対して複数の実装を持てます。
実際には、Rust では任意の型 T に対して、マッチするトレイト実装は最大でも 1 つでなければなりません。他のいくつかの言語とは異なり、Rust には「最も具体的」な一致を選ぶためのヒューリスティックはありません。このサポートを追加するための作業が進められており、これは specialization と呼ばれます。

`impl Trait`

トレイト境界と同様に、impl Trait 構文は関数の引数や戻り値で使用できます。

// 著作権 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 次の糖衣構文:
//   fn add_42_millions<T: Into<i32>>(x: T) -> i32 {
fn add_42_millions(x: impl Into<i32>) -> i32 {
    x.into() + 42_000_000
}

fn pair_of(x: u32) -> impl std::fmt::Debug {
    (x + 1, x - 1)
}

fn main() {
    let many = add_42_millions(42_i8);
    dbg!(many);
    let many_more = add_42_millions(10_000_000);
    dbg!(many_more);
    let debuggable = pair_of(27);
    dbg!(debuggable);
}

impl Trait を使うと、名前を付けられない型を扱えます。impl Trait の意味は、使われる位置によって少し異なります。

パラメータでは、impl Trait はトレイト境界付きの匿名ジェネリックパラメータのようなものです。
戻り値の型では、それはそのトレイトを実装する何らかの具体的な型を、型名を挙げずに意味します。これは、公開 API で具体的な型を公開したくない場合に便利です。

戻り値位置では型推論は難しくなります。impl Foo を返す関数は、ソース中にそれを書かなくても、返す具体的な型を自ら決定します。collect<B>() -> B のようにジェネリックな型を返す関数は、B を満たす任意の型を返すことができ、呼び出し側が let x: Vec<_> = foo.collect() のように、あるいはターボフィッシュ foo.collect::<Vec<_>>() を使って、そのうちの 1 つを選ぶ必要がある場合があります。

debuggable の型は何でしょうか。let debuggable: () = .. を試して、エラーメッセージに何が表示されるか確認してください。

`dyn Trait`

ジェネリクスによる静的ディスパッチのためにトレイトを使うことに加えて、Rust はトレイトオブジェクトによる型消去された動的ディスパッチのためにトレイトを使うこともサポートしています。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Dog {
    name: String,
    age: i8,
}
struct Cat {
    lives: i8,
}

trait Pet {
    fn talk(&self) -> String;
}

impl Pet for Dog {
    fn talk(&self) -> String {
        format!("Woof, my name is {}!", self.name)
    }
}

impl Pet for Cat {
    fn talk(&self) -> String {
        String::from("Miau!")
    }
}

// ジェネリクスと静的ディスパッチを使用する。
fn generic(pet: &impl Pet) {
    println!("Hello, who are you? {}", pet.talk());
}

// 型消去と動的ディスパッチを使用する。
fn dynamic(pet: &dyn Pet) {
    println!("Hello, who are you? {}", pet.talk());
}

fn main() {
    let cat = Cat { lives: 9 };
    let dog = Dog { name: String::from("Fido"), age: 5 };

    generic(&cat);
    generic(&dog);

    dynamic(&cat);
    dynamic(&dog);
}

impl Trait を含むジェネリクスは、ジェネリックが具体化されるそれぞれの異なる型ごとに、関数の特殊化されたインスタンスを作成するために単相化を使用します。これは、ジェネリック関数の内部からトレイトメソッドを呼び出す場合でも、コンパイラが完全な型情報を持っており、その型に対して使うべきトレイト実装を解決できるため、依然として静的ディスパッチが使われることを意味します。
dyn Trait を使う場合は、代わりに仮想メソッドテーブル（vtable）を介した動的ディスパッチが使われます。これは、どの型の Pet が渡されるかに関係なく、単一の fn dynamic が使われることを意味します。
dyn Trait を使う場合、トレイトオブジェクトは何らかの間接参照の背後に置かれている必要があります。この場合は参照ですが、Box のようなスマートポインタ型を使うこともできます（これは 3 日目に実演します）。
実行時には、&dyn Pet は「ファットポインタ」、つまり 2 つのポインタの組として表現されます。1 つのポインタは Pet を実装する具体的なオブジェクトを指し、もう 1 つはその型に対するトレイト実装の vtable を指します。&dyn Pet に対して talk メソッドを呼び出すとき、コンパイラは vtable 内の talk 用関数ポインタを調べ、その関数を呼び出します。その際、その関数には Dog または Cat へのポインタが渡されます。これを行うために、コンパイラは Pet の具体的な型を知っている必要はありません。
dyn Trait は「型消去されている」と見なされます。これは、具体的な型が何であるかについて、もはやコンパイル時の知識を持たないためです。

演習: ジェネリックな `min`

この短い演習では、Ord トレイトを使って 2 つの値の最小値を決定するジェネリックな min 関数を実装します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::cmp::Ordering;

// TODO: テストで使用される `min` 関数を実装する。

#[test]
fn integers() {
    assert_eq!(min(0, 10), 0);
    assert_eq!(min(500, 123), 123);
}

#[test]
fn chars() {
    assert_eq!(min('a', 'z'), 'a');
    assert_eq!(min('7', '1'), '1');
}

#[test]
fn strings() {
    assert_eq!(min("hello", "goodbye"), "goodbye");
    assert_eq!(min("bat", "armadillo"), "armadillo");
}

受講者に Ord トレイトと Ordering 列挙型を見せてください。

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::cmp::Ordering;

fn min<T: Ord>(l: T, r: T) -> T {
    match l.cmp(&r) {
        Ordering::Less | Ordering::Equal => l,
        Ordering::Greater => r,
    }
}

#[test]
fn integers() {
    assert_eq!(min(0, 10), 0);
    assert_eq!(min(500, 123), 123);
}

#[test]
fn chars() {
    assert_eq!(min('a', 'z'), 'a');
    assert_eq!(min('7', '1'), '1');
}

#[test]
fn strings() {
    assert_eq!(min("hello", "goodbye"), "goodbye");
    assert_eq!(min("bat", "armadillo"), "armadillo");
}

お帰りなさい

session outline

クロージャ

segment outline

クロージャの構文

クロージャは縦棒を使って作成します: |..| ..。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    // 簡潔な構文では、引数と戻り値の型を推論できます:
    let double_it = |n| n * 2;
    dbg!(double_it(50));

    // あるいは、型を指定し、本体を波かっこで囲んで完全に明示的にできます:
    let add_1f32 = |x: f32| -> f32 { x + 1.0 };
    dbg!(add_1f32(50.));
}

引数は |..| の間に書きます。本体は { .. } で囲めますが、単一の式であれば省略できます。
引数の型は省略可能で、省略した場合は推論されます。戻り値の型も省略可能ですが、本体を { .. } で囲む場合にのみ書けます。
どちらの例も、単なるネストした関数として書くこともできます。これらはレキシカル環境から変数を何もキャプチャしていません。次にキャプチャを見ていきます。

さらに詳しく

関数を変数に格納できるのはクロージャだけではありません。通常の関数も変数に入れて、クロージャと同じ方法で呼び出せます: playground の例。
- リンク先の例では、何もキャプチャしないクロージャは通常の関数ポインタにも型強制できることも示しています。

キャプチャ

クロージャは、定義された環境から変数をキャプチャできます。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let max_value = 5;
    let clamp = |v| {
        if v > max_value { max_value } else { v }
    };

    dbg!(clamp(1));
    dbg!(clamp(3));
    dbg!(clamp(5));
    dbg!(clamp(7));
    dbg!(clamp(10));
}

デフォルトでは、クロージャは値を参照でキャプチャします。ここでは max_value は clamp によってキャプチャされていますが、表示のために main から引き続き利用できます。max_value を可変にして値を変更し、クランプされた値をもう一度表示してみてください。なぜこれはうまく動かないのでしょうか？
クロージャが値を変更する場合、それらを可変参照でキャプチャします。clamp に max_value += 1 を追加してみてください。
move キーワードを使うと、参照する代わりに値をムーブするようクロージャに強制できます。これはライフタイムの扱いで役立つことがあります。たとえば、クロージャがキャプチャした値より長く生存しなければならない場合です（ライフタイムについては後で詳しく扱います）。

これは move |v| .. のように書きます。このキーワードを追加して、clamp を定義した後でも main が max_value に引き続きアクセスできるか確認してみてください。
デフォルトでは、クロージャは外側のスコープの各変数を、可能な限り最も制約の少ないアクセス方法でキャプチャします（可能なら共有参照、次に排他的参照、最後にムーブ）。move キーワードは値によるキャプチャを強制します。

クロージャトレイト

クロージャまたはラムダ式の型には名前を付けられません。しかし、これらは特別な Fn、 FnMut、および FnOnce トレイトを実装しています。

特別な型 fn(..) -> T は関数ポインタを表します。これは、関数のアドレス、または何もキャプチャしないクロージャのいずれかです。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn apply_and_log(
    func: impl FnOnce(&'static str) -> String,
    func_name: &'static str,
    input: &'static str,
) {
    println!("Calling {func_name}({input}): {}", func(input))
}

fn main() {
    let suffix = "-itis";
    let add_suffix = |x| format!("{x}{suffix}");
    apply_and_log(&add_suffix, "add_suffix", "senior");
    apply_and_log(&add_suffix, "add_suffix", "appendix");

    let mut v = Vec::new();
    let mut accumulate = |x| {
        v.push(x);
        v.join("/")
    };
    apply_and_log(&mut accumulate, "accumulate", "red");
    apply_and_log(&mut accumulate, "accumulate", "green");
    apply_and_log(&mut accumulate, "accumulate", "blue");

    let take_and_reverse = |prefix| {
        let mut acc = String::from(prefix);
        acc.push_str(&v.into_iter().rev().collect::<Vec<_>>().join("/"));
        acc
    };
    apply_and_log(take_and_reverse, "take_and_reverse", "reversed: ");
}

Fn（例: add_suffix）は、キャプチャした値を消費も変更もしません。クロージャへの共有参照だけで呼び出せるため、このクロージャは繰り返し実行でき、同時に実行することさえできます。

FnMut（例: accumulate）は、キャプチャした値を変更する可能性があります。クロージャオブジェクトには排他的参照を通してアクセスするため、繰り返し呼び出せますが、同時には呼び出せません。

FnOnce（例: take_and_reverse）を持っている場合、それを呼び出せるのは 1 回だけです。そうすると、クロージャと、move によってキャプチャされたあらゆる値が消費されます。

FnMut は FnOnce のサブタイプです。Fn は FnMut と FnOnce のサブタイプです。つまり、FnOnce が要求される場所であればどこでも FnMut を使え、FnMut または FnOnce が要求される場所であればどこでも Fn を使えます。

クロージャを受け取る関数を定義する際は、可能であれば FnOnce（つまり 1 回呼び出す場合）を受け取り、そうでなければ FnMut、最後に Fn を受け取るようにすべきです。これにより、呼び出し側に最大の柔軟性を与えられます。

これに対して、手元にあるクロージャについて最も柔軟なのは Fn （3 種類のクロージャトレイトのいずれを受け取る側にも渡せます）で、次が FnMut、最後が FnOnce です。

コンパイラは、クロージャが何をキャプチャするかに応じて、Copy （例: add_suffix）や Clone（例: take_and_reverse）も推論します。関数ポインタ（fn 項目への参照）は Copy と Fn を実装します。

演習: ログフィルター

今朝作成したジェネリックなロガーをベースに、クロージャを使ってログメッセージをフィルタリングする Filter を実装してください。フィルタリング述語を通過したものは、内部のロガーに送信します。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Logger {
    /// Log a message at the given verbosity level.
    fn log(&self, verbosity: u8, message: &str);
}

struct StderrLogger;

impl Logger for StderrLogger {
    fn log(&self, verbosity: u8, message: &str) {
        eprintln!("verbosity={verbosity}: {message}");
    }
}

// TODO: `Filter` を定義して実装する。

fn main() {
    let logger = Filter::new(StderrLogger, |_verbosity, msg| msg.contains("yikes"));
    logger.log(5, "FYI");
    logger.log(1, "yikes, something went wrong");
    logger.log(2, "uhoh");
}

解答

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Logger {
    /// Log a message at the given verbosity level.
    fn log(&self, verbosity: u8, message: &str);
}

struct StderrLogger;

impl Logger for StderrLogger {
    fn log(&self, verbosity: u8, message: &str) {
        eprintln!("verbosity={verbosity}: {message}");
    }
}

/// Only log messages matching a filtering predicate.
struct Filter<L, P> {
    inner: L,
    predicate: P,
}

impl<L, P> Filter<L, P>
where
    L: Logger,
    P: Fn(u8, &str) -> bool,
{
    fn new(inner: L, predicate: P) -> Self {
        Self { inner, predicate }
    }
}
impl<L, P> Logger for Filter<L, P>
where
    L: Logger,
    P: Fn(u8, &str) -> bool,
{
    fn log(&self, verbosity: u8, message: &str) {
        if (self.predicate)(verbosity, message) {
            self.inner.log(verbosity, message);
        }
    }
}

fn main() {
    let logger = Filter::new(StderrLogger, |_verbosity, msg| msg.contains("yikes"));
    logger.log(5, "FYI");
    logger.log(1, "yikes, something went wrong");
    logger.log(2, "uhoh");
}

クロージャの格納: クロージャを構造体に格納するには、ジェネリック型パラメータ（ここでは P）を使います。これは、Rust の各クロージャがコンパイラによって生成される一意の無名型を持つためです。
Fn トレイト境界: 境界 P: Fn(u8, &str) -> bool は、P が指定された引数と戻り値の型で関数として呼び出せることをコンパイラに伝えます。log は &self を受け取るため、predicate には不変にしかアクセスできないので、Fn（FnMut や FnOnce ではなく）を使います。
フィールドの呼び出し: (self.predicate)(...) を使ってクロージャを呼び出します。self.predicate を囲む括弧は、predicate という名前のメソッド呼び出しとフィールド自体の呼び出しを区別するために必要です。

Fn が必要な理由を説明しましょう。FnMut を使うと、log は &mut self を受け取る必要があり、これは Logger トレイトのシグネチャと衝突します。FnOnce を使うと、1 件のメッセージしかログに記録できません！
new の impl ブロックにもトレイト境界が含まれています。技術的には、これは構造体定義そのものには厳密には必須ではありません（トレイト境界は、それらを使用する impl ブロックにのみ置くこともできます）が、new に付けておくと型推論に役立ちます。

標準ライブラリの型

segment outline

このセクションの各スライドについて、ドキュメントページを確認する時間を取り、より一般的なメソッドのいくつかを強調してください。

標準ライブラリ

Rust には標準ライブラリが付属しており、Rust のライブラリやプログラムで使われる共通の型の集合を確立するのに役立ちます。これにより、2 つのライブラリは両方とも同じ String 型を使うため、円滑に連携できます。

実際、Rust の標準ライブラリには core、alloc、std という複数の層があります。

core には、libc、アロケータ、さらにはオペレーティングシステムの存在にも依存しない、最も基本的な型と関数が含まれます。
alloc には、Vec、Box、Arc など、グローバルなヒープアロケータを必要とする型が含まれます。
組み込み Rust アプリケーションは通常 core のみを使用し、ときには alloc も使用します。

ドキュメント

Rust には豊富なドキュメントがあります。たとえば次のようなものです。

ループに関するすべての詳細。
u8 のようなプリミティブ型。
Option や BinaryHeap のような標準ライブラリの型。

ドキュメントを表示するには、rustup doc --std または https://std.rs を使用します。

実際のところ、自分のコードにもドキュメントを付けることができます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// 第1引数が第2引数で割り切れるかどうかを判定します。
///
/// 第2引数が 0 の場合、結果は false です。
fn is_divisible_by(lhs: u32, rhs: u32) -> bool {
    if rhs == 0 {
        return false;
    }
    lhs % rhs == 0
}

内容は Markdown として扱われます。公開されているすべての Rust ライブラリ crate は、 rustdoc ツールを使って docs.rs で自動的にドキュメント化されます。こうしたパターンを使って API のすべての public な要素をドキュメント化するのが Rust らしい書き方です。

要素の内側（たとえばモジュールの内側）から要素をドキュメント化するには、//! または /*! .. */ を使います。これらは「内部ドキュメントコメント」と呼ばれます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! このモジュールには、整数の割り切りに関する機能が含まれています。

rand crate の生成されたドキュメントを https://docs.rs/rand で学生に見せてください。

Option

すでに Option<T> の使用例をいくつか見てきました。これは、型 T の値、または何もない状態のいずれかを保持します。たとえば、 String::find は Option<usize> を返します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let name = "Löwe 老虎 Léopard Gepardi";
    let mut position: Option<usize> = name.find('é');
    dbg!(position);
    assert_eq!(position.unwrap(), 14);
    position = name.find('Z');
    dbg!(position);
    assert_eq!(position.expect("Character not found"), 0);
}

Option は標準ライブラリだけでなく、広く使われています。
unwrap は Option 内の値を返し、値がなければ panic します。expect も同様ですが、エラーメッセージを受け取ります。
- None のときに panic することはできますが、None のチェックを「うっかり」忘れることはありません。
- 何かを手早く組み立てているときには、あちこちで unwrap/expect を使うことがよくありますが、本番コードでは通常、None をもっと適切に扱います。
「niche optimization」とは、Option<T> は、T として有効でない表現が何か 1 つでもある場合、通常メモリ上で T と同じサイズになる、ということです。たとえば、参照は NULL にはなれないので、Option<&T> は自動的に NULL を None バリアントの表現として使い、その結果 &T と同じメモリに格納できます。

Result

Result は Option に似ていますが、操作の成功または失敗を、それぞれ異なる enum バリアントで表します。これはジェネリックで、Result<T, E> の形を取り、T は Ok バリアントで使われ、E は Err バリアントに現れます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fs::File;
use std::io::Read;

fn main() {
    let file: Result<File, std::io::Error> = File::open("diary.txt");
    match file {
        Ok(mut file) => {
            let mut contents = String::new();
            if let Ok(bytes) = file.read_to_string(&mut contents) {
                println!("Dear diary: {contents} ({bytes} bytes)");
            } else {
                println!("Could not read file content");
            }
        }
        Err(err) => {
            println!("The diary could not be opened: {err}");
        }
    }
}

Option と同様に、成功した値は Result の中に入っているため、開発者はそれを明示的に取り出す必要があります。これはエラーチェックを促します。エラーが決して発生しないはずの場合は、unwrap() や expect() を呼び出すことができ、これも開発者の意図を示すシグナルになります。
Result のドキュメントは一読を勧めます。講義中に読むものではありませんが、言及する価値はあります。関数型スタイルのプログラミングに役立つ便利なメソッドや関数が数多く含まれています。
4日目で見るように、Result はエラーハンドリングを実装するための標準的な型です。

String

String は、拡張可能な UTF-8 エンコード文字列です:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut s1 = String::new();
    s1.push_str("Hello");
    println!("s1: len = {}, capacity = {}", s1.len(), s1.capacity());

    let mut s2 = String::with_capacity(s1.len() + 1);
    s2.push_str(&s1);
    s2.push('!');
    println!("s2: len = {}, capacity = {}", s2.len(), s2.capacity());

    let s3 = String::from("🇨🇭");
    println!("s3: len = {}, number of chars = {}", s3.len(), s3.chars().count());
}

String は Deref<Target = str> を実装しているため、String に対して str のすべてのメソッドを呼び出せます。

String::new は新しい空の文字列を返します。文字列に追加したいデータ量が分かっている場合は String::with_capacity を使ってください。
String::len は String のサイズをバイト単位で返します（これは文字数としての長さとは異なる場合があります）。
String::chars は実際の文字を反復するイテレータを返します。書記素クラスタにより、char は人間が「文字」と見なすものとは異なる場合があることに注意してください。
文字列に言及するとき、それは &str または String のどちらかを指している場合があります。
型が Deref<Target = T> を実装していると、コンパイラによって T のメソッドを透過的に呼び出せるようになります。
- まだ Deref トレイトについては説明していないので、この時点では主にドキュメントのサイドバーの構造を説明するものです。
- String は Deref<Target = str> を実装しているため、str のメソッドに透過的にアクセスできます。
- let s3 = s1.deref(); と let s3 = &*s1; を書いて比較してみてください。
String はバイトベクタを包むラッパーとして実装されており、ベクタでサポートされている多くの操作は String でもサポートされていますが、いくつか追加の保証があります。
String にインデックスアクセスするさまざまな方法を比較してください:
- 文字に対しては、i が範囲内の場合と範囲外の場合で s3.chars().nth(i).unwrap() を使います。
- 部分文字列に対しては、s3[0..4] を使い、そのスライスが文字境界にある場合とない場合を試します。
多くの型は to_string メソッドで文字列に変換できます。このトレイトは Display を実装するすべての型に対して自動的に実装されるため、フォーマットできるものはすべて文字列にも変換できます。

`Vec`

Vec は、標準のサイズ変更可能なヒープ割り当てバッファです:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut v1 = Vec::new();
    v1.push(42);
    println!("v1: len = {}, capacity = {}", v1.len(), v1.capacity());

    let mut v2 = Vec::with_capacity(v1.len() + 1);
    v2.extend(v1.iter());
    v2.push(9999);
    println!("v2: len = {}, capacity = {}", v2.len(), v2.capacity());

    // 要素を指定してベクタを初期化するための標準的なマクロ。
    let mut v3 = vec![0, 0, 1, 2, 3, 4];

    // 偶数の要素だけを保持する。
    v3.retain(|x| x % 2 == 0);
    println!("{v3:?}");

    // 連続する重複要素を削除する。
    v3.dedup();
    println!("{v3:?}");
}

Vec は Deref<Target = [T]> を実装しているため、Vec に対してスライスのメソッドを呼び出せます。

Vec は、String や HashMap と同様にコレクション型の一種です。含まれるデータはヒープに格納されます。つまり、データ量はコンパイル時に分かっている必要がありません。実行時に増えたり減ったりできます。
Vec<T> もジェネリック型ですが、T を明示的に指定する必要はありません。Rust の型推論ではいつものように、T は最初の push 呼び出しで決まります。
vec![...] は Vec::new() の代わりに使う標準的なマクロで、ベクタに初期要素を追加できます。
ベクタにインデックスでアクセスするには [ ] を使いますが、範囲外だと panic します。代わりに get を使うと Option が返ります。pop 関数は最後の要素を削除します。

`HashMap`

HashDoS 攻撃に対する保護を備えた標準のハッシュマップ:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::collections::HashMap;

fn main() {
    let mut page_counts = HashMap::new();
    page_counts.insert("Adventures of Huckleberry Finn", 207);
    page_counts.insert("Grimms' Fairy Tales", 751);
    page_counts.insert("Pride and Prejudice", 303);

    if !page_counts.contains_key("Les Misérables") {
        println!(
            "We know about {} books, but not Les Misérables.",
            page_counts.len()
        );
    }

    for book in ["Pride and Prejudice", "Alice's Adventure in Wonderland"] {
        match page_counts.get(book) {
            Some(count) => println!("{book}: {count} pages"),
            None => println!("{book} is unknown."),
        }
    }

    // 何も見つからなかった場合に値を挿入するには、.entry() メソッドを使用します。
    for book in ["Pride and Prejudice", "Alice's Adventure in Wonderland"] {
        let page_count: &mut i32 = page_counts.entry(book).or_insert(0);
        *page_count += 1;
    }

    dbg!(page_counts);
}

HashMap は prelude には含まれていないため、スコープに導入する必要があります。
次のコード行を試してみてください。最初の行は、本がハッシュマップ内にあるかどうかを確認し、見つからない場合は代替値を返します。2 行目は、本が見つからない場合にその代替値をハッシュマップに挿入します。
```
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

let pc1 = page_counts
    .get("Harry Potter and the Sorcerer's Stone")
    .unwrap_or(&336);
let pc2 = page_counts
    .entry("The Hunger Games")
    .or_insert(374);
```
vec! とは異なり、残念ながら標準の hashmap! マクロはありません。
- ただし、Rust 1.56 以降、HashMap は From<[(K, V); N]> を実装しており、これにより配列リテラルからハッシュマップを簡単に初期化できます:
```
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

let page_counts = HashMap::from([
  ("Harry Potter and the Sorcerer's Stone".to_string(), 336),
  ("The Hunger Games".to_string(), 374),
]);
```
また、HashMap はキーと値のタプルを生成する任意の Iterator から構築できます。
この型には、std::collections::hash_map::Keys のような「メソッド固有」の戻り値型がいくつかあります。これらの型は Rust のドキュメントを検索するとよく現れます。この型のドキュメントと、keys メソッドへ戻るための便利なリンクを受講者に示してください。

演習: Counter

この演習では、非常に単純なデータ構造を取り上げて、それをジェネリックにします。これは、 std::collections::HashMap を使って、どの値が現れたかと、それぞれが何回出現したかを追跡します。

Counter の初期バージョンは、u32 値でしか動作しないようにハードコードされています。追跡する値の型に対して struct とそのメソッドをジェネリックにし、そのようにして Counter が任意の型の値を追跡できるようにしてください。

早く終わったら、 entry メソッドを使って、count メソッドの実装に必要なハッシュ検索の回数を半分にしてみてください。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::collections::HashMap;

/// Counter は、型 T の各値が現れた回数を数えます。
struct Counter {
    values: HashMap<u32, u64>,
}

impl Counter {
    /// 新しい Counter を作成します。
    fn new() -> Self {
        Counter {
            values: HashMap::new(),
        }
    }

    /// 指定された値の出現を数えます。
    fn count(&mut self, value: u32) {
        if self.values.contains_key(&value) {
            *self.values.get_mut(&value).unwrap() += 1;
        } else {
            self.values.insert(value, 1);
        }
    }

    /// 指定された値が現れた回数を返します。
    fn times_seen(&self, value: u32) -> u64 {
        self.values.get(&value).copied().unwrap_or_default()
    }
}

fn main() {
    let mut ctr = Counter::new();
    ctr.count(13);
    ctr.count(14);
    ctr.count(16);
    ctr.count(14);
    ctr.count(14);
    ctr.count(11);

    for i in 10..20 {
        println!("saw {} values equal to {}", ctr.times_seen(i), i);
    }

    let mut strctr = Counter::new();
    strctr.count("apple");
    strctr.count("orange");
    strctr.count("apple");
    println!("got {} apples", strctr.times_seen("apple"));
}

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::collections::HashMap;
use std::hash::Hash;

/// Counter counts the number of times each value of type T has been seen.
struct Counter<T> {
    values: HashMap<T, u64>,
}

impl<T: Eq + Hash> Counter<T> {
    /// Create a new Counter.
    fn new() -> Self {
        Counter { values: HashMap::new() }
    }

    /// Count an occurrence of the given value.
    fn count(&mut self, value: T) {
        *self.values.entry(value).or_default() += 1;
    }

    /// Return the number of times the given value has been seen.
    fn times_seen(&self, value: T) -> u64 {
        self.values.get(&value).copied().unwrap_or_default()
    }
}

fn main() {
    let mut ctr = Counter::new();
    ctr.count(13);
    ctr.count(14);
    ctr.count(16);
    ctr.count(14);
    ctr.count(14);
    ctr.count(11);

    for i in 10..20 {
        println!("saw {} values equal to {}", ctr.times_seen(i), i);
    }

    let mut strctr = Counter::new();
    strctr.count("apple");
    strctr.count("orange");
    strctr.count("apple");
    println!("got {} apples", strctr.times_seen("apple"));
}

標準ライブラリのトレイト

segment outline

標準ライブラリの型と同様に、各トレイトのドキュメントを確認する時間を取ってください。

このセクションは長めです。途中で休憩を取りましょう。

比較

これらのトレイトは値同士の比較をサポートします。これらのトレイトを実装するフィールドを含む型では、これらのトレイトをすべて導出できます。

`PartialEq` と `Eq`

PartialEq は部分同値関係であり、必須メソッド eq と、デフォルト実装されたメソッド ne を持ちます。== 演算子と != 演算子はこれらのメソッドを呼び出します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Key {
    id: u32,
    metadata: Option<String>,
}
impl PartialEq for Key {
    fn eq(&self, other: &Self) -> bool {
        self.id == other.id
    }
}

Eq は完全な同値関係（反射的、対称的、推移的）であり、PartialEq を含意します。完全な同値関係を必要とする関数では、トレイト境界として Eq を使用します。

`PartialOrd` と `Ord`

PartialOrd は、partial_cmp メソッドを持つ半順序を定義します。これは <、<=、>=、> 演算子を実装するために使われます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::cmp::Ordering;
#[derive(Eq, PartialEq)]
struct Citation {
    author: String,
    year: u32,
}
impl PartialOrd for Citation {
    fn partial_cmp(&self, other: &Self) -> Option<Ordering> {
        match self.author.partial_cmp(&other.author) {
            Some(Ordering::Equal) => self.year.partial_cmp(&other.year),
            author_ord => author_ord,
        }
    }
}

Ord は、cmp が Ordering を返す全順序です。

PartialEq は異なる型の間でも実装できますが、Eq は反射的であるためできません:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Key {
    id: u32,
    metadata: Option<String>,
}
impl PartialEq<u32> for Key {
    fn eq(&self, other: &u32) -> bool {
        self.id == *other
    }
}

実際には、これらのトレイトは導出するのが一般的ですが、実装することはあまりありません。

Rust で参照を比較するときは、参照そのものではなく、参照先の値が比較されます。つまり、参照先の値が同じであれば、異なる 2 つのものへの参照でも等しいと比較されることがあります:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let a = "Hello";
    let b = String::from("Hello");
    assert_eq!(a, b);
}

演算子

演算子オーバーロードは std::ops のトレイトを通じて実装されます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug, Copy, Clone)]
struct Point {
    x: i32,
    y: i32,
}

impl std::ops::Add for Point {
    type Output = Self;

    fn add(self, other: Self) -> Self {
        Self { x: self.x + other.x, y: self.y + other.y }
    }
}

fn main() {
    let p1 = Point { x: 10, y: 20 };
    let p2 = Point { x: 100, y: 200 };
    println!("{p1:?} + {p2:?} = {:?}", p1 + p2);
}

議論のポイント:

&Point に対して Add を実装することもできます。これはどのような状況で役立つでしょうか?
- 回答: Add:add は self を消費します。演算子をオーバーロードする対象の型 T が Copy でない場合は、&T に対しても演算子をオーバーロードすることを検討すべきです。これにより、呼び出し側で不要なクローンを避けられます。
Output が関連型なのはなぜでしょうか? これをメソッドの型パラメータにすることはできるでしょうか?
- 短い答え: 関数の型パラメータは呼び出し側が制御しますが、関連型（Output のようなもの）はトレイトの実装者が制御します。
2 つの異なる型に対して Add を実装することもできます。たとえば、 impl Add<(i32, i32)> for Point はタプルを Point に加算します。

Not トレイト（! 演算子）は、C 系言語の同じ演算子のように引数を bool に変換しないため、注目に値します。代わりに、整数型に対しては数値の各ビットを反転します。これは算術的には、引数を -1 から減算することと等価です: !5 == -6。

`From` と `Into`

型は From と Into を実装して、型変換を容易にします。 as とは異なり、これらのトレイトは情報を失わず、失敗しない変換に対応します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let s = String::from("hello");
    let addr = std::net::Ipv4Addr::from([127, 0, 0, 1]);
    let one = i16::from(true);
    let bigger = i32::from(123_i16);
    println!("{s}, {addr}, {one}, {bigger}");
}

From が実装されると、Into は自動的に実装されます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let s: String = "hello".into();
    let addr: std::net::Ipv4Addr = [127, 0, 0, 1].into();
    let one: i16 = true.into();
    let bigger: i32 = 123_i16.into();
    println!("{s}, {addr}, {one}, {bigger}");
}

そのため、通常は From だけを実装するのが一般的です。そうすれば、あなたの型は Into の実装も得られます。
「String に変換できる任意のもの」のような関数引数の入力型を宣言する場合は、逆のルールになります。Into を使うべきです。そうすることで、その関数は From を実装する型と、Into のみを実装する型の両方を受け取れます。

キャスト

Rust には 暗黙的な 型変換はありませんが、as による明示的なキャストはサポートされています。これらは、定義されている範囲では一般に C のセマンティクスに従います。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let value: i64 = 1000;
    println!("as u16: {}", value as u16);
    println!("as i16: {}", value as i16);
    println!("as u8: {}", value as u8);
}

as の結果は Rust では常に定義されており、プラットフォーム間で一貫しています。これは、符号を変えたり、より小さい型にキャストしたりする場合の直感に合わないことがあります。ドキュメントを確認し、明確にするためのコメントを添えてください。

as によるキャストは比較的鋭利なツールで、誤って使いやすく、将来の保守作業で使用される型や型内の値の範囲が変わると、微妙なバグの原因になり得ます。キャストは、無条件の切り捨てを意図していることを示したい場合にのみ使うのが最善です（たとえば、高位ビットに何が入っているかに関係なく、u64 の下位 32 ビットを as u32 で選択する場合）。

失敗しないキャスト（たとえば u32 から u64）では、そのキャストが実際に失敗しないことを明確にするため、as よりも From や Into を使うことを優先してください。失敗する可能性のあるキャストでは、収まるものと収まらないものを分けて扱いたい場合に TryFrom と TryInto を利用できます。

このスライドの後で休憩を取ることを検討してください。

as は C++ の static cast に似ています。データが失われる可能性がある場合の as の使用は、一般に推奨されません。少なくとも説明コメントを付けるべきです。

これは、インデックスとして使うために整数を usize にキャストする場合によく見られます。

`Read` と `Write`

Read と BufRead を使うと、u8 のソースを抽象化できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::{BufRead, BufReader, Read, Result};

fn count_lines<R: Read>(reader: R) -> usize {
    let buf_reader = BufReader::new(reader);
    buf_reader.lines().count()
}

fn main() -> Result<()> {
    let slice: &[u8] = b"foo\nbar\nbaz\n";
    println!("lines in slice: {}", count_lines(slice));

    let file = std::fs::File::open(std::env::current_exe()?)?;
    println!("lines in file: {}", count_lines(file));
    Ok(())
}

同様に、Write を使うと u8 のシンクを抽象化できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::{Result, Write};

fn log<W: Write>(writer: &mut W, msg: &str) -> Result<()> {
    writer.write_all(msg.as_bytes())?;
    writer.write_all("\n".as_bytes())
}

fn main() -> Result<()> {
    let mut buffer = Vec::new();
    log(&mut buffer, "Hello")?;
    log(&mut buffer, "World")?;
    println!("Logged: {buffer:?}");
    Ok(())
}

`Default` トレイト

Default トレイトは、型のデフォルト値を生成します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug, Default)]
struct Derived {
    x: u32,
    y: String,
    z: Implemented,
}

#[derive(Debug)]
struct Implemented(String);

impl Default for Implemented {
    fn default() -> Self {
        Self("John Smith".into())
    }
}

fn main() {
    let default_struct = Derived::default();
    dbg!(default_struct);

    let almost_default_struct =
        Derived { y: "Y is set!".into(), ..Derived::default() };
    dbg!(almost_default_struct);

    let nothing: Option<Derived> = None;
    dbg!(nothing.unwrap_or_default());
}

これは直接実装することも、#[derive(Default)] で導出することもできます。
導出された実装は、すべてのフィールドがそれぞれのデフォルト値に設定された値を生成します。
- これは、構造体内のすべての型も Default を実装している必要があることを意味します。
Rust の標準ライブラリの型の多くは、妥当な値（例: 0、"" など）で Default を実装しています。
構造体の部分初期化は、デフォルト値と組み合わせるとうまく機能します。
Rust 標準ライブラリは、型が Default を実装できることを考慮しており、それを利用する便利なメソッドを提供しています。
.. 構文は構造体更新構文と呼ばれます。

演習: ROT13

この例では、古典的な “ROT13” 暗号を実装します。このコードをプレイグラウンドにコピーし、不足している部分を実装してください。結果が引き続き有効な UTF-8 になるように、ASCII の英字のみを回転させてください。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::Read;

struct RotDecoder<R: Read> {
    input: R,
    rot: u8,
}

// `RotDecoder` に対して `Read` トレイトを実装します。

#[cfg(test)]
mod test {
    use super::*;

    #[test]
    fn joke() {
        let mut rot =
            RotDecoder { input: "Gb trg gb gur bgure fvqr!".as_bytes(), rot: 13 };
        let mut result = String::new();
        rot.read_to_string(&mut result).unwrap();
        assert_eq!(&result, "To get to the other side!");
    }

    #[test]
    fn binary() {
        let input: Vec<u8> = (0..=255u8).collect();
        let mut rot = RotDecoder::<&[u8]> { input: input.as_slice(), rot: 13 };
        let mut buf = [0u8; 256];
        assert_eq!(rot.read(&mut buf).unwrap(), 256);
        for i in 0..=255 {
            if input[i] != buf[i] {
                assert!(input[i].is_ascii_alphabetic());
                assert!(buf[i].is_ascii_alphabetic());
            }
        }
    }
}

それぞれ 13 文字回転する 2 つの RotDecoder インスタンスを連結すると、何が起こるでしょうか？

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::Read;

struct RotDecoder<R: Read> {
    input: R,
    rot: u8,
}

impl<R: Read> Read for RotDecoder<R> {
    fn read(&mut self, buf: &mut [u8]) -> std::io::Result<usize> {
        let size = self.input.read(buf)?;
        for b in &mut buf[..size] {
            if b.is_ascii_alphabetic() {
                let base = if b.is_ascii_uppercase() { 'A' } else { 'a' } as u8;
                *b = (*b - base + self.rot) % 26 + base;
            }
        }
        Ok(size)
    }
}

#[cfg(test)]
mod test {
    use super::*;

    #[test]
    fn joke() {
        let mut rot =
            RotDecoder { input: "Gb trg gb gur bgure fvqr!".as_bytes(), rot: 13 };
        let mut result = String::new();
        rot.read_to_string(&mut result).unwrap();
        assert_eq!(&result, "To get to the other side!");
    }

    #[test]
    fn binary() {
        let input: Vec<u8> = (0..=255u8).collect();
        let mut rot = RotDecoder::<&[u8]> { input: input.as_slice(), rot: 13 };
        let mut buf = [0u8; 256];
        assert_eq!(rot.read(&mut buf).unwrap(), 256);
        for i in 0..=255 {
            if input[i] != buf[i] {
                assert!(input[i].is_ascii_alphabetic());
                assert!(buf[i].is_ascii_alphabetic());
            }
        }
    }
}

Day 3 へようこそ

これで、コアとなる言語機能をすべて見てきました。

基礎: 基本的な型、制御フロー、関数、データ構造。
パターンマッチング: データを効果的に分解すること。
ポリモーフィズム: メソッド、Trait、Generics。
標準ライブラリ: Option、Result、Vec、 String のような重要な型を使うこと。
クロージャ: 環境をキャプチャできる無名関数。

あらゆる型を記述し、それに振る舞いを関連付けることができます。ここからは視点を切り替えて、これらの概念をメモリ管理とシステム設計に適用していきます。

スケジュール

session outline

メモリ管理

segment outline

プログラムメモリのレビュー

プログラムは 2 つの方法でメモリを割り当てます:

スタック: ローカル変数のための連続したメモリ領域。
- 値のサイズは固定で、コンパイル時にわかります。
- 非常に高速: スタックポインタを動かすだけです。
- 管理が容易: 関数呼び出しに従います。
- メモリ局所性が高いです。
ヒープ: 関数呼び出しの外にある値を格納する領域。
- 値のサイズは動的で、実行時に決まります。
- スタックよりわずかに低速: 多少の管理処理が必要です。
- メモリ局所性は保証されません。

例

String を作成すると、固定サイズのメタデータはスタックに、動的なサイズのデータ、つまり実際の文字列はヒープに配置されます:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let s1 = String::from("Hello");
}

String は内部的に Vec によって実装されているため、capacity と length を持ち、可変であれば、ヒープ上での再割り当てによって拡張できることに触れてください。
学生からそれについて質問があれば、基盤となるメモリは System Allocator を使用してヒープに割り当てられており、カスタムアロケータは Allocator API を使って実装できることを説明できます

さらに詳しく

unsafe Rust を使うとメモリレイアウトを調べられます。ただし、これが当然 unsafe であることは指摘しておくべきです！

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut s1 = String::from("Hello");
    s1.push(' ');
    s1.push_str("world");
    // 家でこれを試さないでください！教育目的のみです。
    // String はそのレイアウトについて何の保証もしないため、これにより
    // 未定義動作が発生する可能性があります。
    unsafe {
        let (capacity, ptr, len): (usize, usize, usize) = std::mem::transmute(s1);
        println!("capacity = {capacity}, ptr = {ptr:#x}, len = {len}");
    }
}

メモリ管理のアプローチ

従来、言語は大まかに 2 つのカテゴリに分けられてきました。

手動メモリ管理による完全な制御: C, C++, Pascal, …
- プログラマが、いつヒープメモリを割り当てたり解放したりするかを決めます。
- ポインタが依然として有効なメモリを指しているかどうかを、プログラマが判断しなければなりません。
- 研究が示すように、プログラマはミスを犯します。
実行時の自動メモリ管理による完全な安全性: Java, Python, Go, Haskell, …
- ランタイムシステムが、メモリが参照できなくなるまで解放されないことを保証します。
- 通常は、参照カウントまたはガベージコレクションで実装されます。

Rust は新たな組み合わせを提供します。

正しいメモリ管理をコンパイル時に強制することによる、完全な制御と安全性。

これは、明示的な所有権の概念によって実現されています。

このスライドは、他の言語から来た受講者が Rust を文脈の中で位置づけて理解するのに役立つことを意図しています。

C では、malloc と free を使ってヒープを手動で管理しなければなりません。よくあるエラーには、 free の呼び出し忘れ、同じポインタに対して複数回呼び出すこと、あるいはそのポインタが指しているメモリがすでに解放された後にそのポインタをデリファレンスすることが含まれます。
C++ には、スマートポインタ（unique_ptr, shared_ptr）のようなツールがあり、デストラクタ呼び出しに関する言語の保証を活用して、関数から戻るときにメモリが解放されることを確実にします。それでもなお、これらのツールを誤用して、 C と同様のバグを作り込んでしまうのはかなり簡単です。
Java、Go、Python は、もはや到達不能になったメモリをガベージコレクタが特定して廃棄することに依存しています。これにより、あらゆるポインタをデリファレンスできることが保証され、use-after-free やその他の種類のバグが排除されます。しかし、GC には実行時コストがあり、適切にチューニングするのは困難です。

Rust の所有権と借用のモデルは、多くの場合、必要な箇所に正確に alloc と free の操作を配置しながら、C の性能を実現できます – ゼロコストです。また、C++ のスマートポインタに似たツールも提供します。必要に応じて、参照カウントのような他の選択肢も利用でき、実行時ガベージコレクションをサポートするクレートさえ存在します（この授業では扱いません）。

所有権

すべての変数束縛には、それが有効な スコープ があり、そのスコープ外で変数を使用するとエラーになります。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Point(i32, i32);

fn main() {
    {
        let p = Point(3, 4);
        dbg!(p.0);
    }
    dbg!(p.1);
}

その変数がその値を 所有している と言います。すべての Rust の値には、常にちょうど 1 つの所有者がいます。

スコープの終わりで、変数は ドロップ され、データは解放されます。ここではデストラクタが実行され、リソースを解放できます。

ガベージコレクションの実装に慣れている受講者であれば、ガベージコレクタが「ルート」の集合から開始して、到達可能なすべてのメモリを見つけることを知っているでしょう。Rust の「単一所有者」の原則も、これに似た考え方です。

ムーブセマンティクス

代入を行うと、変数間で_所有権_が移動します：

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let s1 = String::from("Hello!");
    let s2 = s1;
    dbg!(s2);
    // dbg!(s1);
}

s1 から s2 への代入によって所有権が移動します。
s1 がスコープを抜けても、何も起こりません。何も所有していないためです。
s2 がスコープを抜けると、文字列データは解放されます。

s2 へムーブする前：

s2 へムーブした後：

関数に値を渡すと、その値は関数パラメータに代入されます。これにより所有権が移動します：

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn say_hello(name: String) {
    println!("Hello {name}")
}

fn main() {
    let name = String::from("Alice");
    say_hello(name);
    // say_hello(name);
}

これは C++ のデフォルトとは逆であることにも触れてください。C++ では std::move を使わない限り値渡しでコピーされます（そしてムーブコンストラクタが定義されている場合です！）。
移動するのは所有権だけです。データそのものを操作するためのマシンコードが生成されるかどうかは最適化の問題であり、そのようなコピーは積極的に最適化で取り除かれます。
単純な値（整数など）には Copy を付けられます（後のスライドを参照）。
Rust では、クローンは明示的です（clone を使います）。

say_hello の例では：

最初の say_hello 呼び出しで、main は name の所有権を手放します。その後、main の中では name をもう使えません。
name のために確保されたヒープメモリは、say_hello 関数の終わりで解放されます。
main は、name を参照（&name）として渡し、かつ say_hello がパラメータとして参照を受け取るなら、所有権を保持できます。
あるいは、main は最初の呼び出しで name のクローン（name.clone()）を渡すこともできます。
Rust は、ムーブセマンティクスをデフォルトにし、プログラマにクローンを明示させることで、C++ よりも意図せずコピーを作りにくくしています。

さらに詳しく

現代の C++ における防御的コピー

現代の C++ では、これは別の方法で解決します：

std::string s1 = "Cpp";
std::string s2 = s1;  // s1 のデータを複製する。

s1 のヒープデータは複製され、s2 はそれ自身の独立したコピーを持ちます。
s1 と s2 がスコープを抜けると、それぞれが自分のメモリを解放します。

コピー代入の前：

コピー代入の後：

要点：

C++ は Rust とは少し異なる選択をしています。= はデータをコピーするため、文字列データはクローンされなければなりません。そうでないと、どちらかの文字列がスコープを抜けたときに二重解放が起きてしまいます。
C++ には std::move もあり、これは値からムーブしてよいことを示すために使われます。例が s2 = std::move(s1) だった場合、ヒープ割り当ては発生しません。ムーブ後の s1 は、有効ではあるものの未規定の状態になります。Rust とは異なり、プログラマは s1 を引き続き使用できます。
Rust と異なり、C++ の = は、コピーまたはムーブされる型によって決まる任意のコードを実行できます。

Clone

ときには、値のコピーを 作りたくなる ことがあります。Clone トレイトはこれを実現します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn say_hello(name: String) {
    println!("Hello {name}")
}

fn main() {
    let name = String::from("Alice");
    say_hello(name.clone());
    say_hello(name);
}

Clone の考え方は、ヒープ割り当てがどこで発生しているかを見つけやすくすることです。.clone() や、vec!、Box::new のようなものを探してください。
借用チェッカーの問題を clone で切り抜け、あとで戻ってきてそれらの clone を取り除くよう最適化を試みる、というのはよくあることです。
一般に clone は値のディープコピーを行います。つまり、たとえば配列を clone すると、その配列のすべての要素も同様に clone されます。
clone の挙動はユーザー定義なので、必要であればカスタムのクローンロジックを実行できます。

Copy型

ムーブセマンティクスがデフォルトですが、特定の型はデフォルトでコピーされます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let x = 42;
    let y = x;
    dbg!(x); // Copy でなければアクセスできない
    dbg!(y);
}

これらの型は Copy トレイトを実装しています。

自分で定義した型でも、コピーセマンティクスを使うようにオプトインできます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Copy, Clone, Debug)]
struct Point(i32, i32);

fn main() {
    let p1 = Point(3, 4);
    let p2 = p1;
    println!("p1: {p1:?}");
    println!("p2: {p2:?}");
}

代入後、p1 と p2 はどちらもそれぞれのデータを所有します。
また、p1.clone() を使ってデータを明示的にコピーすることもできます。

コピーとクローンは同じものではありません。

コピーはメモリ領域のビット単位の複製を指し、任意のオブジェクトに対して機能するわけではありません。
コピーではカスタムロジックを入れられません（C++ のコピーコンストラクタとは異なります）。
クローンはより一般的な操作であり、Clone トレイトを実装することでカスタムな振る舞いも可能です。
コピーは Drop トレイトを実装している型では機能しません。

上の例で、次を試してください。

struct Point に String フィールドを追加します。String は Copy 型ではないため、コンパイルできなくなります。
derive 属性から Copy を削除します。すると、コンパイラエラーは p1 の println! で発生します。
代わりに p1 をクローンすると動作することを確認します。

さらに詳しく

共有参照は Copy/Clone ですが、可変参照はそうではありません。これは、Rust が可変参照に排他性を要求するためです。したがって、共有参照のコピーを作るのは有効ですが、可変参照のコピーを作ると Rust の借用規則に違反します。

`Drop` トレイト

Drop を実装する値は、スコープを抜けるときに実行するコードを指定できます:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Droppable {
    name: &'static str,
}

impl Drop for Droppable {
    fn drop(&mut self) {
        println!("Dropping {}", self.name);
    }
}

fn main() {
    let a = Droppable { name: "a" };
    {
        let b = Droppable { name: "b" };
        {
            let c = Droppable { name: "c" };
            let d = Droppable { name: "d" };
            println!("Exiting innermost block");
        }
        println!("Exiting next block");
    }
    drop(a);
    println!("Exiting main");
}

std::mem::drop は std::ops::Drop::drop と同じではないことに注意してください。
値はスコープを抜けると自動的にドロップされます。
値がドロップされるとき、その値が std::ops::Drop を実装していれば、その Drop::drop 実装が呼び出されます。
その後、そのすべてのフィールドも、それ自体が Drop を実装しているかどうかにかかわらずドロップされます。
std::mem::drop は、任意の値を受け取るだけの空の関数です。重要なのは、その値の所有権を取得することです。そのため、そのスコープの終わりで値がドロップされます。これにより、本来ならスコープを抜けるまで残る値を、より早い段階で明示的にドロップするための便利な方法になります。
- これは、drop 時に何らかの処理を行うオブジェクト、たとえばロックの解放やファイルを閉じることなどに役立ちます。

議論のポイント:

なぜ Drop::drop は self を受け取らないのでしょうか？
- 簡単に言うと、もしそうだとすると、ブロックの終わりで std::mem::drop が呼び出され、その結果 Drop::drop がもう一度呼び出されて、スタックオーバーフローになります！
drop(a) を a.drop() に置き換えてみてください。

演習: ビルダー型

この例では、すべてのデータを所有する複雑なデータ型を実装します。新しい値を便利な関数を使って少しずつ構築できるようにするために、「ビルダーパターン」を使用します。

欠けている部分を埋めてください。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
enum Language {
    Rust,
    Java,
    Perl,
}

#[derive(Clone, Debug)]
struct Dependency {
    name: String,
    version_expression: String,
}

/// A representation of a software package.
#[derive(Debug)]
struct Package {
    name: String,
    version: String,
    authors: Vec<String>,
    dependencies: Vec<Dependency>,
    language: Option<Language>,
}

impl Package {
    /// Return a representation of this package as a dependency, for use in
    /// building other packages.
    fn as_dependency(&self) -> Dependency {
        todo!("1")
    }
}

/// A builder for a Package. Use `build()` to create the `Package` itself.
struct PackageBuilder(Package);

impl PackageBuilder {
    fn new(name: impl Into<String>) -> Self {
        todo!("2")
    }

    /// Set the package version.
    fn version(mut self, version: impl Into<String>) -> Self {
        self.0.version = version.into();
        self
    }

    /// Set the package authors.
    fn authors(mut self, authors: Vec<String>) -> Self {
        todo!("3")
    }

    /// Add an additional dependency.
    fn dependency(mut self, dependency: Dependency) -> Self {
        todo!("4")
    }

    /// Set the language. If not set, language defaults to None.
    fn language(mut self, language: Language) -> Self {
        todo!("5")
    }

    fn build(self) -> Package {
        self.0
    }
}

fn main() {
    let base64 = PackageBuilder::new("base64").version("0.13").build();
    dbg!(&base64);
    let log =
        PackageBuilder::new("log").version("0.4").language(Language::Rust).build();
    dbg!(&log);
    let serde = PackageBuilder::new("serde")
        .authors(vec!["djmitche".into()])
        .version(String::from("4.0"))
        .dependency(base64.as_dependency())
        .dependency(log.as_dependency())
        .build();
    dbg!(serde);
}

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
enum Language {
    Rust,
    Java,
    Perl,
}

#[derive(Clone, Debug)]
struct Dependency {
    name: String,
    version_expression: String,
}

/// A representation of a software package.
#[derive(Debug)]
struct Package {
    name: String,
    version: String,
    authors: Vec<String>,
    dependencies: Vec<Dependency>,
    language: Option<Language>,
}

impl Package {
    /// Return a representation of this package as a dependency, for use in
    /// building other packages.
    fn as_dependency(&self) -> Dependency {
        Dependency {
            name: self.name.clone(),
            version_expression: self.version.clone(),
        }
    }
}

/// A builder for a Package. Use `build()` to create the `Package` itself.
struct PackageBuilder(Package);

impl PackageBuilder {
    fn new(name: impl Into<String>) -> Self {
        Self(Package {
            name: name.into(),
            version: "0.1".into(),
            authors: Vec::new(),
            dependencies: Vec::new(),
            language: None,
        })
    }

    /// Set the package version.
    fn version(mut self, version: impl Into<String>) -> Self {
        self.0.version = version.into();
        self
    }

    /// Set the package authors.
    fn authors(mut self, authors: Vec<String>) -> Self {
        self.0.authors = authors;
        self
    }

    /// Add an additional dependency.
    fn dependency(mut self, dependency: Dependency) -> Self {
        self.0.dependencies.push(dependency);
        self
    }

    /// Set the language. If not set, language defaults to None.
    fn language(mut self, language: Language) -> Self {
        self.0.language = Some(language);
        self
    }

    fn build(self) -> Package {
        self.0
    }
}

fn main() {
    let base64 = PackageBuilder::new("base64").version("0.13").build();
    dbg!(&base64);
    let log =
        PackageBuilder::new("log").version("0.4").language(Language::Rust).build();
    dbg!(&log);
    let serde = PackageBuilder::new("serde")
        .authors(vec!["djmitche".into()])
        .version(String::from("4.0"))
        .dependency(base64.as_dependency())
        .dependency(log.as_dependency())
        .build();
    dbg!(serde);
}

スマートポインタ

segment outline

`Box<T>`

Box は、ヒープ上のデータを指す所有ポインタです:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let five = Box::new(5);
    println!("five: {}", *five);
}

Box<T> は Deref<Target = T> を実装しているため、 T のメソッドを Box<T> に対して直接呼び出せます。

再帰的なデータ型や動的なサイズを持つデータ型は、ポインタによる間接参照なしではインラインに格納できません。Box はその間接参照を実現します:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
enum List<T> {
    /// 空でないリスト: 最初の要素と残りのリスト。
    Element(T, Box<List<T>>),
    /// 空のリスト。
    Nil,
}

fn main() {
    let list: List<i32> =
        List::Element(1, Box::new(List::Element(2, Box::new(List::Nil))));
    println!("{list:?}");
}

Box は C++ の std::unique_ptr に似ていますが、null ではないことが保証されています。
次のような場合、Box が役立ちます:
- コンパイル時にサイズを知ることができない型を扱うが、Rust コンパイラは正確なサイズを知る必要がある場合。
- 大量のデータの所有権を移動したい場合。スタック上で大量のデータをコピーすることを避けるため、代わりにデータをヒープ上の Box に格納し、移動するのはポインタだけにします。
Box を使わず、List の中に List を直接埋め込もうとすると、コンパイラはメモリ上のその型の固定サイズを計算できません（List のサイズが無限になってしまうためです）。
Box は通常のポインタと同じサイズであり、ヒープ上の List の次の要素を指すだけなので、この問題を解決します。
List の定義から Box を取り除き、コンパイラエラーを確認してください。すると “recursive without indirection” というメッセージが表示されます。これは、データの再帰では値を直接格納するのではなく、Box や何らかの参照のような間接参照を使う必要があるためです。
Box は C++ の std::unique_ptr に似ていますが、空や null にはできません。そのため Box は、コンパイラが一部の enum の格納を最適化できる型の 1 つになります（“niche optimization”）。

`Rc`

Rc は参照カウント方式の共有ポインタです。複数の場所から同じデータを参照する必要がある場合に使用します:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::rc::Rc;

fn main() {
    let a = Rc::new(10);
    let b = Rc::clone(&a);

    dbg!(a);
    dbg!(b);
}

各 Rc は、強参照と弱参照、および値を含む同じ共有データ構造を指します:

マルチスレッドのコンテキストでは Arc と Mutex を参照してください。
共有ポインタを Weak ポインタへ ダウングレード して、適切にドロップされる循環参照を作成できます。

Rc の参照カウントにより、参照が存在する限り内部の値が有効であることが保証されます。
Rust の Rc は C++ の std::shared_ptr のようなものです。
Rc::clone は低コストです。同じアロケーションへのポインタを作成し、参照カウントを増やします。ディープクローンは行わないため、通常はコードのパフォーマンス問題を調べる際に無視できます。
make_mut は必要に応じて実際に内部の値をクローンし（“clone-on-write”）、可変参照を返します。
参照カウントを確認するには Rc::strong_count を使用します。
Rc::downgrade を使うと、適切にドロップされる循環参照を作成するための 弱い参照カウントを持つ オブジェクトが得られます（多くの場合 RefCell と組み合わせて使用します）。

所有権を持つトレイトオブジェクト

前に、トレイトオブジェクトを参照とともに使用する方法、たとえば &dyn Pet を見ました。しかし、Box のようなスマートポインタとトレイトオブジェクトを組み合わせて使用し、所有権を持つトレイトオブジェクト Box<dyn Pet> を作ることもできます。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Dog {
    name: String,
    age: i8,
}
struct Cat {
    lives: i8,
}

trait Pet {
    fn talk(&self) -> String;
}

impl Pet for Dog {
    fn talk(&self) -> String {
        format!("ワン、私の名前は{}です！", self.name)
    }
}

impl Pet for Cat {
    fn talk(&self) -> String {
        String::from("ニャー！")
    }
}

fn main() {
    let pets: Vec<Box<dyn Pet>> = vec![
        Box::new(Cat { lives: 9 }),
        Box::new(Dog { name: String::from("Fido"), age: 5 }),
    ];
    for pet in pets {
        println!("こんにちは、あなたは誰ですか？ {}", pet.talk());
    }
}

pets を割り当てた後のメモリレイアウト:

特定のトレイトを実装する型は、それぞれサイズが異なる場合があります。これにより、上の例の Vec<dyn Pet> のようなものを持つことはできません。
dyn Pet は、Pet を実装する動的サイズ型についてコンパイラに伝える方法です。
この例では、pets はスタックに割り当てられ、ベクタのデータはヒープ上にあります。2 つのベクタ要素は ファットポインタ です:
- ファットポインタは、幅が 2 倍のポインタです。これには 2 つの構成要素があります。実際のオブジェクトへのポインタと、その特定のオブジェクトに対する Pet 実装の virtual method table（vtable）へのポインタです。
- Fido という名前の Dog のデータは、name フィールドと age フィールドです。Cat には lives フィールドがあります。

上の例で、次の出力を比較してください:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

println!("{} {}", std::mem::size_of::<Dog>(), std::mem::size_of::<Cat>());
println!("{} {}", std::mem::size_of::<&Dog>(), std::mem::size_of::<&Cat>());
println!("{}", std::mem::size_of::<&dyn Pet>());
println!("{}", std::mem::size_of::<Box<dyn Pet>>());

演習: 二分木

二分木は、すべてのノードが 2 つの子ノード（左と右）を持つ木構造のデータ構造です。各ノードが値を格納する木を作成します。あるノード N について、N の左部分木にあるすべてのノードはより小さい値を含み、N の右部分木にあるすべてのノードはより大きい値を含みます。ある値は木に 1 回だけ格納されるものとします。つまり、重複するノードはありません。

次の型を実装して、与えられたテストが通るようにしてください。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// A node in the binary tree.
#[derive(Debug)]
struct Node<T: Ord> {
    value: T,
    left: Subtree<T>,
    right: Subtree<T>,
}

/// A possibly-empty subtree.
#[derive(Debug)]
struct Subtree<T: Ord>(Option<Box<Node<T>>>);

/// A container storing a set of values, using a binary tree.
///
/// If the same value is added multiple times, it is only stored once.
#[derive(Debug)]
pub struct BinaryTree<T: Ord> {
    root: Subtree<T>,
}

impl<T: Ord> BinaryTree<T> {
    fn new() -> Self {
        Self { root: Subtree::new() }
    }

    fn insert(&mut self, value: T) {
        self.root.insert(value);
    }

    fn has(&self, value: &T) -> bool {
        self.root.has(value)
    }

    fn len(&self) -> usize {
        self.root.len()
    }
}

// `Node` の `new` を実装してください。
// `Subtree` の `new`、`insert`、`len`、`has` を実装してください。

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn len() {
        let mut tree = BinaryTree::new();
        assert_eq!(tree.len(), 0);
        tree.insert(2);
        assert_eq!(tree.len(), 1);
        tree.insert(1);
        assert_eq!(tree.len(), 2);
        tree.insert(2); // not a unique item
        assert_eq!(tree.len(), 2);
        tree.insert(3);
        assert_eq!(tree.len(), 3);
    }

    #[test]
    fn has() {
        let mut tree = BinaryTree::new();
        fn check_has(tree: &BinaryTree<i32>, exp: &[bool]) {
            let got: Vec<bool> =
                (0..exp.len()).map(|i| tree.has(&(i as i32))).collect();
            assert_eq!(&got, exp);
        }

        check_has(&tree, &[false, false, false, false, false]);
        tree.insert(0);
        check_has(&tree, &[true, false, false, false, false]);
        tree.insert(4);
        check_has(&tree, &[true, false, false, false, true]);
        tree.insert(4);
        check_has(&tree, &[true, false, false, false, true]);
        tree.insert(3);
        check_has(&tree, &[true, false, false, true, true]);
    }

    #[test]
    fn unbalanced() {
        let mut tree = BinaryTree::new();
        for i in 0..100 {
            tree.insert(i);
        }
        assert_eq!(tree.len(), 100);
        assert!(tree.has(&50));
    }
}

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::cmp::Ordering;

/// A node in the binary tree.
#[derive(Debug)]
struct Node<T: Ord> {
    value: T,
    left: Subtree<T>,
    right: Subtree<T>,
}

/// A possibly-empty subtree.
#[derive(Debug)]
struct Subtree<T: Ord>(Option<Box<Node<T>>>);

/// A container storing a set of values, using a binary tree.
///
/// If the same value is added multiple times, it is only stored once.
#[derive(Debug)]
pub struct BinaryTree<T: Ord> {
    root: Subtree<T>,
}

impl<T: Ord> BinaryTree<T> {
    fn new() -> Self {
        Self { root: Subtree::new() }
    }

    fn insert(&mut self, value: T) {
        self.root.insert(value);
    }

    fn has(&self, value: &T) -> bool {
        self.root.has(value)
    }

    fn len(&self) -> usize {
        self.root.len()
    }
}

impl<T: Ord> Subtree<T> {
    fn new() -> Self {
        Self(None)
    }

    fn insert(&mut self, value: T) {
        match &mut self.0 {
            None => self.0 = Some(Box::new(Node::new(value))),
            Some(n) => match value.cmp(&n.value) {
                Ordering::Less => n.left.insert(value),
                Ordering::Equal => {}
                Ordering::Greater => n.right.insert(value),
            },
        }
    }

    fn has(&self, value: &T) -> bool {
        match &self.0 {
            None => false,
            Some(n) => match value.cmp(&n.value) {
                Ordering::Less => n.left.has(value),
                Ordering::Equal => true,
                Ordering::Greater => n.right.has(value),
            },
        }
    }

    fn len(&self) -> usize {
        match &self.0 {
            None => 0,
            Some(n) => 1 + n.left.len() + n.right.len(),
        }
    }
}

impl<T: Ord> Node<T> {
    fn new(value: T) -> Self {
        Self { value, left: Subtree::new(), right: Subtree::new() }
    }
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn len() {
        let mut tree = BinaryTree::new();
        assert_eq!(tree.len(), 0);
        tree.insert(2);
        assert_eq!(tree.len(), 1);
        tree.insert(1);
        assert_eq!(tree.len(), 2);
        tree.insert(2); // not a unique item
        assert_eq!(tree.len(), 2);
        tree.insert(3);
        assert_eq!(tree.len(), 3);
    }

    #[test]
    fn has() {
        let mut tree = BinaryTree::new();
        fn check_has(tree: &BinaryTree<i32>, exp: &[bool]) {
            let got: Vec<bool> =
                (0..exp.len()).map(|i| tree.has(&(i as i32))).collect();
            assert_eq!(&got, exp);
        }

        check_has(&tree, &[false, false, false, false, false]);
        tree.insert(0);
        check_has(&tree, &[true, false, false, false, false]);
        tree.insert(4);
        check_has(&tree, &[true, false, false, false, true]);
        tree.insert(4);
        check_has(&tree, &[true, false, false, false, true]);
        tree.insert(3);
        check_has(&tree, &[true, false, false, true, true]);
    }

    #[test]
    fn unbalanced() {
        let mut tree = BinaryTree::new();
        for i in 0..100 {
            tree.insert(i);
        }
        assert_eq!(tree.len(), 100);
        assert!(tree.has(&50));
    }
}

お帰りなさい

session outline

借用

segment outline

値の借用

前に見たように、関数を呼び出すときに所有権を移動する代わりに、関数にその値を借用させることができます：

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
struct Point(i32, i32);

fn add(p1: &Point, p2: &Point) -> Point {
    Point(p1.0 + p2.0, p1.1 + p2.1)
}

fn main() {
    let p1 = Point(3, 4);
    let p2 = Point(10, 20);
    let p3 = add(&p1, &p2);
    println!("{p1:?} + {p2:?} = {p3:?}");
}

add 関数は 2 つのポイントを借用し、新しいポイントを返します。
呼び出し元は入力の所有権を保持します。

このスライドは 1 日目の参照に関する内容の復習であり、関数引数と戻り値も少し含めるように内容を広げています。

さらに調べること

スタック上での戻り値とインライン化に関するメモ：

add からの値の返却が低コストであることを示してください。これは、コンパイラが add の呼び出しを main にインライン化することでコピー操作を削除できるためです。上のコードをスタックアドレスを表示するように変更し、Playground で実行するか、 Godbolt でアセンブリを見てください。“DEBUG” 最適化レベルではアドレスは変わるはずですが、“RELEASE” 設定に変更すると同じままです：

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
struct Point(i32, i32);

fn add(p1: &Point, p2: &Point) -> Point {
    let p = Point(p1.0 + p2.0, p1.1 + p2.1);
    println!("&p.0: {:p}", &p.0);
    p
}

pub fn main() {
    let p1 = Point(3, 4);
    let p2 = Point(10, 20);
    let p3 = add(&p1, &p2);
    println!("&p3.0: {:p}", &p3.0);
    println!("{p1:?} + {p2:?} = {p3:?}");
}

Rust コンパイラは自動インライン化を行えます。これは関数単位で #[inline(never)] を使って無効にできます。
いったん無効にすると、表示されるアドレスはすべての最適化レベルで変わります。Godbolt や Playground を見ると、この場合の値の返却は ABI に依存することがわかります。たとえば amd64 では、ポイントを構成する 2 つの i32 は 2 つのレジスタ（eax と edx）で返されます。

借用チェック

Rust の 借用チェッカー は、値を借用する方法に制約を課します。参照が、それが借用している値を 超えて生存する ことはできないことは、すでに見ました。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let x_ref = {
        let x = 10;
        &x
    };
    dbg!(x_ref);
}

借用チェッカーが強制する、もう 1 つの主要なルールもあります。エイリアシング ルールです。ある値については、どの時点でも次のいずれか一方のみが成り立ちます。

その値への共有参照を 1 つ以上持つことができる、または
その値への排他的参照をちょうど 1 つだけ持つことができます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut a = 10;
    let b = &a;

    {
        let c = &mut a;
        *c = 20;
    }

    dbg!(a);
    dbg!(b);
}

「outlives」ルールは、最初に参照を見たときにすでに示しました。ここで改めて取り上げるのは、借用チェックが借用を検証するためにいくつか異なるルールに従っていることを受講者に示すためです。
上のコードがコンパイルできないのは、a が同時に可変として（c を通じて）借用され、不変として（b を通じて）借用されているからです。
- 要件は、競合する参照が同じ時点に 存在しない ことだという点に注意してください。参照がどこでデリファレンスされるかは関係ありません。 *c = 20 をコメントアウトして、c を一度も使わなくてもコンパイラエラーが依然として発生することを示してください。
- 借用の競合を発生させるのに、中間の参照 c は必須ではない点にも注意してください。c を a への直接の変更に置き換え、それでも同様のエラーが発生することを示してください。これは、値を直接変更すると実質的に一時的な可変参照が作られるためです。
コードをコンパイルできるようにするには、b の dbg! 文を c を導入するスコープより前に移動してください。
- その変更を行うと、コンパイラは b が c を通じた a の新しい可変借用より前でしか使われないことを認識します。これは借用チェッカーの「非字句的ライフタイム」と呼ばれる機能です。

さらに詳しく

厳密には、あるデータに対する複数の可変参照は、再借用によって同時に存在できます。これにより、元の参照を無効にすることなく、可変参照を関数に渡すことができます。この Playground の例はその挙動を示しています。
Rust は、排他的参照の制約を使って、マルチスレッドコードでデータ競合が発生しないことを保証します。これは、一度に 1 つのスレッドしかデータの一部に可変アクセスできないためです。
Rust はこの制約をコードの最適化にも利用します。たとえば、共有参照が指す値は、その参照のライフタイムの間、安全にレジスタにキャッシュできます。
構造体のフィールドは互いに独立して借用できますが、構造体のメソッドを呼び出すと構造体全体が借用され、個々のフィールドへの参照が無効になる可能性があります。この Playground スニペットにその例があります。

借用エラー

これらの借用ルールがどのようにメモリエラーを防ぐのかを示す具体例として、その要素への参照がある状態でコレクションを変更するケースを考えてみましょう:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut vec = vec![1, 2, 3, 4, 5];
    let elem = &vec[2];
    vec.push(6);
    dbg!(elem);
}

同様に、イテレータの無効化のケースを考えてみましょう:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut vec = vec![1, 2, 3, 4, 5];
    for elem in &vec {
        vec.push(elem * 2);
    }
}

どちらのケースでも、コレクションに新しい要素を push して変更すると、コレクションが再割り当てを行う必要がある場合、コレクションの要素への既存の参照が無効になる可能性があります。

内部可変性

状況によっては、共有（読み取り専用）参照の背後にあるデータを変更する必要があります。たとえば、共有データ構造が内部キャッシュを持っていて、読み取り専用メソッドからそのキャッシュを更新したい場合があります。

「interior mutability」パターンでは、共有参照の背後で排他的（可変）アクセスを可能にします。標準ライブラリにはこれを実現する方法がいくつか用意されており、いずれも通常は実行時チェックを行うことで安全性を確保しています。

このスライドで最も重要なポイントは、Rust が共有参照の背後にあるデータを変更するための 安全な 方法を提供しているということです。その安全性を確保する方法にはさまざまなものがあり、次のサブスライドでそのいくつかを紹介します。

`Cell`

Cell は値をラップし、Cell への共有参照だけを使ってその値を取得または設定できるようにします。ただし、内部の値への参照は一切許可しません。参照が存在しないため、借用規則が破られることはありません。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::cell::Cell;

fn main() {
    // `cell` は可変として宣言されていないことに注意してください。
    let cell = Cell::new(5);

    cell.set(123);
    dbg!(cell.get());
}

Cell は安全性を確保するためのシンプルな手段です。&self を受け取る set メソッドを持っています。これには実行時チェックは不要ですが、値をムーブする必要があり、そのこと自体にコストがかかる場合があります。

`RefCell`

RefCell は、実際には Rust の参照ではない &T/&mut T をエミュレートする代替型 Ref と RefMut を提供することで、ラップされた値へのアクセスと変更を可能にします。

これらの型は、RefCell 内のカウンターを使って動的チェックを行い、別の Ref/RefMut と同時に RefMut が存在しないようにします。

Deref（RefMut については DerefMut も）を実装することで、これらの型は参照を外へ逃がすことなく、内部の値に対してメソッドを呼び出せます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::cell::RefCell;

fn main() {
    // `cell` は可変として宣言されていないことに注意してください。
    let cell = RefCell::new(5);

    {
        let mut cell_ref = cell.borrow_mut();
        *cell_ref = 123;

        // これは実行時エラーを引き起こします。
        // let other = cell.borrow();
        // println!("{}", other);
    }

    println!("{cell:?}");
}

RefCell は、Rust の通常の借用規則（複数の共有参照、または 1 つの排他的参照のいずれか）をランタイムチェックで強制します。この場合、すべての借用は非常に短く、互いに重ならないため、チェックは常に成功します。
この例の追加のブロックは、セルを表示する前に、borrow_mut の呼び出しで作られた借用を終了させるためのものです。借用中の RefCell を表示しようとすると、"{borrowed}" というメッセージが表示されるだけです。

さらに調べる

初回使用時の初期化を可能にする OnceCell と OnceLock もあります。これらを有効に活用するには、現時点の受講者がまだ持っていない、もう少し多くの知識が必要です。

演習: 魔法使いのインベントリ

この演習では、借用と所有権について学んだことを使って、魔法使いのインベントリを管理します。

魔法使いは呪文のコレクションを持っています。インベントリに呪文を追加する関数と、その中の呪文を唱える関数を実装する必要があります。
呪文には使用回数の上限があります。呪文の残り使用回数がなくなったら、それを魔法使いのインベントリから削除しなければなりません。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Spell {
    name: String,
    cost: u32,
    uses: u32,
}

struct Wizard {
    spells: Vec<Spell>,
    mana: u32,
}

impl Wizard {
    fn new(mana: u32) -> Self {
        Wizard { spells: vec![], mana }
    }

    // TODO: `add_spell` を実装して、呪文の所有権を受け取り、それを
    // 魔法使いのインベントリに追加する。
    fn add_spell(..., spell: ...) {
        todo!()
    }

    // TODO: インベントリから呪文を借用して唱えるように
    // `cast_spell` を実装する。魔法使いのマナは呪文のコスト分だけ減り、
    // 呪文の使用回数は 1 減少するべきです。
    //
    // 魔法使いのマナが足りない場合、呪文は失敗するべきです。
    // 呪文の残り使用回数がない場合は、インベントリから削除されます。
    fn cast_spell(..., name: ...) {
        todo!()
    }
}

fn main() {
    let mut merlin = Wizard::new(100);
    let fireball = Spell { name: String::from("Fireball"), cost: 10, uses: 2 };
    let ice_blast = Spell { name: String::from("Ice Blast"), cost: 15, uses: 1 };

    merlin.add_spell(fireball);
    merlin.add_spell(ice_blast);

    merlin.cast_spell("Fireball"); // Casts successfully
    merlin.cast_spell("Ice Blast"); // Casts successfully, then removed
    merlin.cast_spell("Ice Blast"); // Fails (not found)
    merlin.cast_spell("Fireball"); // Casts successfully, then removed
    merlin.cast_spell("Fireball"); // Fails (not found)
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn test_add_spell() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 5, uses: 3 };
        wizard.add_spell(spell);
        assert_eq!(wizard.spells.len(), 1);
    }

    #[test]
    fn test_cast_spell() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 5, uses: 3 };
        wizard.add_spell(spell);

        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 5);
        assert_eq!(wizard.spells.len(), 1);
        assert_eq!(wizard.spells[0].uses, 2);
    }

    #[test]
    fn test_cast_spell_insufficient_mana() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 15, uses: 3 };
        wizard.add_spell(spell);

        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 10);
        assert_eq!(wizard.spells.len(), 1);
        assert_eq!(wizard.spells[0].uses, 3);
    }

    #[test]
    fn test_cast_spell_not_found() {
        let mut wizard = Wizard::new(10);
        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 10);
    }

    #[test]
    fn test_cast_spell_removal() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 5, uses: 1 };
        wizard.add_spell(spell);

        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 5);
        assert_eq!(wizard.spells.len(), 0);
    }
}

この演習の目標は、所有権と借用の中核概念、特にコレクションの要素の 1 つへの参照を保持している間はそのコレクションを変更できないというルールを練習することです。
add_spell は Spell の所有権を受け取り、それを Wizard のインベントリへムーブするべきです。
cast_spell はこの演習の中核です。これには次が必要です:
1. 呪文を見つける（インデックスまたは参照で）。
2. マナを確認して減らす。
3. 呪文の uses を減らす。
4. uses == 0 の場合は呪文を削除する。
借用チェッカーの競合: 学習者が呪文への参照（例: let spell = &mut self.spells[i]）を保持したまま、その参照が同じスコープ内でまだ「生きている」間に self.spells.remove(i) を呼び出そうとすると、借用チェッカーがエラーを報告します。これは、借用チェッカーを満たすようにコードを構成する方法（たとえばインデックスを使う、または変更の前に借用が終わるようにすること）を示す絶好の機会です。

解答: 魔法使いの持ち物

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Spell {
    name: String,
    cost: u32,
    uses: u32,
}

struct Wizard {
    spells: Vec<Spell>,
    mana: u32,
}

impl Wizard {
    fn new(mana: u32) -> Self {
        Wizard { spells: vec![], mana }
    }

    fn add_spell(&mut self, spell: Spell) {
        self.spells.push(spell);
    }

    fn cast_spell(&mut self, name: &str) {
        let mut spell_idx = None;
        for idx in 0..self.spells.len() {
            if self.spells[idx].name == name {
                spell_idx = Some(idx);
                break;
            }
        }

        let Some(idx) = spell_idx else {
            println!("Spell {} not found!", name);
            return;
        };

        let spell = &mut self.spells[idx];
        if self.mana >= spell.cost {
            self.mana -= spell.cost;
            spell.uses -= 1;
            println!(
                "Casting {}! Mana left: {}. Uses left: {}",
                spell.name, self.mana, spell.uses
            );
            if spell.uses == 0 {
                self.spells.remove(idx);
            }
        } else {
            println!("Not enough mana to cast {}!", spell.name);
        }
    }
}

fn main() {
    let mut merlin = Wizard::new(100);
    let fireball = Spell { name: String::from("Fireball"), cost: 10, uses: 2 };
    let ice_blast = Spell { name: String::from("Ice Blast"), cost: 15, uses: 1 };

    merlin.add_spell(fireball);
    merlin.add_spell(ice_blast);

    merlin.cast_spell("Fireball"); // Casts successfully
    merlin.cast_spell("Ice Blast"); // Casts successfully, then removed
    merlin.cast_spell("Ice Blast"); // Fails (not found)
    merlin.cast_spell("Fireball"); // Casts successfully, then removed
    merlin.cast_spell("Fireball"); // Fails (not found)
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn test_add_spell() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 5, uses: 3 };
        wizard.add_spell(spell);
        assert_eq!(wizard.spells.len(), 1);
    }

    #[test]
    fn test_cast_spell() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 5, uses: 3 };
        wizard.add_spell(spell);

        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 5);
        assert_eq!(wizard.spells.len(), 1);
        assert_eq!(wizard.spells[0].uses, 2);
    }

    #[test]
    fn test_cast_spell_insufficient_mana() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 15, uses: 3 };
        wizard.add_spell(spell);

        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 10);
        assert_eq!(wizard.spells.len(), 1);
        assert_eq!(wizard.spells[0].uses, 3);
    }

    #[test]
    fn test_cast_spell_not_found() {
        let mut wizard = Wizard::new(10);
        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 10);
    }

    #[test]
    fn test_cast_spell_removal() {
        let mut wizard = Wizard::new(10);
        let spell = Spell { name: String::from("Fireball"), cost: 5, uses: 1 };
        wizard.add_spell(spell);

        wizard.cast_spell("Fireball");
        assert_eq!(wizard.mana, 5);
        assert_eq!(wizard.spells.len(), 0);
    }
}

ライフタイム

segment outline

関数での借用

借用チェックの一環として、コンパイラは借用が関数にどのように流入し、どのように流出するかを推論する必要があります。最も単純な場合、借用は関数呼び出しの間だけ存続します:

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn borrows(x: &i32) {
    dbg!(x);
}

fn main() {
    let mut val = 123;

    // 関数呼び出しのために `val` を借用する。
    borrows(&val);

    // 借用は終了し、自由に変更できる。
    val += 5;
}

この例では、borrows の呼び出しのために val を借用しています。これにより val を変更する能力は制限されますが、関数呼び出しが戻ると借用は終了し、再び自由に変更できます。

借用を返す

しかし、関数に参照を返させることもできます！これは、借用が関数から呼び出し元へ戻ってくることを意味します:

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn identity(x: &i32) -> &i32 {
    x
}

fn main() {
    let mut x = 123;

    let out = identity(&x);

    // x = 5; // 🛠️❌ `x` はまだ借用されています！

    dbg!(out);
}

Rust の関数は参照を返すことができ、これは借用が関数から呼び出し元へ戻ってくることを意味します。
関数が参照（または別の種類の借用）を返す場合、それはおそらくその引数の 1 つに由来します。これは、その関数の戻り値によって、1 つ以上の引数の借用期間が延長されることを意味します。
このケースは、関数に渡される借用が 1 つだけなので、返される借用も同じものに限られ、まだ比較的単純です。

複数の借用

では、複数の借用が関数に渡され、そのうち 1 つが返される場合はどうでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn multiple(a: &i32, b: &i32) -> &i32 {
    todo!("Return either `a` or `b`")
}

fn main() {
    let mut a = 5;
    let mut b = 10;

    let r = multiple(&a, &b);

    // どちらがまだ借用されているのでしょうか？
    // どちらの変更も許可されるべきでしょうか？
    a += 7;
    b += 7;

    dbg!(r);
}

このコードは現在、ライフタイム注釈が足りないためコンパイルできません。コンパイルできるようにする前に、この機会を使って、どの引数の借用が戻り値によって延長されるべきかを受講者に考えてもらいましょう。
multiple には 2 つの借用を渡し、そのうち 1 つが戻ってくることになるため、引数のライフタイムのうち 1 つの借用を延長する必要があります。どちらを延長すべきでしょうか？これを判断するには multiple の本体を見る必要があるでしょうか？
借用チェックを行う際、コンパイラは外に流れ出る借用を推論するために multiple の本体を見ません。代わりに、借用解析のために関数シグネチャだけを見ます。
この場合、返される参照によって a と b のどちらが借用されるのかを判断するのに十分な情報がありません。受講者にコンパイラエラーを見せて、ライフタイム構文を導入しましょう。
```
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn multiple<'a>(a: &'a i32, b: &'a i32) -> &'a i32 { ... }
```

両方を借用する

このケースでは、a または b のいずれかが返される可能性のある関数があります。この場合、ライフタイム注釈を使って、両方の借用が戻り値に流れ込む可能性があることをコンパイラに伝えます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn pick<'a>(c: bool, a: &'a i32, b: &'a i32) -> &'a i32 {
    if c { a } else { b }
}

fn main() {
    let mut a = 5;
    let mut b = 10;

    let r = pick(true, &a, &b);

    // どちらがまだ借用されているでしょうか？
    // どちらかの変更は許可されるべきでしょうか？
    // a += 7;
    // b += 7;

    dbg!(r);
}

pick 関数は c の値に応じて a または b のいずれかを返します。つまり、どちらが返されるかはコンパイル時にはわかりません。
これをコンパイラに表現するために、a と b の両方、および戻り値の型に同じライフタイムを使います。これは、返された参照が a と b の両方を借用することを意味します！
コメントアウトされている 2 行を両方とも有効にして、実行時にはその一方だけを指していても、r が a と b の両方を借用していることを示してください。
pick の最初の引数を変更して、a と b のどちらが返されるかにかかわらず結果が同じであることを示してください。

1 つを借用する

この例では find_nearest は複数の借用を受け取りますが、そのうち 1 つだけを返します。ライフタイム注釈により、返される借用が対応する引数の借用に明示的に結び付けられています。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
struct Point(i32, i32);

/// `points` から `query` に最も近い点を探します。
/// `points` には少なくとも 1 つの点があると仮定します。
fn find_nearest<'a>(points: &'a [Point], query: &Point) -> &'a Point {
    fn cab_distance(p1: &Point, p2: &Point) -> i32 {
        (p1.0 - p2.0).abs() + (p1.1 - p2.1).abs()
    }

    let mut nearest = None;
    for p in points {
        if let Some((_, nearest_dist)) = nearest {
            let dist = cab_distance(p, query);
            if dist < nearest_dist {
                nearest = Some((p, dist));
            }
        } else {
            nearest = Some((p, cab_distance(p, query)));
        };
    }

    nearest.map(|(p, _)| p).unwrap()
    // query // 代わりにこれを行うとどうなりますか？
}

fn main() {
    let points = &[Point(1, 0), Point(1, 0), Point(-1, 0), Point(0, -1)];
    let query = Point(0, 2);
    let nearest = find_nearest(points, &query);

    // この時点では、`query` は借用されていません。
    drop(query);

    dbg!(nearest);
}

find_nearest の定義を折りたたんで、関数シグネチャにより注目できるようにすると役立つかもしれません。関数内の実際のロジックはやや複雑で、借用解析という目的においては重要ではありません。
find_nearest を呼び出したとき、返される参照は query を借用しないため、nearest がまだ有効な間でも query を破棄できます。
では、誤った借用を返すとどうなるでしょうか？ find_nearest の最後の行を変更して、代わりに query を返すようにしてください。コンパイラエラーを受講者に見せてください。
最初にやるべきことは、query にライフタイム注釈を追加することです。find_nearest に 2 つ目のライフタイム 'b を追加できることを受講者に示してください。
新しいエラーを受講者に見せてください。借用チェッカーは、関数本体のロジックが実際に正しいライフタイムを持つ参照を返していることを検証し、その関数が関数シグネチャで定められた契約に従うように強制します。

さらに探る

エラー内の “help” メッセージには、ライフタイム境界 'b: 'a を追加して 'b が少なくとも 'a と同じだけ生存することを示せるとあり、その場合は query を返せるようになります。これはライフタイムのサブタイピングの例であり、より短いライフタイムが期待される場所で、より長いライフタイムを返せるようにするものです。
'static ライフタイムを返すことでも、たとえば static 変数への参照を返すことで、同様のことができます。'static ライフタイムは他のどのライフタイムよりも長いことが保証されているため、より短いライフタイムの代わりに返しても常に安全です。

ライフタイム省略

関数の引数と戻り値のライフタイムは完全に指定されている必要がありますが、Rust では多くの場合、いくつかの単純なルールによってライフタイムを省略できます。これは推論ではなく、単なる構文上の省略記法です。

ライフタイム注釈を持たない各引数には、ライフタイムが 1 つ与えられます。
引数のライフタイムが 1 つしかない場合、そのライフタイムが注釈のないすべての戻り値に与えられます。
引数のライフタイムが複数ある場合でも、最初のものが self に対するものであれば、そのライフタイムが注釈のないすべての戻り値に与えられます。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn only_args(a: &i32, b: &i32) {
    todo!();
}

fn identity(a: &i32) -> &i32 {
    a
}

struct Foo(i32);
impl Foo {
    fn get(&self, other: &i32) -> &i32 {
        &self.0
    }
}

ライフタイム省略ルールを各サンプル関数にどのように適用するかを順に確認してください。only_args は 1 つ目のルールで完成し、identity は 2 つ目で完成し、Foo::get は 3 つ目で完成します。
3 つの省略ルールを適用してもすべてのライフタイムが埋まらない場合は、注釈を手動で追加するように指示するコンパイラエラーが表示されます。

データ構造におけるライフタイム

データ型が借用データを保持する場合は、ライフタイム注釈を付ける必要があります。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
enum HighlightColor {
    Pink,
    Yellow,
}

#[derive(Debug)]
struct Highlight<'document> {
    slice: &'document str,
    color: HighlightColor,
}

fn main() {
    let doc = String::from("The quick brown fox jumps over the lazy dog.");
    let noun = Highlight { slice: &doc[16..19], color: HighlightColor::Yellow };
    let verb = Highlight { slice: &doc[20..25], color: HighlightColor::Pink };
    // drop(doc);
    dbg!(noun);
    dbg!(verb);
}

上の例では、Highlight につけられた注釈により、含まれている &str の元データは、そのデータを使用するどの Highlight のインスタンスと同じだけ、あるいはそれ以上長く生存していなければならないことが保証されます。構造体は、それが参照するデータより長く生存することはできません。
noun または verb のライフタイムが終わる前に doc がドロップされると、借用チェッカーはエラーを出します。
借用データを持つ型では、ユーザーは元のデータを保持し続ける必要があります。これは軽量なビューを作成するのに便利ですが、一般にはやや使いにくくなります。
可能であれば、データ構造がそのデータを直接所有するようにしてください。
内部に複数の参照を持つ構造体では、複数のライフタイム注釈が必要になることがあります。これは、構造体自体のライフタイムに加えて、参照同士のライフタイム関係を表現する必要がある場合に必要です。そうしたケースは非常に高度なユースケースです。

演習: Protobuf のパース

この演習では、protobuf バイナリエンコーディングのパーサーを作成します。心配はいりません。見た目ほど複雑ではありません！これは、データのスライスを受け渡す一般的なパースパターンを示しています。基になるデータ自体がコピーされることはありません。

protobuf メッセージを完全にパースするには、フィールド番号で索引付けされた各フィールドの型を知っている必要があります。これは通常 proto ファイルで提供されます。この演習では、その情報を、各フィールドごとに呼び出される関数内の match 文に埋め込みます。

次の proto を使います。

message PhoneNumber {
  optional string number = 1;
  optional string type = 2;
}

message Person {
  optional string name = 1;
  optional int32 id = 2;
  repeated PhoneNumber phones = 3;
}

メッセージ

proto メッセージは、フィールドが 1 つずつ順番に並んだものとしてエンコードされます。各フィールドは「tag」とそれに続く値で実装されます。tag にはフィールド番号（たとえば、Person メッセージの id フィールドなら 2）と、バイトストリームからペイロードをどのように決定すべきかを定義するワイヤー型が含まれます。これらは 1 つの整数にまとめられ、以下の unpack_tag でデコードされます。

Varint

tag を含む整数は、VARINT と呼ばれる可変長エンコーディングで表現されます。幸い、parse_varint は以下で定義済みです。

ワイヤー型

Proto ではいくつかのワイヤー型が定義されていますが、この演習で使うのはそのうち 2 つだけです。

Varint ワイヤー型には 1 つの varint が含まれ、Person.id のような int32 型の proto 値をエンコードするために使われます。

Len ワイヤー型には、varint で表現された長さと、それに続くそのバイト数のペイロードが含まれます。これは、Person.name のような string 型の proto 値をエンコードするために使われます。また、Person.phones のようにサブメッセージを含む proto 値のエンコードにも使われ、その場合ペイロードにはサブメッセージのエンコーディングが含まれます。

演習

与えられたコードでは、Person と PhoneNumber のフィールドを処理するコールバックと、メッセージをパースしてそれらのコールバック呼び出し列に変換する処理も定義されています。

あなたに残されているのは、parse_field 関数と、Person および PhoneNumber に対する ProtoMessage トレイトを実装することです。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// A wire type as seen on the wire.
enum WireType {
    /// The Varint WireType indicates the value is a single VARINT.
    Varint,
    // The I64 WireType indicates that the value is precisely 8 bytes in
    // little-endian order containing a 64-bit signed integer or double type.
    //I64,  -- not needed for this exercise
    /// The Len WireType indicates that the value is a length represented as a
    /// VARINT followed by exactly that number of bytes.
    Len,
    // The I32 WireType indicates that the value is precisely 4 bytes in
    // little-endian order containing a 32-bit signed integer or float type.
    //I32,  -- not needed for this exercise
}

#[derive(Debug)]
/// A field's value, typed based on the wire type.
enum FieldValue<'a> {
    Varint(u64),
    //I64(i64),  -- not needed for this exercise
    Len(&'a [u8]),
    //I32(i32),  -- not needed for this exercise
}

#[derive(Debug)]
/// A field, containing the field number and its value.
struct Field<'a> {
    field_num: u64,
    value: FieldValue<'a>,
}

trait ProtoMessage<'a>: Default {
    fn add_field(&mut self, field: Field<'a>);
}

impl From<u64> for WireType {
    fn from(value: u64) -> Self {
        match value {
            0 => WireType::Varint,
            //1 => WireType::I64,  -- not needed for this exercise
            2 => WireType::Len,
            //5 => WireType::I32,  -- not needed for this exercise
            _ => panic!("Invalid wire type: {value}"),
        }
    }
}

impl<'a> FieldValue<'a> {
    fn as_str(&self) -> &'a str {
        let FieldValue::Len(data) = self else {
            panic!("Expected string to be a `Len` field");
        };
        std::str::from_utf8(data).expect("Invalid string")
    }

    fn as_bytes(&self) -> &'a [u8] {
        let FieldValue::Len(data) = self else {
            panic!("Expected bytes to be a `Len` field");
        };
        data
    }

    fn as_u64(&self) -> u64 {
        let FieldValue::Varint(value) = self else {
            panic!("Expected `u64` to be a `Varint` field");
        };
        *value
    }
}

/// Parse a VARINT, returning the parsed value and the remaining bytes.
fn parse_varint(data: &[u8]) -> (u64, &[u8]) {
    for i in 0..7 {
        let Some(b) = data.get(i) else {
            panic!("Not enough bytes for varint");
        };
        if b & 0x80 == 0 {
            // This is the last byte of the VARINT, so convert it to
            // a u64 and return it.
            let mut value = 0u64;
            for b in data[..=i].iter().rev() {
                value = (value << 7) | (b & 0x7f) as u64;
            }
            return (value, &data[i + 1..]);
        }
    }

    // More than 7 bytes is invalid.
    panic!("Too many bytes for varint");
}

/// Convert a tag into a field number and a WireType.
fn unpack_tag(tag: u64) -> (u64, WireType) {
    let field_num = tag >> 3;
    let wire_type = WireType::from(tag & 0x7);
    (field_num, wire_type)
}


/// Parse a field, returning the remaining bytes
fn parse_field(data: &[u8]) -> (Field<'_>, &[u8]) {
    let (tag, remainder) = parse_varint(data);
    let (field_num, wire_type) = unpack_tag(tag);
    let (fieldvalue, remainder) = match wire_type {
        _ => todo!("ワイヤータイプに応じて、フィールドを構築し、必要な量のバイトを消費します。")
    };
    todo!("フィールドと、未消費のバイトを返します。")
}

/// Parse a message in the given data, calling `T::add_field` for each field in
/// the message.
///
/// The entire input is consumed.
fn parse_message<'a, T: ProtoMessage<'a>>(mut data: &'a [u8]) -> T {
    let mut result = T::default();
    while !data.is_empty() {
        let parsed = parse_field(data);
        result.add_field(parsed.0);
        data = parsed.1;
    }
    result
}

#[derive(Debug, Default)]
struct PhoneNumber<'a> {
    number: &'a str,
    type_: &'a str,
}

#[derive(Debug, Default)]
struct Person<'a> {
    name: &'a str,
    id: u64,
    phone: Vec<PhoneNumber<'a>>,
}

// TODO: Person と PhoneNumber に対して ProtoMessage を実装する。

#[test]
fn test_id() {
    let person_id: Person = parse_message(&[0x10, 0x2a]);
    assert_eq!(person_id, Person { name: "", id: 42, phone: vec![] });
}

#[test]
fn test_name() {
    let person_name: Person = parse_message(&[
        0x0a, 0x0e, 0x62, 0x65, 0x61, 0x75, 0x74, 0x69, 0x66, 0x75, 0x6c, 0x20,
        0x6e, 0x61, 0x6d, 0x65,
    ]);
    assert_eq!(person_name, Person { name: "beautiful name", id: 0, phone: vec![] });
}

#[test]
fn test_just_person() {
    let person_name_id: Person =
        parse_message(&[0x0a, 0x04, 0x45, 0x76, 0x61, 0x6e, 0x10, 0x16]);
    assert_eq!(person_name_id, Person { name: "Evan", id: 22, phone: vec![] });
}

#[test]
fn test_phone() {
    let phone: Person = parse_message(&[
        0x0a, 0x00, 0x10, 0x00, 0x1a, 0x16, 0x0a, 0x0e, 0x2b, 0x31, 0x32, 0x33,
        0x34, 0x2d, 0x37, 0x37, 0x37, 0x2d, 0x39, 0x30, 0x39, 0x30, 0x12, 0x04,
        0x68, 0x6f, 0x6d, 0x65,
    ]);
    assert_eq!(
        phone,
        Person {
            name: "",
            id: 0,
            phone: vec![PhoneNumber { number: "+1234-777-9090", type_: "home" },],
        }
    );
}

// Put that all together into a single parse.
#[test]
fn test_full_person() {
    let person: Person = parse_message(&[
        0x0a, 0x07, 0x6d, 0x61, 0x78, 0x77, 0x65, 0x6c, 0x6c, 0x10, 0x2a, 0x1a,
        0x16, 0x0a, 0x0e, 0x2b, 0x31, 0x32, 0x30, 0x32, 0x2d, 0x35, 0x35, 0x35,
        0x2d, 0x31, 0x32, 0x31, 0x32, 0x12, 0x04, 0x68, 0x6f, 0x6d, 0x65, 0x1a,
        0x18, 0x0a, 0x0e, 0x2b, 0x31, 0x38, 0x30, 0x30, 0x2d, 0x38, 0x36, 0x37,
        0x2d, 0x35, 0x33, 0x30, 0x38, 0x12, 0x06, 0x6d, 0x6f, 0x62, 0x69, 0x6c,
        0x65,
    ]);
    assert_eq!(
        person,
        Person {
            name: "maxwell",
            id: 42,
            phone: vec![
                PhoneNumber { number: "+1202-555-1212", type_: "home" },
                PhoneNumber { number: "+1800-867-5308", type_: "mobile" },
            ]
        }
    );
}

この演習では、protobuf のパースが失敗する可能性のあるケースがさまざまにあります。たとえば、データバッファに残っているバイト数が 4 未満なのに i32 をパースしようとする場合です。通常の Rust コードであればこれを Result 列挙型で処理しますが、この演習では簡単にするため、エラーが発生した場合は panic します。4 日目には、 Rust のエラーハンドリングをさらに詳しく扱います。

解答

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// A wire type as seen on the wire.
enum WireType {
    /// The Varint WireType indicates the value is a single VARINT.
    Varint,
    // The I64 WireType indicates that the value is precisely 8 bytes in
    // little-endian order containing a 64-bit signed integer or double type.
    //I64,  -- not needed for this exercise
    /// The Len WireType indicates that the value is a length represented as a
    /// VARINT followed by exactly that number of bytes.
    Len,
    // The I32 WireType indicates that the value is precisely 4 bytes in
    // little-endian order containing a 32-bit signed integer or float type.
    //I32,  -- not needed for this exercise
}

#[derive(Debug)]
/// A field's value, typed based on the wire type.
enum FieldValue<'a> {
    Varint(u64),
    //I64(i64),  -- not needed for this exercise
    Len(&'a [u8]),
    //I32(i32),  -- not needed for this exercise
}

#[derive(Debug)]
/// A field, containing the field number and its value.
struct Field<'a> {
    field_num: u64,
    value: FieldValue<'a>,
}

trait ProtoMessage<'a>: Default {
    fn add_field(&mut self, field: Field<'a>);
}

impl From<u64> for WireType {
    fn from(value: u64) -> Self {
        match value {
            0 => WireType::Varint,
            //1 => WireType::I64,  -- not needed for this exercise
            2 => WireType::Len,
            //5 => WireType::I32,  -- not needed for this exercise
            _ => panic!("Invalid wire type: {value}"),
        }
    }
}

impl<'a> FieldValue<'a> {
    fn as_str(&self) -> &'a str {
        let FieldValue::Len(data) = self else {
            panic!("Expected string to be a `Len` field");
        };
        std::str::from_utf8(data).expect("Invalid string")
    }

    fn as_bytes(&self) -> &'a [u8] {
        let FieldValue::Len(data) = self else {
            panic!("Expected bytes to be a `Len` field");
        };
        data
    }

    fn as_u64(&self) -> u64 {
        let FieldValue::Varint(value) = self else {
            panic!("Expected `u64` to be a `Varint` field");
        };
        *value
    }
}

/// Parse a VARINT, returning the parsed value and the remaining bytes.
fn parse_varint(data: &[u8]) -> (u64, &[u8]) {
    for i in 0..7 {
        let Some(b) = data.get(i) else {
            panic!("Not enough bytes for varint");
        };
        if b & 0x80 == 0 {
            // This is the last byte of the VARINT, so convert it to
            // a u64 and return it.
            let mut value = 0u64;
            for b in data[..=i].iter().rev() {
                value = (value << 7) | (b & 0x7f) as u64;
            }
            return (value, &data[i + 1..]);
        }
    }

    // More than 7 bytes is invalid.
    panic!("Too many bytes for varint");
}

/// Convert a tag into a field number and a WireType.
fn unpack_tag(tag: u64) -> (u64, WireType) {
    let field_num = tag >> 3;
    let wire_type = WireType::from(tag & 0x7);
    (field_num, wire_type)
}

/// Parse a field, returning the remaining bytes
fn parse_field(data: &[u8]) -> (Field<'_>, &[u8]) {
    let (tag, remainder) = parse_varint(data);
    let (field_num, wire_type) = unpack_tag(tag);
    let (fieldvalue, remainder) = match wire_type {
        WireType::Varint => {
            let (value, remainder) = parse_varint(remainder);
            (FieldValue::Varint(value), remainder)
        }
        WireType::Len => {
            let (len, remainder) = parse_varint(remainder);
            let len = len as usize; // cast for simplicity
            let (value, remainder) = remainder.split_at(len);
            (FieldValue::Len(value), remainder)
        }
    };
    (Field { field_num, value: fieldvalue }, remainder)
}

/// Parse a message in the given data, calling `T::add_field` for each field in
/// the message.
///
/// The entire input is consumed.
fn parse_message<'a, T: ProtoMessage<'a>>(mut data: &'a [u8]) -> T {
    let mut result = T::default();
    while !data.is_empty() {
        let parsed = parse_field(data);
        result.add_field(parsed.0);
        data = parsed.1;
    }
    result
}

#[derive(PartialEq)]
#[derive(Debug, Default)]
struct PhoneNumber<'a> {
    number: &'a str,
    type_: &'a str,
}

#[derive(PartialEq)]
#[derive(Debug, Default)]
struct Person<'a> {
    name: &'a str,
    id: u64,
    phone: Vec<PhoneNumber<'a>>,
}

impl<'a> ProtoMessage<'a> for Person<'a> {
    fn add_field(&mut self, field: Field<'a>) {
        match field.field_num {
            1 => self.name = field.value.as_str(),
            2 => self.id = field.value.as_u64(),
            3 => self.phone.push(parse_message(field.value.as_bytes())),
            _ => {} // skip everything else
        }
    }
}

impl<'a> ProtoMessage<'a> for PhoneNumber<'a> {
    fn add_field(&mut self, field: Field<'a>) {
        match field.field_num {
            1 => self.number = field.value.as_str(),
            2 => self.type_ = field.value.as_str(),
            _ => {} // skip everything else
        }
    }
}

#[test]
fn test_id() {
    let person_id: Person = parse_message(&[0x10, 0x2a]);
    assert_eq!(person_id, Person { name: "", id: 42, phone: vec![] });
}

#[test]
fn test_name() {
    let person_name: Person = parse_message(&[
        0x0a, 0x0e, 0x62, 0x65, 0x61, 0x75, 0x74, 0x69, 0x66, 0x75, 0x6c, 0x20,
        0x6e, 0x61, 0x6d, 0x65,
    ]);
    assert_eq!(person_name, Person { name: "beautiful name", id: 0, phone: vec![] });
}

#[test]
fn test_just_person() {
    let person_name_id: Person =
        parse_message(&[0x0a, 0x04, 0x45, 0x76, 0x61, 0x6e, 0x10, 0x16]);
    assert_eq!(person_name_id, Person { name: "Evan", id: 22, phone: vec![] });
}

#[test]
fn test_phone() {
    let phone: Person = parse_message(&[
        0x0a, 0x00, 0x10, 0x00, 0x1a, 0x16, 0x0a, 0x0e, 0x2b, 0x31, 0x32, 0x33,
        0x34, 0x2d, 0x37, 0x37, 0x37, 0x2d, 0x39, 0x30, 0x39, 0x30, 0x12, 0x04,
        0x68, 0x6f, 0x6d, 0x65,
    ]);
    assert_eq!(
        phone,
        Person {
            name: "",
            id: 0,
            phone: vec![PhoneNumber { number: "+1234-777-9090", type_: "home" },],
        }
    );
}

// Put that all together into a single parse.
#[test]
fn test_full_person() {
    let person: Person = parse_message(&[
        0x0a, 0x07, 0x6d, 0x61, 0x78, 0x77, 0x65, 0x6c, 0x6c, 0x10, 0x2a, 0x1a,
        0x16, 0x0a, 0x0e, 0x2b, 0x31, 0x32, 0x30, 0x32, 0x2d, 0x35, 0x35, 0x35,
        0x2d, 0x31, 0x32, 0x31, 0x32, 0x12, 0x04, 0x68, 0x6f, 0x6d, 0x65, 0x1a,
        0x18, 0x0a, 0x0e, 0x2b, 0x31, 0x38, 0x30, 0x30, 0x2d, 0x38, 0x36, 0x37,
        0x2d, 0x35, 0x33, 0x30, 0x38, 0x12, 0x06, 0x6d, 0x6f, 0x62, 0x69, 0x6c,
        0x65,
    ]);
    assert_eq!(
        person,
        Person {
            name: "maxwell",
            id: 42,
            phone: vec![
                PhoneNumber { number: "+1202-555-1212", type_: "home" },
                PhoneNumber { number: "+1800-867-5308", type_: "mobile" },
            ]
        }
    );
}

Day 4 へようこそ

ここまでで、コア言語とその独自の安全性モデルを習得しました:

基礎と抽象化: トレイト、ジェネリクス、標準ライブラリ。
所有権: ムーブセマンティクスと Drop トレイト。
メモリ管理: 借用規則（& と &mut）およびライフタイム。
スマートポインタ: 複雑なデータ構造のための Box、Rc、RefCell。

これで、Rust がコンパイル時にどのようにメモリ安全性を保証するのかを理解できました！今日は、この知識を適用して堅牢で大規模なアプリケーションを構築することに焦点を当てます。

スケジュール

session outline

イテレータ

segment outline

イテレータが必要な理由

配列の内容を反復処理したい場合は、次を定義する必要があります。

反復処理のどこまで進んでいるかを追跡するための状態。たとえばインデックス。
反復処理がいつ終了するかを判定する条件。
ループごとに反復状態を更新するロジック。
その反復状態を使って各要素を取得するロジック。

C スタイルの for ループでは、これらを直接宣言します。

for (int i = 0; i < array_len; i += 1) {
    int elem = array[i];
}

Rust では、この状態とロジックをまとめて「イテレータ」と呼ばれるオブジェクトにします。

このスライドでは、Rust のイテレータが内部で何をしているかを説明するための文脈を示します。ここでは、（おそらく）なじみのある C スタイルの for ループという構文を使って、反復処理には何らかの状態と何らかのロジックが必要であることを示し、そのうえで次のスライドでイテレータがこれらをどのようにまとめるかを示します。

Rust には C スタイルの for ループはありませんが、同じことを while で表現できます:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

let array = [2, 4, 6, 8];
let mut i = 0;
while i < array.len() {
    let elem = array[i];
    i += 1;
}

さらに詳しく

C と C++ では、for を使って配列の反復処理を表す別の方法もあります。配列の先頭へのポインタと末尾へのポインタを使い、それらのポインタを比較して、ループをいつ終了すべきかを判定できます。

for (int *ptr = array; ptr < array + len; ptr += 1) {
    int elem = *ptr;
}

受講者から質問があれば、これが Rust のスライスおよび配列のイテレータが内部で動作する仕組みであると説明できます（ただし、Rust のイテレータとして実装されています）。

`Iterator` トレイト

Iterator トレイトは、オブジェクトを値のシーケンスを生成するためにどのように使用できるかを定義します。たとえば、スライスの要素を生成できるイテレータを作成したい場合、次のようになります。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct SliceIter<'s> {
    slice: &'s [i32],
    i: usize,
}

impl<'s> Iterator for SliceIter<'s> {
    type Item = &'s i32;

    fn next(&mut self) -> Option<Self::Item> {
        if self.i == self.slice.len() {
            None
        } else {
            let next = &self.slice[self.i];
            self.i += 1;
            Some(next)
        }
    }
}

fn main() {
    let slice = &[2, 4, 6, 8];
    let iter = SliceIter { slice, i: 0 };
    for elem in iter {
        dbg!(elem);
    }
}

SliceIter の例は、前のスライドで示した C スタイルの for ループと同じロジックを実装しています。
受講者に、イテレータは遅延評価されることを指摘してください。イテレータを作成しても構造体が初期化されるだけで、それ以外の処理は行われません。next メソッドが呼び出されるまで、何の処理も発生しません。
イテレータは有限である必要はありません。永遠に値を生成し続けるイテレータも完全に有効です。たとえば、0.. のような半開区間は、整数オーバーフローが発生するまで進み続けます。

さらに調べる

SliceIter の「実際の」版は、標準ライブラリ内の slice::Iter 型です。ただし、実際の版では境界チェックをなくすために、内部ではインデックスの代わりにポインタを使用しています。
SliceIter の例は、参照を含む構造体の良い例であり、そのためライフタイム注釈を使用しています。
SliceIter にジェネリックパラメータを追加して、任意の種類のスライス（&[i32] だけでなく）で動作できるようにすることも示せます。

`Iterator` のヘルパーメソッド

イテレータがどのように振る舞うかを定義する next メソッドに加えて、 Iterator トレイトは、カスタマイズされたイテレータを構築するために使える 70 個以上のヘルパーメソッドを提供します。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let result: i32 = (1..=10) // 1 から 10 までの範囲を作成する
        .filter(|x| x % 2 == 0) // 偶数のみを保持する
        .map(|x| x * x) // 各数を二乗する
        .sum(); // 二乗したすべての数を合計する

    println!("The sum of squares of even numbers from 1 to 10 is: {}", result);
}

Iterator トレイトは、コレクションに対する多くの一般的な関数型プログラミング操作（たとえば map、filter、reduce など）を実装しています。これらに関するすべてのドキュメントは、このトレイトにあります。
これらのヘルパーメソッドの多くは、元のイテレータを受け取り、異なる振る舞いをする新しいイテレータを生成します。これらは「iterator adapter methods」として知られています。
sum や count のような一部のメソッドは、イテレータを消費し、その中からすべての要素を取り出します。
これらのメソッドは連結して使えるように設計されているため、必要なことを正確に行うカスタムイテレータを簡単に構築できます。

さらに学ぶ

Rust のイテレータは非常に効率的で、高度に最適化可能です。多くのアダプタメソッドを組み合わせて作られた複雑なイテレータであっても、同等の命令型実装と同じくらい効率的なコードになります。

`collect`

collect メソッドを使うと、Iterator からコレクションを構築できます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let primes = vec![2, 3, 5, 7];
    let prime_squares = primes.into_iter().map(|p| p * p).collect::<Vec<_>>();
    println!("prime_squares: {prime_squares:?}");
}

どのイテレータでも Vec、VecDeque、または HashSet に collect できます。キーと値のペア（つまり 2 要素のタプル）を生成するイテレータは、 HashMap や BTreeMap に collect することもできます。

標準ライブラリのドキュメントで、collect の定義を受講者に見せてください。このメソッドのジェネリック型 B を指定する方法は 2 つあります。

「ターボフィッシュ」を使う方法: some_iterator.collect::<COLLECTION_TYPE>()。上の例はこの書き方です。ここで使われている _ という省略記法により、Rust は Vec の要素型を推論できます。
型推論を使う方法: let prime_squares: Vec<_> = some_iterator.collect(). この形式を使うように例を書き換えてください。

さらに探ってみる

受講者がこれがどのように動くのか気になったら、各種コレクション型がイテレータからどのように構築されるかを定義している FromIterator トレイトを取り上げるとよいでしょう。
Vec、HashMap などに対する FromIterator の基本的な実装に加えて、さらに特化した実装もあり、Iterator<Item = Result<V, E>> を Result<Vec<V>, E> に変換するといった便利なこともできます。
collect で型注釈がしばしば必要になる理由は、戻り値の型に対してジェネリックになっているからです。そのため、多くの場合にコンパイラが正しい型を推論しにくくなります。

`IntoIterator`

Iterator トレイトは、イテレータを作成したあとでどのように イテレートするか を示します。関連するトレイト IntoIterator は、ある型に対するイテレータの作成方法を定義します。これは for ループで自動的に使われます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Grid {
    x_coords: Vec<u32>,
    y_coords: Vec<u32>,
}

impl IntoIterator for Grid {
    type Item = (u32, u32);
    type IntoIter = GridIter;
    fn into_iter(self) -> GridIter {
        GridIter { grid: self, i: 0, j: 0 }
    }
}

struct GridIter {
    grid: Grid,
    i: usize,
    j: usize,
}

impl Iterator for GridIter {
    type Item = (u32, u32);

    fn next(&mut self) -> Option<(u32, u32)> {
        if self.i >= self.grid.x_coords.len() {
            self.i = 0;
            self.j += 1;
            if self.j >= self.grid.y_coords.len() {
                return None;
            }
        }
        let res = Some((self.grid.x_coords[self.i], self.grid.y_coords[self.j]));
        self.i += 1;
        res
    }
}

fn main() {
    let grid = Grid { x_coords: vec![3, 5, 7, 9], y_coords: vec![10, 20, 30, 40] };
    for (x, y) in grid {
        println!("point = {x}, {y}");
    }
}

IntoIterator は、for ループを動作させるトレイトです。これは Vec<T> のようなコレクション型や、それらへの参照である &Vec<T> や &[T] によって実装されています。範囲もこれを実装しています。これが、for i in some_vec { .. } でベクタをイテレートできる一方で、some_vec.next() は存在しない理由です。

IntoIterator のドキュメントを参照してください。IntoIterator のすべての実装は、2 つの型を宣言しなければなりません。

Item: i8 のような、イテレート対象の型
IntoIter: into_iter メソッドが返す Iterator 型

IntoIter と Item は結び付いていることに注意してください。イテレータは同じ Item 型を持たなければならず、これは Option<Item> を返すことを意味します

この例では、x 座標と y 座標のすべての組み合わせをイテレートしています。

main でグリッドを 2 回イテレートしてみてください。なぜこれは失敗するのでしょうか。IntoIterator::into_iter は self の所有権を受け取ることに注意してください。

この問題は、&Grid に対して IntoIterator を実装し、参照でイテレートする GridRefIter を作成することで修正できます。GridIter と GridRefIter の両方を含むバージョンは、この playground で利用できます。

同じ問題は標準ライブラリの型でも発生することがあります。for e in some_vector は some_vector の所有権を取得し、そのベクタの所有された要素をイテレートします。代わりに for e in &some_vector を使うと、some_vector の要素への参照をイテレートできます。

演習: Iterator メソッドのチェーン

この演習では、複雑な計算を実装するために、Iterator トレイトで提供されているメソッドのいくつかを見つけて使う必要があります。

次のコードを https://play.rust-lang.org/ にコピーして、テストが通るようにしてください。イテレータ式を使用し、その結果を collect して戻り値を構築してください。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// Calculate the differences between elements of `values` offset by `offset`,
/// wrapping around from the end of `values` to the beginning.
///
/// Element `n` of the result is `values[(n+offset)%len] - values[n]`.
fn offset_differences(offset: usize, values: Vec<i32>) -> Vec<i32> {
    todo!()
}

#[test]
fn test_offset_one() {
    assert_eq!(offset_differences(1, vec![1, 3, 5, 7]), vec![2, 2, 2, -6]);
    assert_eq!(offset_differences(1, vec![1, 3, 5]), vec![2, 2, -4]);
    assert_eq!(offset_differences(1, vec![1, 3]), vec![2, -2]);
}

#[test]
fn test_larger_offsets() {
    assert_eq!(offset_differences(2, vec![1, 3, 5, 7]), vec![4, 4, -4, -4]);
    assert_eq!(offset_differences(3, vec![1, 3, 5, 7]), vec![6, -2, -2, -2]);
    assert_eq!(offset_differences(4, vec![1, 3, 5, 7]), vec![0, 0, 0, 0]);
    assert_eq!(offset_differences(5, vec![1, 3, 5, 7]), vec![2, 2, 2, -6]);
}

#[test]
fn test_degenerate_cases() {
    assert_eq!(offset_differences(1, vec![0]), vec![0]);
    assert_eq!(offset_differences(1, vec![1]), vec![0]);
    let empty: Vec<i32> = vec![];
    assert_eq!(offset_differences(1, empty), vec![]);
}

解答

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// Calculate the differences between elements of `values` offset by `offset`,
/// wrapping around from the end of `values` to the beginning.
///
/// Element `n` of the result is `values[(n+offset)%len] - values[n]`.
fn offset_differences(offset: usize, values: Vec<i32>) -> Vec<i32> {
    let a = values.iter();
    let b = values.iter().cycle().skip(offset);
    a.zip(b).map(|(a, b)| *b - *a).collect()
}

#[test]
fn test_offset_one() {
    assert_eq!(offset_differences(1, vec![1, 3, 5, 7]), vec![2, 2, 2, -6]);
    assert_eq!(offset_differences(1, vec![1, 3, 5]), vec![2, 2, -4]);
    assert_eq!(offset_differences(1, vec![1, 3]), vec![2, -2]);
}

#[test]
fn test_larger_offsets() {
    assert_eq!(offset_differences(2, vec![1, 3, 5, 7]), vec![4, 4, -4, -4]);
    assert_eq!(offset_differences(3, vec![1, 3, 5, 7]), vec![6, -2, -2, -2]);
    assert_eq!(offset_differences(4, vec![1, 3, 5, 7]), vec![0, 0, 0, 0]);
    assert_eq!(offset_differences(5, vec![1, 3, 5, 7]), vec![2, 2, 2, -6]);
}

#[test]
fn test_degenerate_cases() {
    assert_eq!(offset_differences(1, vec![0]), vec![0]);
    assert_eq!(offset_differences(1, vec![1]), vec![0]);
    let empty: Vec<i32> = vec![];
    assert_eq!(offset_differences(1, empty), vec![]);
}

モジュール

segment outline

モジュール

impl ブロックを使うと、関数を型に紐づけて名前空間化できることを見てきました。

同様に、mod を使うと、型と関数を名前空間化できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod foo {
    pub fn do_something() {
        println!("foo モジュール内");
    }
}

mod bar {
    pub fn do_something() {
        println!("bar モジュール内");
    }
}

fn main() {
    foo::do_something();
    bar::do_something();
}

パッケージは機能を提供し、1 個以上のクレートのまとまりをどのようにビルドするかを記述した Cargo.toml ファイルを含みます。
クレートはモジュールの木構造であり、バイナリクレートは実行ファイルを作成し、ライブラリクレートはライブラリにコンパイルされます。
モジュールは構成とスコープを定義し、このセクションの中心となる概念です。

ファイルシステム階層

モジュールの内容を省略すると、Rust はそれを別のファイル内で探します:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod garden;

これにより、garden モジュールの内容が src/garden.rs にあることを Rust に伝えます。同様に、garden::vegetables モジュールは src/garden/vegetables.rs にあります。

crate ルートは次の場所にあります:

src/lib.rs（ライブラリ crate の場合）
src/main.rs（バイナリ crate の場合）

ファイル内で定義されたモジュールも、「内部ドキュメントコメント」を使って文書化できます。これらは、それを含むアイテムを文書化します。この場合はモジュールです。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! このモジュールは garden を実装しており、高性能な発芽実装を含みます。

// このモジュールから型を再エクスポートします。
pub use garden::Garden;
pub use seeds::SeedPacket;

/// 指定された seed packet をまきます。
pub fn sow(seeds: Vec<SeedPacket>) {
    todo!()
}

/// 準備ができている garden 内の収穫物を収穫します。
pub fn harvest(garden: &mut Garden) {
    todo!()
}

Rust 2018 より前は、モジュールは module.rs ではなく module/mod.rs に配置する必要がありました。これは 2018 以降の edition でも引き続き有効な代替手段です。
filename/mod.rs の代わりに filename.rs が導入された主な理由は、mod.rs という名前のファイルが多数あると、IDE で区別しにくくなるためです。
メインモジュールがファイルであっても、より深いネストではフォルダーを使用できます:
```
src/
├── main.rs
├── top_module.rs
└── top_module/
    └── sub_module.rs
```
Rust がモジュールを探す場所は、コンパイラディレクティブで変更できます:
```
// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[path = "some/path.rs"]
mod some_module;
```
これは、たとえば Go の慣習に似せて、モジュールのテストを some_module_test.rs という名前のファイルに配置したい場合に便利です。

可視性

モジュールはプライバシー境界です:

モジュールのアイテムはデフォルトで非公開です（実装の詳細を隠します）。
親および兄弟のアイテムは常に可視です。
言い換えると、あるアイテムがモジュール foo で可視であれば、そのアイテムは foo のすべての子孫でも可視です。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod outer {
    fn private() {
        println!("outer::private");
    }

    pub fn public() {
        println!("outer::public");
    }

    mod inner {
        fn private() {
            println!("outer::inner::private");
        }

        pub fn public() {
            println!("outer::inner::public");
            super::private();
        }
    }
}

fn main() {
    outer::public();
}

モジュールを公開するには pub キーワードを使用します。

さらに、公開範囲を制限するための高度な pub(...) 指定子もあります。

Rust Reference を参照してください。
pub(crate) の可視性を設定するのは一般的なパターンです。
あまり一般的ではありませんが、特定のパスに可視性を与えることもできます。
いずれの場合も、可視性は祖先モジュール（およびそのすべての子孫）に対して付与されている必要があります。

可視性とカプセル化

モジュール内のアイテムと同様に、struct のフィールドもデフォルトでは非公開です。非公開フィールドも同様に、そのモジュールの他の部分（子モジュールを含む）からは参照できます。これにより、struct の実装詳細をカプセル化し、外部から見えるデータや機能を制御できます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use outer::Foo;

mod outer {
    pub struct Foo {
        pub val: i32,
        is_big: bool,
    }

    impl Foo {
        pub fn new(val: i32) -> Self {
            Self { val, is_big: val > 100 }
        }
    }

    pub mod inner {
        use super::Foo;

        pub fn print_foo(foo: &Foo) {
            println!("Is {} big? {}", foo.val, foo.is_big);
        }
    }
}

fn main() {
    let foo = Foo::new(42);
    println!("foo.val = {}", foo.val);
    // let foo = Foo { val: 42, is_big: true };

    outer::inner::print_foo(&foo);
    // println!("Is {} big? {}", foo.val, foo.is_big);
}

このスライドでは、struct における可視性がモジュール単位で決まることを示しています。オブジェクト指向言語に慣れた受講者は、型がカプセル化の境界であることに慣れているかもしれません。そのため、このスライドは Rust の振る舞いがそれとは異なることを示しつつ、それでもカプセル化を実現できることを示しています。
is_big フィールドが Foo によって完全に制御されている点に注目してください。これにより、Foo はその初期化方法を制御し、必要な不変条件（たとえば、val > 100 の場合にのみ is_big が true になること）を強制できます。
型の非公開フィールドや非公開メソッドにアクセスするために、同じモジュール内（子モジュールを含む）でヘルパー関数を定義できることを指摘してください。
最初のコメントアウトされた行は、非公開フィールドを持つ struct を初期化できないことを示しています。2 つ目は、非公開フィールドに直接アクセスすることもできないことを示しています。
enum では可視性を設定できません。バリアントと、そのバリアント内のデータは常に公開です。

さらに学ぶには

enum における可視性（あるいはその欠如）についてさらに知りたがる受講者がいれば、#[doc_hidden] と #[non_exhaustive] を取り上げ、それらが enum でできることをどのように制限するために使われるかを示せます。
他のモジュールに impl ブロックがある場合でも、モジュールの可視性は引き続き適用されます(playground の例)。

use、super、self

モジュールは、use を使って別のモジュールのシンボルをスコープに取り込めます。通常、各モジュールの先頭には次のようなものがあります。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::collections::HashSet;
use std::process::abort;

パス

パスは次のように解決されます。

相対パスとして:
- foo または self::foo は、現在のモジュール内の foo を参照します。
- super::foo は、親モジュール内の foo を参照します。
絶対パスとして:
- crate::foo は、現在のクレートのルートにある foo を参照します。
- bar::foo は、bar クレート内の foo を参照します。

シンボルをより短いパスで「再エクスポート」するのは一般的です。たとえば、クレートの最上位の lib.rs には次のような記述があるかもしれません。
```
// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod storage;

pub use storage::disk::DiskStorage;
pub use storage::network::NetworkStorage;
```
これにより、DiskStorage と NetworkStorage は、便利で短いパスで他のクレートから利用できるようになります。
ほとんどの場合、use する必要があるのは、そのモジュール内に現れるアイテムだけです。ただし、あるトレイトのメソッドを呼び出すには、そのトレイトを実装している型がすでにスコープ内にあったとしても、そのトレイト自体がスコープ内になければなりません。たとえば、Read トレイトを実装している型で read_to_string メソッドを使うには、use std::io::Read が必要です。
use 文ではワイルドカードを使えます: use std::io::*。これは、どのアイテムがインポートされるのかが明確でなく、それらが将来変わる可能性もあるため、推奨されません。

演習: GUI ライブラリのモジュール

この演習では、小さな GUI ライブラリ実装を再編成します。このライブラリは Widget トレイトと、そのトレイトのいくつかの実装、および main 関数を定義しています。

通常は、各型または密接に関連する型の集合ごとに専用のモジュールを用意するため、各ウィジェット型もそれぞれ専用のモジュールを持つべきです。

Cargo のセットアップ

Rust playground は 1 つのファイルしかサポートしていないため、ローカルのファイルシステム上に Cargo プロジェクトを作成する必要があります:

cargo init gui-modules
cd gui-modules
cargo run

生成された src/main.rs を編集して mod 文を追加し、src ディレクトリに追加のファイルを作成してください。

ソース

以下は、GUI ライブラリの単一モジュール実装です:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Widget {
    /// Natural width of `self`.
    fn width(&self) -> usize;

    /// Draw the widget into a buffer.
    fn draw_into(&self, buffer: &mut dyn std::fmt::Write);

    /// Draw the widget on standard output.
    fn draw(&self) {
        let mut buffer = String::new();
        self.draw_into(&mut buffer);
        println!("{buffer}");
    }
}

pub struct Label {
    label: String,
}

impl Label {
    fn new(label: &str) -> Label {
        Label { label: label.to_owned() }
    }
}

pub struct Button {
    label: Label,
}

impl Button {
    fn new(label: &str) -> Button {
        Button { label: Label::new(label) }
    }
}

pub struct Window {
    title: String,
    widgets: Vec<Box<dyn Widget>>,
}

impl Window {
    fn new(title: &str) -> Window {
        Window { title: title.to_owned(), widgets: Vec::new() }
    }

    fn add_widget(&mut self, widget: Box<dyn Widget>) {
        self.widgets.push(widget);
    }

    fn inner_width(&self) -> usize {
        std::cmp::max(
            self.title.chars().count(),
            self.widgets.iter().map(|w| w.width()).max().unwrap_or(0),
        )
    }
}

impl Widget for Window {
    fn width(&self) -> usize {
        // Add 4 paddings for borders
        self.inner_width() + 4
    }

    fn draw_into(&self, buffer: &mut dyn std::fmt::Write) {
        let mut inner = String::new();
        for widget in &self.widgets {
            widget.draw_into(&mut inner);
        }

        let inner_width = self.inner_width();

        // TODO: Change draw_into to return Result<(), std::fmt::Error>. Then use the
        // ?-operator here instead of .unwrap().
        writeln!(buffer, "+-{:-<inner_width$}-+", "").unwrap();
        writeln!(buffer, "| {:^inner_width$} |", &self.title).unwrap();
        writeln!(buffer, "+={:=<inner_width$}=+", "").unwrap();
        for line in inner.lines() {
            writeln!(buffer, "| {:inner_width$} |", line).unwrap();
        }
        writeln!(buffer, "+-{:-<inner_width$}-+", "").unwrap();
    }
}

impl Widget for Button {
    fn width(&self) -> usize {
        self.label.width() + 8 // add a bit of padding
    }

    fn draw_into(&self, buffer: &mut dyn std::fmt::Write) {
        let width = self.width();
        let mut label = String::new();
        self.label.draw_into(&mut label);

        writeln!(buffer, "+{:-<width$}+", "").unwrap();
        for line in label.lines() {
            writeln!(buffer, "|{:^width$}|", &line).unwrap();
        }
        writeln!(buffer, "+{:-<width$}+", "").unwrap();
    }
}

impl Widget for Label {
    fn width(&self) -> usize {
        self.label.lines().map(|line| line.chars().count()).max().unwrap_or(0)
    }

    fn draw_into(&self, buffer: &mut dyn std::fmt::Write) {
        writeln!(buffer, "{}", &self.label).unwrap();
    }
}

fn main() {
    let mut window = Window::new("Rust GUI Demo 1.23");
    window.add_widget(Box::new(Label::new("This is a small text GUI demo.")));
    window.add_widget(Box::new(Button::new("Click me!")));
    window.draw();
}

学生には、自分にとって自然だと感じられる形でコードを分割するよう促し、必要な mod、use、pub 宣言に慣れてもらってください。その後、どのような構成が最も慣用的かを議論してください。

解答

src
├── main.rs
├── widgets
│   ├── button.rs
│   ├── label.rs
│   └── window.rs
└── widgets.rs

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// ---- src/widgets.rs ----
pub use button::Button;
pub use label::Label;
pub use window::Window;

mod button;
mod label;
mod window;

pub trait Widget {
    /// `self` の自然幅。
    fn width(&self) -> usize;

    /// ウィジェットをバッファに描画します。
    fn draw_into(&self, buffer: &mut dyn std::fmt::Write);

    /// ウィジェットを標準出力に描画します。
    fn draw(&self) {
        let mut buffer = String::new();
        self.draw_into(&mut buffer);
        println!("{buffer}");
    }
}

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// ---- src/widgets/label.rs ----
use super::Widget;

pub struct Label {
    label: String,
}

impl Label {
    pub fn new(label: &str) -> Label {
        Label { label: label.to_owned() }
    }
}

impl Widget for Label {
    fn width(&self) -> usize {
        // ANCHOR_END: Label-width
        self.label.lines().map(|line| line.chars().count()).max().unwrap_or(0)
    }

    // ANCHOR: Label-draw_into
    fn draw_into(&self, buffer: &mut dyn std::fmt::Write) {
        // ANCHOR_END: Label-draw_into
        writeln!(buffer, "{}", &self.label).unwrap();
    }
}

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// ---- src/widgets/button.rs ----
use super::{Label, Widget};

pub struct Button {
    label: Label,
}

impl Button {
    pub fn new(label: &str) -> Button {
        Button { label: Label::new(label) }
    }
}

impl Widget for Button {
    fn width(&self) -> usize {
        // ANCHOR_END: Button-width
        self.label.width() + 8 // 少しパディングを追加する
    }

    // ANCHOR: Button-draw_into
    fn draw_into(&self, buffer: &mut dyn std::fmt::Write) {
        // ANCHOR_END: Button-draw_into
        let width = self.width();
        let mut label = String::new();
        self.label.draw_into(&mut label);

        writeln!(buffer, "+{:-<width$}+", "").unwrap();
        for line in label.lines() {
            writeln!(buffer, "|{:^width$}|", &line).unwrap();
        }
        writeln!(buffer, "+{:-<width$}+", "").unwrap();
    }
}

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// ---- src/widgets/window.rs ----
use super::Widget;

pub struct Window {
    title: String,
    widgets: Vec<Box<dyn Widget>>,
}

impl Window {
    pub fn new(title: &str) -> Window {
        Window { title: title.to_owned(), widgets: Vec::new() }
    }

    pub fn add_widget(&mut self, widget: Box<dyn Widget>) {
        self.widgets.push(widget);
    }

    fn inner_width(&self) -> usize {
        std::cmp::max(
            self.title.chars().count(),
            self.widgets.iter().map(|w| w.width()).max().unwrap_or(0),
        )
    }
}

impl Widget for Window {
    fn width(&self) -> usize {
        // ANCHOR_END: Window-width
        // 枠線用に 4 文字分のパディングを追加する
        self.inner_width() + 4
    }

    // ANCHOR: Window-draw_into
    fn draw_into(&self, buffer: &mut dyn std::fmt::Write) {
        // ANCHOR_END: Window-draw_into
        let mut inner = String::new();
        for widget in &self.widgets {
            widget.draw_into(&mut inner);
        }

        let inner_width = self.inner_width();

        // TODO: エラーハンドリングについて学んだ後で、
        // draw_into が Result<(), std::fmt::Error> を返すように変更できます。その後、
        // ここでは .unwrap() の代わりに ? 演算子を使えます。
        writeln!(buffer, "+-{:-<inner_width$}-+", "").unwrap();
        writeln!(buffer, "| {:^inner_width$} |", &self.title).unwrap();
        writeln!(buffer, "+={:=<inner_width$}=+", "").unwrap();
        for line in inner.lines() {
            writeln!(buffer, "| {:inner_width$} |", line).unwrap();
        }
        writeln!(buffer, "+-{:-<inner_width$}-+", "").unwrap();
    }
}

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// ---- src/main.rs ----
mod widgets;

use widgets::{Button, Label, Widget, Window};

fn main() {
    let mut window = Window::new("Rust GUI デモ 1.23");
    window.add_widget(Box::new(Label::new("これは小さなテキスト GUI デモです。")));
    window.add_widget(Box::new(Button::new("クリックして！")));
    window.draw();
}

テスト

segment outline

単体テスト

Rust と Cargo には、シンプルな単体テストフレームワークが付属しています。テストには #[test] を付けます。単体テストは、ネストされた tests モジュールに置かれることが多く、 #[cfg(test)] を使って、テストをビルドするときにだけ条件付きでコンパイルされるようにします。

// 著作権 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn first_word(text: &str) -> &str {
    match text.find(' ') {
        Some(idx) => &text[..idx],
        None => &text,
    }
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn test_empty() {
        assert_eq!(first_word(""), "");
    }

    #[test]
    fn test_single_word() {
        assert_eq!(first_word("Hello"), "Hello");
    }

    #[test]
    fn test_multiple_words() {
        assert_eq!(first_word("Hello World"), "Hello");
    }
}

これにより、非公開のヘルパーを単体テストできます。
#[cfg(test)] 属性は、cargo test を実行したときにのみ有効になります。

その他の種類のテスト

統合テスト

ライブラリをクライアントとしてテストしたい場合は、統合テストを使用します。

tests/ の下に .rs ファイルを作成します:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// tests/my_library.rs
use my_library::init;

#[test]
fn test_init() {
    assert!(init().is_ok());
}

これらのテストからアクセスできるのは、クレートの公開 API のみです。

ドキュメントテスト

Rust にはドキュメントテストのサポートが組み込まれています:

#![allow(unused)]
fn main() {
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// 指定された長さに文字列を短縮します。
///
/// ```
/// # use playground::shorten_string;
/// assert_eq!(shorten_string("Hello World", 5), "Hello");
/// assert_eq!(shorten_string("Hello World", 20), "Hello World");
/// ```
pub fn shorten_string(s: &str, length: usize) -> &str {
    &s[..std::cmp::min(length, s.len())]
}
}

/// コメント内のコードブロックは、自動的に Rust コードとして扱われます。
そのコードは cargo test の一部としてコンパイルおよび実行されます。
コード内に # を追加すると、ドキュメントでは非表示になりますが、それでもコンパイルおよび実行されます。
上記のコードは Rust Playground で試してください。

コンパイラの lint と Clippy

Rust コンパイラは、優れたエラーメッセージに加えて、役立つ組み込み lint も生成します。Clippy はさらに多くの lint を提供し、プロジェクトごとに有効化できるグループに整理されています。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[deny(clippy::cast_possible_truncation)]
fn main() {
    let mut x = 3;
    while (x < 70000) {
        x *= 2;
    }
    println!("X probably fits in a u16, right? {}", x as u16);
}

ここではコンパイラの lint は表示されていますが、clippy lint は表示されていません。clippy の警告を表示するには、playground サイトで clippy を実行してください。Clippy にはその lint に関する広範なドキュメントがあり、新しい lint（デフォルトで deny される lint を含む）も常に追加されています。

help: ... が付いたエラーや警告は、cargo fix またはエディタ経由で修正できます。

演習: Luhn アルゴリズム

Luhn algorithm は、クレジットカード番号を検証するために使用されます。このアルゴリズムは文字列を入力として受け取り、クレジットカード番号を検証するために次のことを行います。

すべての空白を無視します。2 桁未満の数字は拒否します。文字やその他の数字以外の文字は拒否します。
右から左へ移動しながら、2 つおきの数字をすべて 2 倍します。数値 1234 では、3 と 1 を 2 倍します。数値 98765 では、6 と 8 を 2 倍します。
数字を 2 倍した後、結果が 9 より大きい場合はその桁を合計します。したがって、 7 を 2 倍すると 14 になり、これは 1 + 4 = 5 になります。
2 倍していない数字と 2 倍した数字をすべて合計します。
合計が 0 で終わる場合、そのクレジットカード番号は有効です。

提供されているコードには、Luhn アルゴリズムのバグのある実装と、アルゴリズムの大部分が正しく実装されていることを確認する 2 つの基本的なユニットテストが含まれています。

以下のコードを https://play.rust-lang.org/ にコピーし、追加のテストを作成して提供されている実装のバグを明らかにし、見つけたバグを修正してください。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub fn luhn(cc_number: &str) -> bool {
    let mut sum = 0;
    let mut double = false;

    for c in cc_number.chars().rev() {
        if let Some(digit) = c.to_digit(10) {
            if double {
                let double_digit = digit * 2;
                sum +=
                    if double_digit > 9 { double_digit - 9 } else { double_digit };
            } else {
                sum += digit;
            }
            double = !double;
        } else {
            continue;
        }
    }

    sum % 10 == 0
}

#[cfg(test)]
mod test {
    use super::*;

    #[test]
    fn test_valid_cc_number() {
        assert!(luhn("4263 9826 4026 9299"));
        assert!(luhn("4539 3195 0343 6467"));
        assert!(luhn("7992 7398 713"));
    }

    #[test]
    fn test_invalid_cc_number() {
        assert!(!luhn("4223 9826 4026 9299"));
        assert!(!luhn("4539 3195 0343 6476"));
        assert!(!luhn("8273 1232 7352 0569"));
    }
}

解答

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub fn luhn(cc_number: &str) -> bool {
    let mut sum = 0;
    let mut double = false;
    let mut digits = 0;

    for c in cc_number.chars().rev() {
        if let Some(digit) = c.to_digit(10) {
            digits += 1;
            if double {
                let double_digit = digit * 2;
                sum +=
                    if double_digit > 9 { double_digit - 9 } else { double_digit };
            } else {
                sum += digit;
            }
            double = !double;
        } else if c.is_whitespace() {
            // New: accept whitespace.
            continue;
        } else {
            // New: reject all other characters.
            return false;
        }
    }

    // New: check that we have at least two digits
    digits >= 2 && sum % 10 == 0
}

#[cfg(test)]
mod test {
    use super::*;

    #[test]
    fn test_valid_cc_number() {
        assert!(luhn("4263 9826 4026 9299"));
        assert!(luhn("4539 3195 0343 6467"));
        assert!(luhn("7992 7398 713"));
    }

    #[test]
    fn test_invalid_cc_number() {
        assert!(!luhn("4223 9826 4026 9299"));
        assert!(!luhn("4539 3195 0343 6476"));
        assert!(!luhn("8273 1232 7352 0569"));
    }

    #[test]
    fn test_non_digit_cc_number() {
        assert!(!luhn("foo"));
        assert!(!luhn("foo 0 0"));
    }

    #[test]
    fn test_empty_cc_number() {
        assert!(!luhn(""));
        assert!(!luhn(" "));
        assert!(!luhn("  "));
        assert!(!luhn("    "));
    }

    #[test]
    fn test_single_digit_cc_number() {
        assert!(!luhn("0"));
    }

    #[test]
    fn test_two_digit_cc_number() {
        assert!(luhn(" 0 0 "));
    }
}

おかえりなさい

session outline

エラー処理

segment outline

パニック

致命的なランタイムエラーが発生すると、Rust は「パニック」を発生させます。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let v = vec![10, 20, 30];
    dbg!(v[100]);
}

パニックは、回復不能で予期しないエラーのためのものです。
- パニックはプログラム内のバグの兆候です。
- 境界チェックの失敗のようなランタイム障害は、パニックを引き起こすことがあります。
- アサーション（assert! など）は、失敗するとパニックします。
- 特定の目的でパニックさせるには、panic! マクロを使えます。
パニックが発生するとスタックが「アンワインド」され、関数が戻った場合と同じように値がドロップされます。
クラッシュを許容できない場合は、パニックしない API（Vec::get など）を使用してください。

デフォルトでは、パニックが発生するとスタックがアンワインドされます。アンワインドは捕捉できます。

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::panic;

fn main() {
    let result = panic::catch_unwind(|| "No problem here!");
    dbg!(result);

    let result = panic::catch_unwind(|| {
        panic!("oh no!");
    });
    dbg!(result);
}

捕捉は一般的ではありません。catch_unwind を使って例外を実装しようとしないでください。
これは、1 つのリクエストがクラッシュしても動作を継続すべきサーバーでは有用な場合があります。
Cargo.toml で panic = 'abort' が設定されている場合、これは機能しません。

`Result`

Rust におけるエラーハンドリングの主要な仕組みは Result 列挙型であり、これは標準ライブラリの型について説明した際に少し見ました。

// 著作権 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fs::File;
use std::io::Read;

fn main() {
    let file: Result<File, std::io::Error> = File::open("diary.txt");
    match file {
        Ok(mut file) => {
            let mut contents = String::new();
            if let Ok(bytes) = file.read_to_string(&mut contents) {
                println!("親愛なる日記へ: {contents} ({bytes} バイト)");
            } else {
                println!("ファイルの内容を読み取れませんでした");
            }
        }
        Err(err) => {
            println!("日記を開けませんでした: {err}");
        }
    }
}

Result には 2 つのバリアントがあります。成功値を含む Ok と、何らかの種類のエラー値を含む Err です。
関数がエラーを生成しうるかどうかは、その関数が Result 値を返すことで、関数の型シグネチャにエンコードされます。
Option と同様に、エラー処理を忘れる方法はありません。どちらのバリアントを持っているかを確認するために、まず Result に対してパターンマッチしなければ、成功値にもエラー値にもアクセスできません。unwrap のようなメソッドを使うと、堅牢なエラーハンドリングを行わない手早いコードを書きやすくなりますが、その代わり、適切なエラーハンドリングがどこで省略されているかを、ソースコード上で常に確認できます。

さらに詳しく

Rust のエラーハンドリングを、受講者が他のプログラミング言語で慣れ親しんでいるかもしれないエラーハンドリングの慣習と比較すると、理解の助けになるかもしれません。

例外

多くの言語は例外を使用します。たとえば、C++、Java、Python です。
ほとんどの例外を持つ言語では、関数が例外を投げうるかどうかは、その型シグネチャの一部としては見えません。これは一般に、関数を呼び出すときに、その関数が例外を投げる可能性があるかどうかを判断できないことを意味します。
一般に例外はコールスタックを巻き戻し、try ブロックに到達するまで上位へ伝播します。コールスタックの深い場所で発生したエラーが、さらに上位にある無関係な関数に影響を与える可能性があります。

エラー番号

一部の言語では、関数の成功時の戻り値とは別に、エラー番号（またはその他のエラー値）を返します。例としては C や Go があります。
言語によってはエラー値の確認を忘れることがあり、その場合、初期化されていない、あるいはその他の理由で無効な成功値にアクセスしてしまう可能性があります。

try演算子

接続拒否やファイルが見つからないといった実行時エラーは Result 型で扱われますが、呼び出しのたびにこの型に対してパターンマッチを書くのは煩雑です。エラーを呼び出し元に返すには、try演算子 ? を使います。これにより、よくある次のようなコードを

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

match some_expression {
    Ok(value) => value,
    Err(err) => return Err(err),
}

はるかに単純な次の形にできます

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

some_expression?

これを使うと、エラー処理コードを簡潔にできます:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::Read;
use std::{fs, io};

fn read_username(path: &str) -> Result<String, io::Error> {
    let username_file_result = fs::File::open(path);
    let mut username_file = match username_file_result {
        Ok(file) => file,
        Err(err) => return Err(err),
    };

    let mut username = String::new();
    match username_file.read_to_string(&mut username) {
        Ok(_) => Ok(username),
        Err(err) => Err(err),
    }
}

fn main() {
    //fs::write("config.dat", "alice").unwrap();
    let username = read_username("config.dat");
    println!("username or error: {username:?}");
}

read_username 関数を、? を使うように簡略化してください。

ポイント:

username 変数には、Ok(string) または Err(error) のいずれかが入ります。
fs::write 呼び出しを使って、ファイルがない場合、空のファイル、ユーザー名が入ったファイルといった各シナリオを試してください。
なお、main は std::process::Termination を実装している限り Result<(), E> を返せます。実際には、これは E が Debug を実装していることを意味します。実行ファイルは Err バリアントを表示し、エラー時には 0 以外の終了ステータスを返します。

Try 変換

? の実際の展開は、これまでに示したものよりも少し複雑です。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

expression?

これは次と同じように動作します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

match expression {
    Ok(value) => value,
    Err(err)  => return Err(From::from(err)),
}

ここでの From::from 呼び出しは、エラー型を関数が返す型に変換しようとすることを意味します。これにより、エラーをより上位レベルのエラーに簡単にカプセル化できます。

例

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::error::Error;
use std::io::Read;
use std::{fmt, fs, io};

#[derive(Debug)]
enum ReadUsernameError {
    IoError(io::Error),
    EmptyUsername(String),
}

impl Error for ReadUsernameError {}

impl fmt::Display for ReadUsernameError {
    fn fmt(&self, f: &mut fmt::Formatter) -> fmt::Result {
        match self {
            Self::IoError(e) => write!(f, "I/O error: {e}"),
            Self::EmptyUsername(path) => write!(f, "Found no username in {path}"),
        }
    }
}

impl From<io::Error> for ReadUsernameError {
    fn from(err: io::Error) -> Self {
        Self::IoError(err)
    }
}

fn read_username(path: &str) -> Result<String, ReadUsernameError> {
    let mut username = String::with_capacity(100);
    fs::File::open(path)?.read_to_string(&mut username)?;
    if username.is_empty() {
        return Err(ReadUsernameError::EmptyUsername(String::from(path)));
    }
    Ok(username)
}

fn main() {
    //std::fs::write("config.dat", "").unwrap();
    let username = read_username("config.dat");
    println!("username or error: {username:?}");
}

? 演算子は、関数の戻り値の型と互換性のある値を返さなければなりません。Result の場合、これはエラー型に互換性が必要であることを意味します。Result<T, ErrorOuter> を返す関数が Result<U, ErrorInner> 型の値に対して ? を使えるのは、ErrorOuter と ErrorInner が同じ型であるか、ErrorOuter が From<ErrorInner> を実装している場合に限られます。

From 実装の一般的な代替手段は Result::map_err であり、特に変換が 1 か所でしか発生しない場合によく使われます。

Option には互換性要件がありません。Option<T> を返す関数は、任意の T と U の型について Option<U> に対して ? 演算子を使用できます。

Result を返す関数は Option に対して ? を使えず、その逆も同様です。ただし、Option::ok_or は Option を Result に変換し、Result::ok は Result を Option に変換します。

動的なエラー型

すべての異なる可能性を網羅する独自の enum を書かなくても、任意の型のエラーを返せるようにしたい場合があります。std::error::Error トレイトを使うと、任意のエラーを保持できるトレイトオブジェクトを簡単に作成できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::error::Error;
use std::fs;
use std::io::Read;

fn read_count(path: &str) -> Result<i32, Box<dyn Error>> {
    let mut count_str = String::new();
    fs::File::open(path)?.read_to_string(&mut count_str)?;
    let count: i32 = count_str.parse()?;
    Ok(count)
}

fn main() {
    fs::write("count.dat", "1i3").unwrap();
    match read_count("count.dat") {
        Ok(count) => println!("Count: {count}"),
        Err(err) => println!("Error: {err}"),
    }
}

read_count 関数は、std::io::Error（ファイル操作から）または std::num::ParseIntError（String::parse から）を返す可能性があります。

エラーを Box 化するとコード量を減らせますが、その代わりに、プログラム内で異なるエラーケースをそれぞれ明確に処理する能力は失われます。そのため、ライブラリの公開 API で Box<dyn Error> を使うのは一般的には良い考えではありませんが、単にどこかでエラーメッセージを表示したいだけのプログラムでは、良い選択肢になりえます。

カスタムエラー型を定義する際は、それを Box 化できるように std::error::Error トレイトを必ず実装してください。

`thiserror`

thiserror クレートは、エラー型を定義する際の定型的なコードを避けるのに役立つマクロを提供します。From<T>、Display、および Error トレイトの実装を支援する derive マクロを提供します。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::Read;
use std::{fs, io};
use thiserror::Error;

#[derive(Debug, Error)]
enum ReadUsernameError {
    #[error("I/O error: {0}")]
    IoError(#[from] io::Error),
    #[error("Found no username in {0}")]
    EmptyUsername(String),
}

fn read_username(path: &str) -> Result<String, ReadUsernameError> {
    let mut username = String::with_capacity(100);
    fs::File::open(path)?.read_to_string(&mut username)?;
    if username.is_empty() {
        return Err(ReadUsernameError::EmptyUsername(String::from(path)));
    }
    Ok(username)
}

fn main() {
    //fs::write("config.dat", "").unwrap();
    match read_username("config.dat") {
        Ok(username) => println!("Username: {username}"),
        Err(err) => println!("Error: {err}"),
    }
}

Error derive マクロは thiserror によって提供されており、コンパクトな方法でエラー型を定義するのに役立つ多くの便利な属性を備えています。
#[error] のメッセージは Display トレイトを derive するために使用されます。
（thiserror::）Error derive マクロは、（std::error::）Error トレイトを実装する効果がありますが、これと同じものではありません。トレイトとマクロは名前空間を共有しません。

`anyhow`

anyhow クレートは、追加のコンテキスト情報を保持できるリッチなエラー型を提供します。これは、エラーに至るまでプログラムが何をしていたかの意味的なトレースを提供するために使用できます。

これを thiserror の便利なマクロと組み合わせることで、カスタムエラー型に対するトレイト実装を明示的に書く必要を避けられます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use anyhow::{Context, Result, bail};
use std::fs;
use std::io::Read;
use thiserror::Error;

#[derive(Clone, Debug, Eq, Error, PartialEq)]
#[error("Found no username in {0}")]
struct EmptyUsernameError(String);

fn read_username(path: &str) -> Result<String> {
    let mut username = String::with_capacity(100);
    fs::File::open(path)
        .with_context(|| format!("Failed to open {path}"))?
        .read_to_string(&mut username)
        .context("Failed to read")?;
    if username.is_empty() {
        bail!(EmptyUsernameError(path.to_string()));
    }
    Ok(username)
}

fn main() {
    //fs::write("config.dat", "").unwrap();
    match read_username("config.dat") {
        Ok(username) => println!("Username: {username}"),
        Err(err) => println!("Error: {err:?}"),
    }
}

anyhow::Error は本質的には Box<dyn Error> のラッパーです。そのため、これも一般にライブラリの公開 API にはあまり適した選択肢ではありませんが、アプリケーションでは広く使われています。
anyhow::Result<V> は Result<V, anyhow::Error> の型エイリアスです。
anyhow::Error が提供する機能は Go 開発者にはなじみがあるかもしれません。これは Go の error 型に似た振る舞いを提供し、Result<T, anyhow::Error> は Go の (T, error) によく似ています（ただし、ペアの要素のうち意味を持つのは片方だけという慣習があります）。
anyhow::Context は標準の Result 型および Option 型に対して実装されているトレイトです。これらの型で .context() と .with_context() を有効にするには use anyhow::Context が必要です。

さらに調べるには

anyhow::Error は std::any::Any と同様にダウンキャストをサポートしています。必要であれば、内部に格納されている具体的なエラー型を取り出して調べることができます。これには Error::downcast を使用します。

演習: Result を使った書き換え

この演習では、2日目に行った式評価器の演習を再訪します。最初の解法では、起こりうるエラーケース、つまり 0 による除算を無視しています。このエラーケースを扱い、発生したときにエラーを返すよう、eval を慣用的なエラーハンドリングを用いる形に書き換えてください。eval のエラー型として使用するためのシンプルな DivideByZeroError 型を用意しています。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// An operation to perform on two subexpressions.
#[derive(Debug)]
enum Operation {
    Add,
    Sub,
    Mul,
    Div,
}

/// An expression, in tree form.
#[derive(Debug)]
enum Expression {
    /// An operation on two subexpressions.
    Op { op: Operation, left: Box<Expression>, right: Box<Expression> },

    /// A literal value
    Value(i64),
}

#[derive(PartialEq, Eq, Debug)]
struct DivideByZeroError;

// The original implementation of the expression evaluator. Update this to
// return a `Result` and produce an error when dividing by 0.
fn eval(e: Expression) -> i64 {
    match e {
        Expression::Op { op, left, right } => {
            let left = eval(*left);
            let right = eval(*right);
            match op {
                Operation::Add => left + right,
                Operation::Sub => left - right,
                Operation::Mul => left * right,
                Operation::Div => if right != 0 {
                    left / right
                } else {
                    panic!("Cannot divide by zero!");
                },
            }
        }
        Expression::Value(v) => v,
    }
}

#[cfg(test)]
mod test {
    use super::*;

    #[test]
    fn test_error() {
        assert_eq!(
            eval(Expression::Op {
                op: Operation::Div,
                left: Box::new(Expression::Value(99)),
                right: Box::new(Expression::Value(0)),
            }),
            Err(DivideByZeroError)
        );
    }

    #[test]
    fn test_ok() {
        let expr = Expression::Op {
            op: Operation::Sub,
            left: Box::new(Expression::Value(20)),
            right: Box::new(Expression::Value(10)),
        };
        assert_eq!(eval(expr), Ok(10));
    }
}

ここでの開始コードは、前の演習の解答とまったく同じではありません。エラーケースがどこにあるかを学生に示すため、明示的な panic を追加しています。学生が混乱している場合は、この点を指摘してください。

解答

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// An operation to perform on two subexpressions.
#[derive(Debug)]
enum Operation {
    Add,
    Sub,
    Mul,
    Div,
}

/// An expression, in tree form.
#[derive(Debug)]
enum Expression {
    /// An operation on two subexpressions.
    Op { op: Operation, left: Box<Expression>, right: Box<Expression> },

    /// A literal value
    Value(i64),
}

#[derive(PartialEq, Eq, Debug)]
struct DivideByZeroError;

fn eval(e: Expression) -> Result<i64, DivideByZeroError> {
    match e {
        Expression::Op { op, left, right } => {
            let left = eval(*left)?;
            let right = eval(*right)?;
            Ok(match op {
                Operation::Add => left + right,
                Operation::Sub => left - right,
                Operation::Mul => left * right,
                Operation::Div => {
                    if right == 0 {
                        return Err(DivideByZeroError);
                    } else {
                        left / right
                    }
                }
            })
        }
        Expression::Value(v) => Ok(v),
    }
}

#[cfg(test)]
mod test {
    use super::*;

    #[test]
    fn test_error() {
        assert_eq!(
            eval(Expression::Op {
                op: Operation::Div,
                left: Box::new(Expression::Value(99)),
                right: Box::new(Expression::Value(0)),
            }),
            Err(DivideByZeroError)
        );
    }

    #[test]
    fn test_ok() {
        let expr = Expression::Op {
            op: Operation::Sub,
            left: Box::new(Expression::Value(20)),
            right: Box::new(Expression::Value(10)),
        };
        assert_eq!(eval(expr), Ok(10));
    }
}

Result の戻り値型: 関数シグネチャは Result<i64, DivideByZeroError> を返すように変更されます。この明示的な型シグネチャにより、呼び出し側は失敗の可能性を処理することを強制されます。
? 演算子: 再帰呼び出しに対して ? を使用します: eval(*left)?。これにより、エラーがすっきりと伝播されます。eval が Err を返した場合、関数は即座にその Err を返します。Ok(v) を返した場合は、v が left（または right）に代入されます。
Ok でのラップ: 成功した結果は Ok(...) でラップする必要があります。
ゼロ除算の処理: right == 0 を明示的にチェックし、 Err(DivideByZeroError) を返します。これにより、元のコードでの panic が置き換えられます。

DivideByZeroError はユニット構造体（フィールドなし）であり、エラーについて追加で提供するコンテキストがないため、ここではそれで十分であることに触れてください。
? により、エラー処理が例外にほぼ匹敵するほど簡潔になる一方で、制御フローは明示的なままであることを説明してください。

Unsafe Rust

segment outline

Unsafe Rust

Rust 言語は 2 つの部分から成ります。

Safe Rust: メモリ安全で、未定義動作は発生しません。
Unsafe Rust: 事前条件に違反すると、未定義動作を引き起こす可能性があります。

このコースでは主に safe Rust を見てきましたが、Unsafe Rust が何であるかを知っておくことは重要です。

unsafe コードは小さく分離されているべきであり、その正しさは注意深く文書化されていなければなりません。また、安全な抽象化レイヤーでラップするべきです。

Unsafe Rust では、次の 5 つの新しい機能にアクセスできます。

生ポインタをデリファレンスする。
可変な静的変数にアクセスまたは変更する。
union フィールドにアクセスする。
extern 関数を含む unsafe 関数を呼び出す。
unsafe トレイトを実装する。

次に、unsafe の機能を簡単に見ていきます。詳しくは、 Rust Book の 19.1 章および Rustonomicon を参照してください。

Unsafe Rust は、そのコードが不正であることを意味しません。これは、開発者がコンパイラの安全性機能の一部を無効にし、正しいコードを自分で書かなければならないことを意味します。つまり、コンパイラは Rust のメモリ安全性ルールをもはや強制しません。

生ポインタのデリファレンス

ポインタを作成すること自体は安全ですが、それらをデリファレンスするには unsafe が必要です:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut x = 10;

    let p1: *mut i32 = &raw mut x;
    let p2 = p1 as *const i32;

    // SAFETY: p1 と p2 はローカル変数への生ポインタを取得して作成されたため、
    // null ではなく、アラインされており、単一の（スタックに）確保された
    // オブジェクトを指すことが保証されています。
    //
    // 生ポインタが参照しているオブジェクトは関数全体のあいだ生存するため、
    // 生ポインタが存在しているあいだに解放されることはありません。また、
    // 生ポインタが存在しているあいだは参照経由でアクセスされず、
    // 他のスレッドから同時にアクセスされることもありません。
    unsafe {
        dbg!(*p1);
        *p1 = 6;
        // C と同様に、変更は生ポインタを通して適切に観測できます。
        dbg!(*p2);
    }

    // UNSOUND. こうしてはいけません。
    /*
    let r: &i32 = unsafe { &*p1 };
    dbg!(r);
    x = 50;
    dbg!(r); // 参照が指す基底オブジェクトは変更されています。これは UB です。
    */
}

各 unsafe ブロックについて、その内部のコードが実行している unsafe 操作の安全要件をどのように満たしているかを説明するコメントを書くのは、よい実践です（そして Android Rust スタイルガイドでも必須です）。

ポインタをデリファレンスする場合、これはポインタが有効でなければならないことを意味します。つまり:

ポインタは null であってはなりません。
ポインタは デリファレンス可能 でなければなりません（単一の確保済みオブジェクトの境界内で）。
オブジェクトが解放済みであってはなりません。
同じ位置への同時アクセスがあってはなりません。
ポインタが参照をキャストして得られたものである場合、基底オブジェクトは生存していなければならず、そのメモリへのアクセスに参照を使用してはなりません。

ほとんどの場合、ポインタは適切にアラインされている必要もあります。

「UNSOUND」セクションは、よくある種類の UB バグの例を示しています。生ポインタのデリファレンス結果に安易に参照を取ると、参照が実際にどのオブジェクトを指しているのかについてのコンパイラの知識を迂回してしまいます。その結果、borrow checker は x を凍結しないため、その参照が存在しているにもかかわらず x を変更できてしまいます。ポインタから参照を作成するには、細心の注意 が必要です。

可変な静的変数

不変の静的変数を読み取るのは安全です:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

static HELLO_WORLD: &str = "Hello, world!";

fn main() {
    println!("HELLO_WORLD: {HELLO_WORLD}");
}

しかし、可変な静的変数の読み書きは unsafe です。複数のスレッドが同期なしに同時にアクセスでき、その結果データ競合が発生しうるためです。

可変な静的変数を健全に使用するには、コンパイラの助けなしに並行性について考察する必要があります:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

static mut COUNTER: u32 = 0;

fn add_to_counter(inc: u32) {
    // SAFETY: `COUNTER` にアクセスしうる他のスレッドは存在しません。
    unsafe {
        COUNTER += inc;
    }
}

fn main() {
    add_to_counter(42);

    // SAFETY: `COUNTER` にアクセスしうる他のスレッドは存在しません。
    unsafe {
        dbg!(COUNTER);
    }
}

ここでのプログラムは、シングルスレッドであるため健全です。しかし、Rust コンパイラは関数を個別に推論するため、そのことを前提にはできません。unsafe を取り除いて、複数のスレッドから可変な静的変数にアクセスすることが未定義動作であるとコンパイラがどのように説明するか確認してみてください。
2024 Rust edition ではさらに踏み込み、参照経由で可変な静的変数にアクセスすることがデフォルトでエラーになります。
可変な静的変数を使うのが良い考えであることはめったになく、代わりに内部可変性を使うべきです。
ヒープアロケータを実装する場合や一部の C API を扱う場合など、低レベルな no_std コードでは必要になることもあります。その場合は、参照ではなくポインタを使うべきです。

共用体

共用体は enum に似ていますが、どのフィールドが有効かは自分で追跡する必要があります。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[repr(C)]
union MyUnion {
    i: u8,
    b: bool,
}

fn main() {
    let u = MyUnion { i: 42 };
    println!("int: {}", unsafe { u.i });
    println!("bool: {}", unsafe { u.b }); // 未定義動作！
}

Rust では、enum がより優れた代替手段を提供するため、共用体が必要になることはまれです。それでも C ライブラリの API とやり取りする際には、ときどき必要になります。

バイト列を別の型として再解釈したいだけであれば、おそらく std::mem::transmute または zerocopy クレートのような安全なラッパーを使いたいはずです。

unsafe 関数

未定義動作を避けるために守らなければならない追加の事前条件がある場合、関数またはメソッドは unsafe としてマークできます。

unsafe 関数は、次の 2 つの場所に由来することがあります。

unsafe として宣言された Rust 関数。
extern "C" ブロック内の unsafe な外部関数。

次に、この 2 種類の unsafe 関数を見ていきます。

Unsafe Rustの関数

未定義動作を避けるために特定の事前条件が必要な場合は、自分の関数を unsafe としてマークできます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// 与えられたポインタが指す値を入れ替えます。
///
/// # Safety
///
/// ポインタは有効で、適切にアラインされており、関数呼び出しの間は
/// それ以外の方法でアクセスされていてはなりません。
unsafe fn swap(a: *mut u8, b: *mut u8) {
    // SAFETY: 呼び出し元は、ポインタが有効で適切にアラインされており、
    // ほかにアクセスがないことを保証しています。
    unsafe {
        let temp = *a;
        *a = *b;
        *b = temp;
    }
}

fn main() {
    let mut a = 42;
    let mut b = 66;

    // SAFETY: これらのポインタは参照から得られたものなので、有効で、
    // アラインされており、排他的でなければなりません。
    unsafe {
        swap(&mut a, &mut b);
    }

    println!("a = {}, b = {}", a, b);
}

実際には、swap 関数でポインタを使うことはありません — 参照を使えば安全に実装できます。

Rust 2021 以前では、unsafe 関数内では unsafe ブロックなしで unsafe なコードを使えることに注意してください。これは 2024 エディションで変更されました。古いエディションでは #[deny(unsafe_op_in_unsafe_fn)] を使ってこれを禁止できます。追加して、どうなるか試してみてください。

unsafe な外部関数

unsafe extern を使うと、Rust からアクセスするための外部関数を宣言できます。これは、それらの振る舞いについてコンパイラが推論する手段を持たないため、unsafe です。 extern ブロック内で宣言される関数には、安全に使用するための事前条件があるかどうかに応じて、safe または unsafe を付ける必要があります:

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::ffi::c_char;

unsafe extern "C" {
    // `abs` はポインタを扱わず、安全性に関する要件もありません。
    safe fn abs(input: i32) -> i32;

    /// # Safety
    ///
    /// `s` は、有効な NUL 終端 C 文字列へのポインタでなければならず、この関数呼び出しの
    /// 間は変更されてはなりません。
    unsafe fn strlen(s: *const c_char) -> usize;
}

fn main() {
    println!("C による -3 の絶対値: {}", abs(-3));

    unsafe {
        // SAFETY: プログラムの実行中ずっと有効な C 文字列リテラルへのポインタを
        // 渡しています。
        println!("文字列の長さ: {}", strlen(c"String".as_ptr()));
    }
}

Rust は以前、すべての extern 関数を unsafe と見なしていましたが、Rust 1.82 で unsafe extern ブロックが導入されてからは変わりました。
abs は外部関数 (FFI) であるため、明示的に safe とマークしなければなりません。外部関数の呼び出しが問題になるのは、それらの関数が Rust のメモリモデルに違反しうるポインタ操作を行う場合だけですが、一般論としては、どのような C 関数でも任意の状況で未定義動作を起こしうる可能性があります。
この例の "C" は ABI を表しています; 他の ABI も利用できます。
Rust の関数シグネチャが関数定義のものと一致していることを検証する仕組みはありません – それを保証するのはあなた自身です!

unsafe 関数の呼び出し

安全性要件を守らないと、メモリ安全性が損なわれます！

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
#[repr(C)]
struct KeyPair {
    pk: [u16; 4], // 8 バイト
    sk: [u16; 4], // 8 バイト
}

const PK_BYTE_LEN: usize = 8;

fn log_public_key(pk_ptr: *const u16) {
    let pk: &[u16] = unsafe { std::slice::from_raw_parts(pk_ptr, PK_BYTE_LEN) };
    println!("{pk:?}");
}

fn main() {
    let key_pair = KeyPair { pk: [1, 2, 3, 4], sk: [0, 0, 42, 0] };
    log_public_key(key_pair.pk.as_ptr());
}

各 unsafe ブロックには、必ず安全性コメントを付けてください。そのコメントでは、コードが実際に安全である理由を説明しなければなりません。この例には安全性コメントがなく、健全ではありません。

要点:

slice::from_raw_parts の第 2 引数は、バイト数ではなく 要素数 です！この例は、ある配列の末尾を越えて別の配列にまで読み進めることで、予期しない挙動が起こることを示しています。
これは、そのポインタの導出元となった配列の末尾を越えて読み取っているため、未定義動作です。
log_public_key は unsafe であるべきです。というのも、pk_ptr は未定義動作を避けるために特定の前提条件を満たしていなければならないからです。未定義動作を引き起こしうる安全な関数は unsound と呼ばれます。その安全性に関するドキュメントには何と書くべきでしょうか？
標準ライブラリには低レベルな unsafe 関数が多数含まれています。可能な場合は安全な代替手段を優先してください！
最適化のために unsafe 関数を使う場合は、その効果を示すベンチマークを必ず追加してください。

unsafe トレイトの実装

関数と同様に、未定義動作を避けるために実装が特定の条件を保証しなければならない場合、トレイトを unsafe としてマークできます。

たとえば、zerocopy クレートには、次のような unsafe トレイトがあります。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::{mem, slice};

/// ...
/// # Safety
/// この型は、表現が定義されており、パディングを含んではなりません。
pub unsafe trait IntoBytes {
    fn as_bytes(&self) -> &[u8] {
        let len = mem::size_of_val(self);
        let slf: *const Self = self;
        unsafe { slice::from_raw_parts(slf.cast::<u8>(), len) }
    }
}

// SAFETY: `u32` は表現が定義されており、パディングがありません。
unsafe impl IntoBytes for u32 {}

そのトレイトの Rustdoc には、そのトレイトを安全に実装するための要件を説明する # Safety セクションがあるべきです。

実際の IntoBytes の安全性に関するセクションは、これよりもかなり長く複雑です。

組み込みの Send トレイトと Sync トレイトは unsafe トレイトです。

安全なFFIラッパ

Rust は、foreign function interface（FFI）を介して関数を呼び出すための優れたサポートを備えています。これを使って、C からディレクトリ内のファイル名を読み取るときに使用する libc 関数の安全なラッパーを構築します。

以下のマニュアルページを参照するとよいでしょう。

また、std::ffi モジュールにも目を通してください。そこには、この演習で必要になるいくつかの文字列型があります。

型	エンコード	使う
`str` と `String`	UTF-8	Rust におけるテキスト処理
`CStr` と `CString`	NUL終端文字列	C 関数とのやり取り
`OsStr` と `OsString`	OS 固有	OS とのやり取り

これらすべての型の間で変換を行います。

&str から CString: 末尾の \0 文字のための領域を確保する必要があります。
CString から *const c_char: C 関数を呼び出すにはポインタが必要です。
*const c_char から &CStr: 末尾の \0 文字を見つけられるものが必要です。
&CStr から &[u8]: バイトスライスは「何らかの未知のデータ」に対する汎用的なインターフェースです。
&[u8] から &OsStr: &OsStr は OsString への途中段階です。これを作成するには OsStrExt を使ってください。
&OsStr から OsString: &OsStr 内のデータを複製して、これを返せるようにし、さらに readdir を再度呼び出せるようにする必要があります。

Nomicon にも、FFI に関する非常に有用な章があります。

以下のコードを https://play.rust-lang.org/ にコピーし、不足している関数とメソッドを埋めてください。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// TODO: 実装が完了したらこれを削除してください。
#![allow(unused_imports, unused_variables, dead_code)]

mod ffi {
    use std::os::raw::{c_char, c_int};
    #[cfg(not(target_os = "macos"))]
    use std::os::raw::{c_long, c_uchar, c_ulong, c_ushort};

    // Opaque type. See https://doc.rust-lang.org/nomicon/ffi.html.
    #[repr(C)]
    pub struct DIR {
        _data: [u8; 0],
        _marker: core::marker::PhantomData<(*mut u8, core::marker::PhantomPinned)>,
    }

    // Layout according to the Linux man page for readdir(3), where ino_t and
    // off_t are resolved according to the definitions in
    // /usr/include/x86_64-linux-gnu/{sys/types.h, bits/typesizes.h}.
    #[cfg(not(target_os = "macos"))]
    #[repr(C)]
    pub struct dirent {
        pub d_ino: c_ulong,
        pub d_off: c_long,
        pub d_reclen: c_ushort,
        pub d_type: c_uchar,
        pub d_name: [c_char; 256],
    }

    // Layout according to the macOS man page for dir(5).
    #[cfg(target_os = "macos")]
    #[repr(C)]
    pub struct dirent {
        pub d_fileno: u64,
        pub d_seekoff: u64,
        pub d_reclen: u16,
        pub d_namlen: u16,
        pub d_type: u8,
        pub d_name: [c_char; 1024],
    }

    unsafe extern "C" {
        pub unsafe fn opendir(s: *const c_char) -> *mut DIR;

        #[cfg(not(all(target_os = "macos", target_arch = "x86_64")))]
        pub unsafe fn readdir(s: *mut DIR) -> *const dirent;

        // See https://github.com/rust-lang/libc/issues/414 and the section on
        // _DARWIN_FEATURE_64_BIT_INODE in the macOS man page for stat(2).
        //
        // "Platforms that existed before these updates were available" refers
        // to macOS (as opposed to iOS / wearOS / etc.) on Intel and PowerPC.
        #[cfg(all(target_os = "macos", target_arch = "x86_64"))]
        #[link_name = "readdir$INODE64"]
        pub unsafe fn readdir(s: *mut DIR) -> *const dirent;

        pub unsafe fn closedir(s: *mut DIR) -> c_int;
    }
}

use std::ffi::{CStr, CString, OsStr, OsString};
use std::os::unix::ffi::OsStrExt;

#[derive(Debug)]
struct DirectoryIterator {
    path: CString,
    dir: *mut ffi::DIR,
}

impl DirectoryIterator {
    fn new(path: &str) -> Result<DirectoryIterator, String> {
        // Call opendir and return a Ok value if that worked,
        // otherwise return Err with a message.
        todo!()
    }
}

impl Iterator for DirectoryIterator {
    type Item = OsString;
    fn next(&mut self) -> Option<OsString> {
        // Keep calling readdir until we get a NULL pointer back.
        todo!()
    }
}

impl Drop for DirectoryIterator {
    fn drop(&mut self) {
        // Call closedir as needed.
        todo!()
    }
}

fn main() -> Result<(), String> {
    let iter = DirectoryIterator::new(".")?;
    println!("files: {:#?}", iter.collect::<Vec<_>>());
    Ok(())
}

FFI バインディングのコードは、通常、ここで行っているように手作業で書くのではなく、bindgen のようなツールによって生成されます。ただし、bindgen はオンラインの playground では実行できません。

解答

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod ffi {
    use std::os::raw::{c_char, c_int};
    #[cfg(not(target_os = "macos"))]
    use std::os::raw::{c_long, c_uchar, c_ulong, c_ushort};

    // Opaque type. See https://doc.rust-lang.org/nomicon/ffi.html.
    #[repr(C)]
    pub struct DIR {
        _data: [u8; 0],
        _marker: core::marker::PhantomData<(*mut u8, core::marker::PhantomPinned)>,
    }

    // Layout according to the Linux man page for readdir(3), where ino_t and
    // off_t are resolved according to the definitions in
    // /usr/include/x86_64-linux-gnu/{sys/types.h, bits/typesizes.h}.
    #[cfg(not(target_os = "macos"))]
    #[repr(C)]
    pub struct dirent {
        pub d_ino: c_ulong,
        pub d_off: c_long,
        pub d_reclen: c_ushort,
        pub d_type: c_uchar,
        pub d_name: [c_char; 256],
    }

    // Layout according to the macOS man page for dir(5).
    #[cfg(target_os = "macos")]
    #[repr(C)]
    pub struct dirent {
        pub d_fileno: u64,
        pub d_seekoff: u64,
        pub d_reclen: u16,
        pub d_namlen: u16,
        pub d_type: u8,
        pub d_name: [c_char; 1024],
    }

    unsafe extern "C" {
        pub unsafe fn opendir(s: *const c_char) -> *mut DIR;

        #[cfg(not(all(target_os = "macos", target_arch = "x86_64")))]
        pub unsafe fn readdir(s: *mut DIR) -> *const dirent;

        // See https://github.com/rust-lang/libc/issues/414 and the section on
        // _DARWIN_FEATURE_64_BIT_INODE in the macOS man page for stat(2).
        //
        // "Platforms that existed before these updates were available" refers
        // to macOS (as opposed to iOS / wearOS / etc.) on Intel and PowerPC.
        #[cfg(all(target_os = "macos", target_arch = "x86_64"))]
        #[link_name = "readdir$INODE64"]
        pub unsafe fn readdir(s: *mut DIR) -> *const dirent;

        pub unsafe fn closedir(s: *mut DIR) -> c_int;
    }
}

use std::ffi::{CStr, CString, OsStr, OsString};
use std::os::unix::ffi::OsStrExt;

#[derive(Debug)]
struct DirectoryIterator {
    path: CString,
    dir: *mut ffi::DIR,
}

impl DirectoryIterator {
    fn new(path: &str) -> Result<DirectoryIterator, String> {
        // Call opendir and return a Ok value if that worked,
        // otherwise return Err with a message.
        let path =
            CString::new(path).map_err(|err| format!("Invalid path: {err}"))?;
        // SAFETY: path.as_ptr() cannot be NULL.
        let dir = unsafe { ffi::opendir(path.as_ptr()) };
        if dir.is_null() {
            Err(format!("Could not open {path:?}"))
        } else {
            Ok(DirectoryIterator { path, dir })
        }
    }
}

impl Iterator for DirectoryIterator {
    type Item = OsString;
    fn next(&mut self) -> Option<OsString> {
        // Keep calling readdir until we get a NULL pointer back.
        // SAFETY: self.dir is never NULL.
        let dirent = unsafe { ffi::readdir(self.dir) };
        if dirent.is_null() {
            // We have reached the end of the directory.
            return None;
        }
        // SAFETY: dirent is not NULL and dirent.d_name is NUL
        // terminated.
        let d_name = unsafe { CStr::from_ptr((*dirent).d_name.as_ptr()) };
        let os_str = OsStr::from_bytes(d_name.to_bytes());
        Some(os_str.to_owned())
    }
}

impl Drop for DirectoryIterator {
    fn drop(&mut self) {
        // Call closedir as needed.
        // SAFETY: self.dir is never NULL.
        if unsafe { ffi::closedir(self.dir) } != 0 {
            panic!("Could not close {:?}", self.path);
        }
    }
}

fn main() -> Result<(), String> {
    let iter = DirectoryIterator::new(".")?;
    println!("files: {:#?}", iter.collect::<Vec<_>>());
    Ok(())
}

#[cfg(test)]
mod tests {
    use super::*;
    use std::error::Error;

    #[test]
    fn test_nonexisting_directory() {
        let iter = DirectoryIterator::new("no-such-directory");
        assert!(iter.is_err());
    }

    #[test]
    fn test_empty_directory() -> Result<(), Box<dyn Error>> {
        let tmp = tempfile::TempDir::new()?;
        let iter = DirectoryIterator::new(
            tmp.path().to_str().ok_or("Non UTF-8 character in path")?,
        )?;
        let mut entries = iter.collect::<Vec<_>>();
        entries.sort();
        assert_eq!(entries, &[".", ".."]);
        Ok(())
    }

    #[test]
    fn test_nonempty_directory() -> Result<(), Box<dyn Error>> {
        let tmp = tempfile::TempDir::new()?;
        std::fs::write(tmp.path().join("foo.txt"), "The Foo Diaries\n")?;
        std::fs::write(tmp.path().join("bar.png"), "<PNG>\n")?;
        std::fs::write(tmp.path().join("crab.rs"), "//! Crab\n")?;
        let iter = DirectoryIterator::new(
            tmp.path().to_str().ok_or("Non UTF-8 character in path")?,
        )?;
        let mut entries = iter.collect::<Vec<_>>();
        entries.sort();
        assert_eq!(entries, &[".", "..", "bar.png", "crab.rs", "foo.txt"]);
        Ok(())
    }
}

安全性コメント: 各 unsafe ブロックの前には、その操作がなぜ安全なのかを説明する // SAFETY: コメントが置かれています。これは監査を容易にするための、Rust における標準的な慣行です。
文字列変換: このコードは、FFI に必要な変換を示しています:
- &str -> CString: C 用のヌル終端文字列を作成するため。
- CString -> *const c_char: ポインタを C に渡すため。
- *const c_char -> &CStr: 返された C 文字列をラップするため。
- &CStr -> &[u8] -> &OsStr -> OsString: バイト列を Rust の OS 文字列に戻すため。
RAII (Drop): イテレータがスコープを外れるときに closedir を自動的に呼び出すように Drop を実装しています。これにより、ファイルディスクリプタのリークを防げます。
イテレータインターフェース: C API を Rust の Iterator でラップし、基盤となる unsafe な C 関数に対して、安全で Rust らしいインターフェース（next は Option<OsString> を返す）を提供します。

CString は（String のように）データを所有しますが、CStr は（&str のような）借用参照です。
バイト列を直接 OsStr に変換するには、Unix システムでは OsStrExt トレイトが必要です。

Android における Rust へようこそ

Rust は Android のシステムソフトウェアでサポートされています。これは、新しいサービス、ライブラリ、ドライバー、さらにはファームウェアまでを Rust で記述したり、必要に応じて既存のコードを改善したりできることを意味します。

Android で Rust の利用が増えていることを踏まえると、講演者は次のいずれかに言及する場合があります:

サービスの例: DNS over HTTP.
ライブラリ: Rutabaga Virtual Graphics Interface.
カーネルドライバー: Binder.
ファームウェア: pKVM firmware.

セットアップ

コードをテストするために、Cuttlefish Android Virtual Device を使用します。アクセスできるものがあることを確認するか、次のコマンドで新しく作成してください。

source build/envsetup.sh
lunch aosp_cf_x86_64_phone-trunk_staging-userdebug
acloud create

詳細については、 Android Developer Codelab を参照してください。

以降のページにあるコードは、コース教材の src/android/ ディレクトリにあります。内容に沿って進めるには、リポジトリを git clone してください。

重要なポイント:

Cuttlefish は、汎用 Linux デスクトップ上で動作するように設計されたリファレンス Android デバイスです。MacOS のサポートも計画されています。
Cuttlefish システムイメージは実機に対して高い忠実度を維持しており、多くの Rust のユースケースを実行するのに理想的なエミュレータです。

ビルドルール

Android ビルドシステム（Soong）は、いくつかのモジュールを通じて Rust をサポートしています。

モジュールタイプ	説明
`rust_binary`	Rust バイナリを生成します。
`rust_library`	Rust ライブラリを生成し、`rlib` と `dylib` の両方のバリアントを提供します。
`rust_ffi`	`cc` モジュールで利用可能な Rust C ライブラリを生成し、静的版と共有版の両方のバリアントを提供します。
`rust_proc_macro`	`proc-macro` Rust ライブラリを生成します。これらはコンパイラプラグインに相当します。
`rust_test`	標準の Rust テストハーネスを使用する Rust テストバイナリを生成します。
`rust_fuzz`	`libfuzzer` を活用する Rust ファズバイナリを生成します。
`rust_protobuf`	ソースを生成し、特定の protobuf に対するインターフェースを提供する Rust ライブラリを生成します。
`rust_bindgen`	ソースを生成し、C ライブラリへの Rust バインディングを含む Rust ライブラリを生成します。

次に、rust_binary と rust_library を見ていきます。

発表者が触れる可能性のある追加項目:

Cargo は多言語リポジトリ向けに最適化されておらず、さらにインターネットからパッケージをダウンロードします。
コンプライアンスとパフォーマンスのため、Android ではクレートをツリー内に持つ必要があります。また、C/C++/Java コードと相互運用できる必要もあります。 Soong はそのギャップを埋めます。
Soong には Bazel との多くの類似点があります。Bazel は Blaze（google3 で使用されている）のオープンソース版です。
豆知識: Star Trek の Data は Soong 型 Android です。

Rust バイナリ

シンプルなアプリケーションから始めましょう。AOSP チェックアウトのルートで、次のファイルを作成します:

hello_rust/Android.bp:

rust_binary {
    name: "hello_rust",
    crate_name: "hello_rust",
    srcs: ["src/main.rs"],
}

hello_rust/src/main.rs:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Rust demo.

/// Prints a greeting to standard output.
fn main() {
    println!("Hello from Rust!");
}

これでバイナリをビルドし、プッシュして、実行できます:

m hello_rust
adb push "$ANDROID_PRODUCT_OUT/system/bin/hello_rust" /data/local/tmp
adb shell /data/local/tmp/hello_rust

Hello from Rust!

ビルド手順を順に実行し、エミュレータ上で動作することを示してください。
充実したドキュメントコメントに注目してください。Android のビルドルールでは、すべてのモジュールにドキュメントがあることが強制されます。これを削除して、どのようなエラーが出るか確認してみてください。
Rust のビルドルールが他の Soong ルールと同じように見えることを強調してください。これは、Rust を C++ や Java と同じくらい簡単に使えるようにするための設計です。

Rust ライブラリ

Android 向けの新しい Rust ライブラリを作成するには、rust_library を使用します。

ここでは、2 つのライブラリへの依存関係を宣言します。

libgreeting。これは以下で定義します。
libtextwrap。これは、すでに external/rust/android-crates-io/crates/ に vendored 済みの crate です。

hello_rust/Android.bp:

rust_binary {
    name: "hello_rust_with_dep",
    crate_name: "hello_rust_with_dep",
    srcs: ["src/main.rs"],
    rustlibs: [
        "libgreetings",
        "libtextwrap",
    ],
    prefer_rlib: true, // Need this to avoid dynamic link error.
}

rust_library {
    name: "libgreetings",
    crate_name: "greetings",
    srcs: ["src/lib.rs"],
}

hello_rust/src/main.rs:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Rust demo.

use greetings::greeting;
use textwrap::fill;

/// Prints a greeting to standard output.
fn main() {
    println!("{}", fill(&greeting("Bob"), 24));
}

hello_rust/src/lib.rs:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Greeting library.

/// Greet `name`.
pub fn greeting(name: &str) -> String {
    format!("Hello {name}, it is very nice to meet you!")
}

先ほどと同じように、バイナリをビルド、プッシュして実行します。

m hello_rust_with_dep
adb push "$ANDROID_PRODUCT_OUT/system/bin/hello_rust_with_dep" /data/local/tmp
adb shell /data/local/tmp/hello_rust_with_dep

Hello Bob, it is very
nice to meet you!

ビルド手順を一通り実行し、それらがエミュレータ上で動作することを示してください。
greetings という名前の Rust crate は、libgreetings というルールでビルドする必要があります。 Rust コードが通常の Rust と同様に crate 名を使っていることに注意してください。
繰り返しになりますが、ビルドルールによって、すべての public な項目にドキュメントコメントを追加することが強制されます。

AIDL（Androidインターフェイス定義言語）

Rust は、Android Interface Definition Language（AIDL）をサポートしています。

Rust コードから既存の AIDL サーバーを呼び出すことができます。
Rust で新しい AIDL サーバーを作成できます。

AIDL を使用すると、Android アプリ同士が相互にやり取りできます。
Rust はこのエコシステムにおける第一級の存在であるため、デバイス上の他のプロセスから Rust サービスを呼び出すことができます。

Birthday Service チュートリアル

Binder で Rust を使用する方法を説明するために、Binder インターフェースを作成します。次に、サービスを実装し、それと通信するクライアントを作成します。

AIDL インターフェース

AIDL インターフェースを使用して、サービスの API を宣言します。

birthday_service/aidl/com/example/birthdayservice/IBirthdayService.aidl:

package com.example.birthdayservice;

/** Birthday service interface. */
interface IBirthdayService {
    /** Generate a Happy Birthday message. */
    String wishHappyBirthday(String name, int years);
}

birthday_service/aidl/Android.bp:

aidl_interface {
    name: "com.example.birthdayservice",
    srcs: ["com/example/birthdayservice/*.aidl"],
    unstable: true,
    backend: {
        rust: { // Rust is not enabled by default
            enabled: true,
        },
    },
}

aidl/ ディレクトリ配下のディレクトリ構造は、AIDL ファイルで使用されるパッケージ名と一致している必要があることに注意してください。つまり、パッケージは com.example.birthdayservice で、ファイルは aidl/com/example/IBirthdayService.aidl にあります。

生成されたサービス API

Binder は、各インターフェース定義に対してトレイトを生成します。

birthday_service/aidl/com/example/birthdayservice/IBirthdayService.aidl:

/** Birthday service interface. */
interface IBirthdayService {
    /** Generate a Happy Birthday message. */
    String wishHappyBirthday(String name, int years);
}

out/soong/.intermediates/…/com_example_birthdayservice.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait IBirthdayService {
    fn wishHappyBirthday(&self, name: &str, years: i32) -> binder::Result<String>;
}

サービスはこのトレイトを実装する必要があり、クライアントはこのトレイトを使用してサービスとやり取りします。

生成された関数シグネチャ、特に引数と返り値の型が、インターフェース定義にどのように対応しているかを指摘してください。
- 引数の String は、返り値の String とは異なる Rust の型になります。

サービスの実装

これで AIDL サービスを実装できます。

birthday_service/src/lib.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! `IBirthdayService` AIDL インターフェースの実装。
use com_example_birthdayservice::aidl::com::example::birthdayservice::IBirthdayService::IBirthdayService;
use com_example_birthdayservice::binder;

/// The `IBirthdayService` implementation.
pub struct BirthdayService;

impl binder::Interface for BirthdayService {}

impl IBirthdayService for BirthdayService {
    fn wishHappyBirthday(&self, name: &str, years: i32) -> binder::Result<String> {
        Ok(format!("Happy Birthday {name}, congratulations with the {years} years!"))
    }
}

birthday_service/Android.bp:

rust_library {
    name: "libbirthdayservice",
    crate_name: "birthdayservice",
    srcs: ["src/lib.rs"],
    rustlibs: [
        "com.example.birthdayservice-rust",
    ],
}

生成された IBirthdayService トレイトへのパスを示し、各セグメントがそれぞれ必要である理由を説明してください。
wishHappyBirthday とその他の AIDL IPC メソッドは、&mut self ではなく &self を受け取る点に注意してください。
- これは、Binder が受信したリクエストにスレッドプール上で応答し、複数のリクエストを並列に処理できるようにするために必要です。これにより、サービスメソッドは self への共有参照しか受け取れません。
- サービスによって変更する必要がある状態は、安全に変更できるように Mutex のようなものに入れる必要があります。
- サービス状態を管理する適切な方法は、サービスの詳細に大きく依存します。
TODO: binder::Interface トレイトは何をするのでしょうか。オーバーライドするメソッドはありますか。ソースはどこにありますか。

AIDL サーバー

最後に、サービスを公開するサーバーを作成できます。

birthday_service/src/server.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Birthday service.
use birthdayservice::BirthdayService;
use com_example_birthdayservice::aidl::com::example::birthdayservice::IBirthdayService::BnBirthdayService;
use com_example_birthdayservice::binder;

const SERVICE_IDENTIFIER: &str = "birthdayservice";

/// Entry point for birthday service.
fn main() {
    let birthday_service = BirthdayService;
    let birthday_service_binder = BnBirthdayService::new_binder(
        birthday_service,
        binder::BinderFeatures::default(),
    );
    binder::add_service(SERVICE_IDENTIFIER, birthday_service_binder.as_binder())
        .expect("Failed to register service");
    binder::ProcessState::join_thread_pool();
}

birthday_service/Android.bp:

rust_binary {
    name: "birthday_server",
    crate_name: "birthday_server",
    srcs: ["src/server.rs"],
    rustlibs: [
        "com.example.birthdayservice-rust",
        "libbirthdayservice",
    ],
    prefer_rlib: true, // To avoid dynamic link error.
}

ユーザー定義のサービス実装（この場合は IBirthdayService を実装する BirthdayService 型）を受け取り、それを Binder サービスとして起動するプロセスには複数の手順があります。これは、C++ や他の言語から Binder を使ったことがある受講者にとっては、慣れているものより複雑に見えるかもしれません。各手順がなぜ必要なのかを受講者に説明してください。

サービス型（BirthdayService）のインスタンスを作成します。
サービスオブジェクトを、対応する Bn* 型（この場合は BnBirthdayService）でラップします。この型は Binder によって生成され、C++ の BnBinder 基底クラスに似た共通の Binder 機能を提供します。Rust には継承がないため、生成された BnBinderService の中に BirthdayService を入れるというコンポジションを使います。
add_service を呼び出し、サービス識別子とサービスオブジェクト（この例では BnBirthdayService オブジェクト）を渡します。
join_thread_pool を呼び出して現在のスレッドを Binder のスレッドプールに追加し、接続の待機を開始します。

デプロイ

これで、サービスをビルドし、プッシュして起動できます:

m birthday_server
adb push "$ANDROID_PRODUCT_OUT/system/bin/birthday_server" /data/local/tmp
adb root
adb shell /data/local/tmp/birthday_server

別のターミナルで、サービスが実行されていることを確認します:

adb shell service check birthdayservice

Service birthdayservice: found

service call を使ってサービスを呼び出すこともできます:

adb shell service call birthdayservice 1 s16 Bob i32 24

Result: Parcel(
  0x00000000: 00000000 00000036 00610048 00700070 '....6...H.a.p.p.'
  0x00000010: 00200079 00690042 00740072 00640068 'y. .B.i.r.t.h.d.'
  0x00000020: 00790061 00420020 0062006f 0020002c 'a.y. .B.o.b.,. .'
  0x00000030: 006f0063 0067006e 00610072 00750074 'c.o.n.g.r.a.t.u.'
  0x00000040: 0061006c 00690074 006e006f 00200073 'l.a.t.i.o.n.s. .'
  0x00000050: 00690077 00680074 00740020 00650068 'w.i.t.h. .t.h.e.'
  0x00000060: 00320020 00200034 00650079 00720061 ' .2.4. .y.e.a.r.'
  0x00000070: 00210073 00000000                   's.!.....        ')

AIDL クライアント

最後に、新しいサービス用の Rust クライアントを作成できます。

birthday_service/src/client.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use com_example_birthdayservice::aidl::com::example::birthdayservice::IBirthdayService::IBirthdayService;
use com_example_birthdayservice::binder;

const SERVICE_IDENTIFIER: &str = "birthdayservice";

/// Call the birthday service.
fn main() -> Result<(), Box<dyn Error>> {
    let name = std::env::args().nth(1).unwrap_or_else(|| String::from("Bob"));
    let years = std::env::args()
        .nth(2)
        .and_then(|arg| arg.parse::<i32>().ok())
        .unwrap_or(42);

    binder::ProcessState::start_thread_pool();
    let service = binder::get_interface::<dyn IBirthdayService>(SERVICE_IDENTIFIER)
        .map_err(|_| "Failed to connect to BirthdayService")?;

    // Call the service.
    let msg = service.wishHappyBirthday(&name, years)?;
    println!("{msg}");
}

birthday_service/Android.bp:

rust_binary {
    name: "birthday_client",
    crate_name: "birthday_client",
    srcs: ["src/client.rs"],
    rustlibs: [
        "com.example.birthdayservice-rust",
    ],
    prefer_rlib: true, // To avoid dynamic link error.
}

クライアントは libbirthdayservice に依存しないことに注意してください。

クライアントをビルドし、デバイスにプッシュして実行します。

m birthday_client
adb push "$ANDROID_PRODUCT_OUT/system/bin/birthday_client" /data/local/tmp
adb shell /data/local/tmp/birthday_client Charlie 60

Happy Birthday Charlie, congratulations with the 60 years!

Strong<dyn IBirthdayService> は、クライアントが接続したサービスを表すトレイトオブジェクトです。
- Strong は Binder 用のカスタムスマートポインタ型です。これは、サービスのトレイトオブジェクトに対するプロセス内の参照カウントと、そのオブジェクトを参照しているプロセス数を追跡するグローバルな Binder の参照カウントの両方を処理します。
- クライアントがサービスとやり取りするために使用するトレイトオブジェクトは、サーバーが実装するものとまったく同じトレイトを使用することに注意してください。特定の Binder インターフェースに対して生成される Rust のトレイトは 1 つだけであり、クライアントとサーバーの両方がそれを使用します。
サービスの登録時に使用したものと同じサービス識別子を使用します。理想的には、これはクライアントとサーバーの両方が依存できる共通のクレートで定義するのがよいでしょう。

API の変更

API を拡張しましょう。クライアントがバースデーカードの行のリストを指定できるようにします:

package com.example.birthdayservice;

/** バースデーサービスのインターフェース。 */
interface IBirthdayService {
    /** Happy Birthday メッセージを生成します。 */
    String wishHappyBirthday(String name, int years, in String[] text);
}

これにより、IBirthdayService のトレイト定義は次のように更新されます:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait IBirthdayService {
    fn wishHappyBirthday(
        &self,
        name: &str,
        years: i32,
        text: &[String],
    ) -> binder::Result<String>;
}

AIDL 定義の String[] が Rust では &[String] に変換されていることに注目してください。つまり、生成されるバインディングでは可能な限り慣用的な Rust の型が使用されます:
- in 配列引数はスライスに変換されます。
- out 引数と inout 引数は &mut Vec<T> に変換されます。
- 戻り値は Vec<T> を返す形に変換されます。

クライアントとサービスの更新

新しい API に対応するように、クライアントとサーバーのコードを更新します。

birthday_service/src/lib.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl IBirthdayService for BirthdayService {
    fn wishHappyBirthday(
        &self,
        name: &str,
        years: i32,
        text: &[String],
    ) -> binder::Result<String> {
        let mut msg = format!(
            "Happy Birthday {name}, congratulations with the {years} years!",
        );

        for line in text {
            msg.push('\n');
            msg.push_str(line);
        }

        Ok(msg)
    }
}

birthday_service/src/client.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

let msg = service.wishHappyBirthday(
    &name,
    years,
    &[
        String::from("Habby birfday to yuuuuu"),
        String::from("And also: many more"),
    ],
)?;

TODO: コードスニペットを、実際にビルドされるプロジェクトファイル内に移動する？

AIDL 型の操作

AIDL の型は、適切で Rust らしい型に変換されます。

プリミティブ型は、（ほとんどの場合）Rust らしい型に対応付けられます。
スライス、Vec、文字列型などのコレクション型がサポートされています。
AIDL オブジェクトおよびファイルハンドルへの参照は、クライアントとサービスの間で送信できます。
ファイルハンドルと Parcelable は完全にサポートされています。

プリミティブ型

プリミティブ型は（ほとんどの場合）慣用的に次のように対応付けられます。

AIDL 型	Rust 型	注記
`boolean`	`bool`
`byte`	`i8`	バイトは符号付きであることに注意してください。
`char`	`u16`	`u32` ではなく、`u16` を使用することに注意してください。
`int`	`i32`
`long`	`i64`
`float`	`f32`
`double`	`f64`
`String`	`String`

配列型

配列型（T[]、byte[]、List<T>）は、関数シグネチャでの使用方法に応じて、適切な Rust の配列型に変換されます。

位置	Rust 型
`in` 引数	`&[T]`
`out`/`inout` 引数	`&mut Vec<T>`
戻り値	`Vec<T>`

Android 13 以降では、固定サイズ配列がサポートされています。つまり、T[N] は [T; N] になります。固定サイズ配列は複数次元を持つことができます（例: int[3][4]）。Java バックエンドでは、固定サイズ配列は配列型として表現されます。
parcelable フィールド内の配列は、常に Vec<T> に変換されます。

オブジェクトの送信

AIDL オブジェクトは、具体的な AIDL 型として送信することも、型消去された IBinder インターフェースとして送信することもできます。

birthday_service/aidl/com/example/birthdayservice/IBirthdayInfoProvider.aidl:

package com.example.birthdayservice;

interface IBirthdayInfoProvider {
    String name();
    int years();
}

birthday_service/aidl/com/example/birthdayservice/IBirthdayService.aidl:

import com.example.birthdayservice.IBirthdayInfoProvider;

interface IBirthdayService {
    /** The same thing, but using a binder object. */
    String wishWithProvider(IBirthdayInfoProvider provider);

    /** The same thing, but using `IBinder`. */
    String wishWithErasedProvider(IBinder provider);
}

birthday_service/src/client.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// Rust struct implementing the `IBirthdayInfoProvider` interface.
struct InfoProvider {
    name: String,
    age: u8,
}

impl binder::Interface for InfoProvider {}

impl IBirthdayInfoProvider for InfoProvider {
    fn name(&self) -> binder::Result<String> {
        Ok(self.name.clone())
    }

    fn years(&self) -> binder::Result<i32> {
        Ok(self.age as i32)
    }
}

fn main() {
    binder::ProcessState::start_thread_pool();
    let service = connect().expect("Failed to connect to BirthdayService");

    // Create a binder object for the `IBirthdayInfoProvider` interface.
    let provider = BnBirthdayInfoProvider::new_binder(
        InfoProvider { name: name.clone(), age: years as u8 },
        BinderFeatures::default(),
    );

    // Send the binder object to the service.
    service.wishWithProvider(&provider)?;

    // Perform the same operation but passing the provider as an `SpIBinder`.
    service.wishWithErasedProvider(&provider.as_binder())?;
}

BnBirthdayInfoProvider の使用に注目してください。これは、以前見た BnBirthdayService と同じ目的を果たします。

Parcelable

Rust 向け Binder は、Parcelable を直接送信することをサポートしています:

birthday_service/aidl/com/example/birthdayservice/BirthdayInfo.aidl:

package com.example.birthdayservice;

parcelable BirthdayInfo {
    String name;
    int years;
}

birthday_service/aidl/com/example/birthdayservice/IBirthdayService.aidl:

import com.example.birthdayservice.BirthdayInfo;

interface IBirthdayService {
    /** The same thing, but with a parcelable. */
    String wishWithInfo(in BirthdayInfo info);
}

birthday_service/src/client.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    binder::ProcessState::start_thread_pool();
    let service = connect().expect("Failed to connect to BirthdayService");

    let info = BirthdayInfo { name: "Alice".into(), years: 123 };
    service.wishWithInfo(&info)?;
}

ファイルの送信

ファイルは、ParcelFileDescriptor 型を使用して Binder クライアント/サーバー間で送信できます:

birthday_service/aidl/com/example/birthdayservice/IBirthdayService.aidl:

interface IBirthdayService {
    /** The same thing, but loads info from a file. */
    String wishFromFile(in ParcelFileDescriptor infoFile);
}

birthday_service/src/client.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    binder::ProcessState::start_thread_pool();
    let service = connect().expect("Failed to connect to BirthdayService");

    // Open a file and put the birthday info in it.
    let mut file = File::create("/data/local/tmp/birthday.info").unwrap();
    writeln!(file, "{name}")?;
    writeln!(file, "{years}")?;

    // Create a `ParcelFileDescriptor` from the file and send it.
    let file = ParcelFileDescriptor::new(file);
    service.wishFromFile(&file)?;
}

birthday_service/src/lib.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl IBirthdayService for BirthdayService {
    fn wishFromFile(
        &self,
        info_file: &ParcelFileDescriptor,
    ) -> binder::Result<String> {
        // Convert the file descriptor to a `File`. `ParcelFileDescriptor` wraps
        // an `OwnedFd`, which can be cloned and then used to create a `File`
        // object.
        let mut info_file = info_file
            .as_ref()
            .try_clone()
            .map(File::from)
            .expect("Invalid file handle");

        let mut contents = String::new();
        info_file.read_to_string(&mut contents).unwrap();

        let mut lines = contents.lines();
        let name = lines.next().unwrap();
        let years: i32 = lines.next().unwrap().parse().unwrap();

        Ok(format!("Happy Birthday {name}, congratulations with the {years} years!"))
    }
}

ParcelFileDescriptor は OwnedFd をラップしているため、File （または OwnedFd をラップするその他の任意の型）から作成でき、反対側で新しい File ハンドルを作成するために使用できます。
他の種類のファイルディスクリプタもラップして送信できます。たとえば、TCP、UDP、 UNIX ソケットです。

Android でのテスト

テストを踏まえて、ここでは AOSP でユニットテストがどのように動作するかを見ていきます。ユニットテストには rust_test モジュールを使用します:

testing/Android.bp:

rust_library {
    name: "libleftpad",
    crate_name: "leftpad",
    srcs: ["src/lib.rs"],
}

rust_test {
    name: "libleftpad_test",
    crate_name: "leftpad_test",
    srcs: ["src/lib.rs"],
    host_supported: true,
    test_suites: ["general-tests"],
}

rust_test {
    name: "libgoogletest_example",
    crate_name: "googletest_example",
    srcs: ["googletest.rs"],
    rustlibs: ["libgoogletest_rust"],
    host_supported: true,
}

rust_test {
    name: "libmockall_example",
    crate_name: "mockall_example",
    srcs: ["mockall.rs"],
    rustlibs: ["libmockall"],
    host_supported: true,
}

testing/src/lib.rs:

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Left-padding library.

/// Left-pad `s` to `width`.
pub fn leftpad(s: &str, width: usize) -> String {
    format!("{s:>width$}")
}

#[cfg(test)]
mod tests {
    use super::*;

    #[test]
    fn short_string() {
        assert_eq!(leftpad("foo", 5), "  foo");
    }

    #[test]
    fn long_string() {
        assert_eq!(leftpad("foobar", 6), "foobar");
    }
}
}

これで、次のようにテストを実行できます

atest --host libleftpad_test

出力は次のようになります:

INFO: Elapsed time: 2.666s, Critical Path: 2.40s
INFO: 3 processes: 2 internal, 1 linux-sandbox.
INFO: Build completed successfully, 3 total actions
//comprehensive-rust-android/testing:libleftpad_test_host            PASSED in 2.3s
    PASSED  libleftpad_test.tests::long_string (0.0s)
    PASSED  libleftpad_test.tests::short_string (0.0s)
Test cases: finished with 2 passing and 0 failing out of 2 test cases

ライブラリクレートのルートだけを指定していることに注目してください。テストはネストされたモジュール内で再帰的に検出されます。

GoogleTest

GoogleTest クレートを使うと、マッチャー を用いた柔軟なテストアサーションを記述できます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use googletest::prelude::*;

#[googletest::test]
fn test_elements_are() {
    let value = vec!["foo", "bar", "baz"];
    expect_that!(value, elements_are!(eq(&"foo"), lt(&"xyz"), starts_with("b")));
}

最後の要素を "!" に変更すると、テストはエラー箇所を的確に示す構造化されたエラーメッセージとともに失敗します。

---- test_elements_are stdout ----
Value of: value
Expected: has elements:
  0. is equal to "foo"
  1. is less than "xyz"
  2. starts with prefix "!"
Actual: ["foo", "bar", "baz"],
  where element #2 is "baz", which does not start with "!"
  at src/testing/googletest.rs:6:5
Error: See failure output above

GoogleTest は Rust Playground の一部ではないため、この例はローカル環境で実行する必要があります。既存の Cargo プロジェクトにすばやく追加するには cargo add googletest を使用してください。
use googletest::prelude::*; 行は、よく使われるマクロと型をいくつかインポートします。
これはほんの入り口にすぎず、組み込みのマッチャーは数多くあります。自習形式の Rust コース “Rust アプリケーションのための高度なテスト” の第 1 章を読んでみるとよいでしょう。この章ではライブラリのガイド付き入門が提供されており、googletest のマクロ、そのマッチャー、そして全体的な設計思想に慣れるのに役立つ演習も含まれています。
特に便利な機能として、複数行文字列の不一致が差分として表示されます。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[test]
fn test_multiline_string_diff() {
    let haiku = "Memory safety found,\n\
                 Rust's strong typing guides the way,\n\
                 Secure code you'll write.";
    assert_that!(
        haiku,
        eq("Memory safety found,\n\
            Rust's silly humor guides the way,\n\
            Secure code you'll write.")
    );
}

色分けされた差分が表示されます（ここでは色は表示していません）。

    Value of: haiku
Expected: is equal to "Memory safety found,\nRust's silly humor guides the way,\nSecure code you'll write."
Actual: "Memory safety found,\nRust's strong typing guides the way,\nSecure code you'll write.",
  which isn't equal to "Memory safety found,\nRust's silly humor guides the way,\nSecure code you'll write."
Difference(-actual / +expected):
 Memory safety found,
-Rust's strong typing guides the way,
+Rust's silly humor guides the way,
 Secure code you'll write.
  at src/testing/googletest.rs:17:5

このクレートは GoogleTest for C++ の Rust 移植版です。

モック

モックには、Mockall という広く使われているライブラリがあります。コードをトレイトを使うようにリファクタリングする必要があります。そうすれば、それらをすばやくモック化できます。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::time::Duration;

#[mockall::automock]
pub trait Pet {
    fn is_hungry(&self, since_last_meal: Duration) -> bool;
}

#[test]
fn test_robot_dog() {
    let mut mock_dog = MockPet::new();
    mock_dog.expect_is_hungry().return_const(true);
    assert!(mock_dog.is_hungry(Duration::from_secs(10)));
}

Mockall は Android（AOSP）で推奨されているモックライブラリです。ほかにも crates.io で利用可能なモックライブラリがあり、特に HTTP サービスのモックの分野では多く使われています。ほかのモックライブラリも Mockall と似た仕組みで動作し、特定のトレイトのモック実装を簡単に取得できます。
モックはやや 議論のあるもの である点に注意してください。モックを使うと、テストをその依存関係から完全に分離できます。直接的な結果として、テストの実行はより高速かつ安定します。一方で、モックが誤って設定され、実際の依存関係が返す結果とは異なる出力を返すことがあります。

可能であれば、実際の依存関係を使うことを推奨します。たとえば、多くのデータベースではインメモリバックエンドを設定できます。これにより、テストで正しい振る舞いを得られるうえ、高速で、後始末も自動的に行われます。

同様に、多くの Web フレームワークでは、localhost 上のランダムなポートにバインドするインプロセスサーバーを起動できます。コードを実際の環境でテストするのに役立つため、フレームワークをモック化して済ませるよりも、常にこちらを優先してください。
Mockall は Rust Playground には含まれていないため、この例はローカル環境で実行する必要があります。cargo add mockall を使うと、既存の Cargo プロジェクトに Mockall をすばやく追加できます。
Mockall には豊富な機能があります。特に、渡された引数に依存する期待条件を設定できます。ここではこれを使って、最後に餌を与えてから 3 時間後に空腹になる猫をモックします。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[test]
fn test_robot_cat() {
    let mut mock_cat = MockPet::new();
    mock_cat
        .expect_is_hungry()
        .with(mockall::predicate::gt(Duration::from_secs(3 * 3600)))
        .return_const(true);
    mock_cat.expect_is_hungry().return_const(false);
    assert!(mock_cat.is_hungry(Duration::from_secs(5 * 3600)));
    assert!(!mock_cat.is_hungry(Duration::from_secs(5)));
}

.times(n) を使うと、モックメソッドが呼び出される回数を n 回に制限できます — これが満たされない場合、モックは破棄時に自動的に panic します。

ロギング

log クレートを使用して、logcat（デバイス上）または stdout（ホスト上）に自動的にログを出力してください。

hello_rust_logs/Android.bp:

rust_binary {
    name: "hello_rust_logs",
    crate_name: "hello_rust_logs",
    srcs: ["src/main.rs"],
    rustlibs: [
        "liblog_rust",
        "liblogger",
    ],
    host_supported: true,
}

hello_rust_logs/src/main.rs:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Rust logging demo.

use log::{debug, error, info};

/// Logs a greeting.
fn main() {
    logger::init(
        logger::Config::default()
            .with_tag_on_device("rust")
            .with_max_level(log::LevelFilter::Trace),
    );
    debug!("Starting program.");
    info!("Things are going fine.");
    error!("Something went wrong!");
}

バイナリをビルドし、デバイスにプッシュして実行します:

m hello_rust_logs
adb push "$ANDROID_PRODUCT_OUT/system/bin/hello_rust_logs" /data/local/tmp
adb shell /data/local/tmp/hello_rust_logs

ログは adb logcat に表示されます:

adb logcat -s rust

09-08 08:38:32.454  2420  2420 D rust: hello_rust_logs: Starting program.
09-08 08:38:32.454  2420  2420 I rust: hello_rust_logs: Things are going fine.
09-08 08:38:32.454  2420  2420 E rust: hello_rust_logs: Something went wrong!

liblogger のロガー実装が必要なのは最終バイナリだけであり、ライブラリからログを出力する場合に必要なのは log ファサードクレートだけです。

相互運用性

Rust は他の言語との相互運用性を優れた形でサポートしています。これは、次のことができることを意味します。

他の言語から Rust の関数を呼び出す。
Rust から他の言語で書かれた関数を呼び出す。

他言語の関数を呼び出すときは、外部関数インターフェース（FFI とも呼ばれます）を使用しています。

これは Rust の重要な能力です。コンパイルされたコードは、コンパイルされた C または C++ のコードと見分けがつかなくなります。
技術的には、Rust は C コードと同じ ABI（アプリケーションバイナリインターフェース）にコンパイルできると言います。

C との相互運用性

Rust は、C の呼び出し規約を持つオブジェクトファイルとのリンクを完全にサポートしています。同様に、Rust の関数をエクスポートし、C から呼び出すこともできます。

望むなら手作業で行うこともできます:

// 著作権 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

unsafe extern "C" {
    safe fn abs(x: i32) -> i32;
}

fn main() {
    let x = -42;
    let abs_x = abs(x);
    println!("{x}, {abs_x}");
}

これはすでに Safe FFI Wrapper の演習で見ました。

これは、対象プラットフォームを完全に把握していることを前提としています。本番環境での使用は推奨されません。

次に、より良い方法を見ていきます。

extern ブロックの "C" 部分は、abs が C の ABI（アプリケーションバイナリインターフェース）を使って呼び出せることを Rust に伝えます。
safe fn abs の部分は、abs が安全な関数であることを Rust に伝えます。デフォルトでは、 extern 関数は unsafe ですが、abs(x) はどのような x に対しても未定義動作を引き起こせないため、安全として宣言できます。

シンプルな C ライブラリ

まず、小さな C ライブラリを作成しましょう:

interoperability/bindgen/libbirthday.h:

typedef struct card {
  const char* name;
  int years;
} card;

void print_card(const card* card);

interoperability/bindgen/libbirthday.c:

#include <stdio.h>
#include "libbirthday.h"

void print_card(const card* card) {
  printf("+--------------\n");
  printf("| Happy Birthday %s!\n", card->name);
  printf("| Congratulations with the %i years!\n", card->years);
  printf("+--------------\n");
}

これを Android.bp ファイルに追加します:

interoperability/bindgen/Android.bp:

cc_library {
    name: "libbirthday",
    srcs: ["libbirthday.c"],
}

Bindgen を使う

bindgen ツールは、C ヘッダーファイルからバインディングを自動生成できます。

ライブラリ用のラッパーヘッダーファイルを作成します（この例では厳密には必要ありません）:

interoperability/bindgen/libbirthday_wrapper.h:

#include "libbirthday.h"

interoperability/bindgen/Android.bp:

rust_bindgen {
    name: "libbirthday_bindgen",
    crate_name: "birthday_bindgen",
    wrapper_src: "libbirthday_wrapper.h",
    source_stem: "bindings",
    static_libs: ["libbirthday"],
}

最後に、Rust プログラムでバインディングを使用できます:

interoperability/bindgen/Android.bp:

rust_binary {
    name: "print_birthday_card",
    srcs: ["main.rs"],
    rustlibs: ["libbirthday_bindgen"],
    static_libs: ["libbirthday"],
}

interoperability/bindgen/main.rs:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Bindgen demo.

use birthday_bindgen::{card, print_card};

fn main() {
    let name = std::ffi::CString::new("Peter").unwrap();
    let card = card { name: name.as_ptr(), years: 42 };
    // SAFETY: The pointer we pass is valid because it came from a Rust
    // reference, and the `name` it contains refers to `name` above which also
    // remains valid. `print_card` doesn't store either pointer to use later
    // after it returns.
    unsafe {
        print_card(&card);
    }
}

Android のビルドルールは、裏側で自動的に bindgen を呼び出します。
main 内の Rust コードは、依然として書くのが難しいことに注意してください。呼び出し元に安全なインターフェースを提供する Rust ライブラリの中に bindgen の出力をカプセル化するのが、よいプラクティスです。

バイナリの実行

デバイス上でバイナリをビルドし、プッシュして実行します。

m print_birthday_card
adb push "$ANDROID_PRODUCT_OUT/system/bin/print_birthday_card" /data/local/tmp
adb shell /data/local/tmp/print_birthday_card

最後に、バインディングが正しく動作することを確認するために、自動生成されたテストを実行できます。

interoperability/bindgen/Android.bp:

rust_test {
    name: "libbirthday_bindgen_test",
    srcs: [":libbirthday_bindgen"],
    crate_name: "libbirthday_bindgen_test",
    test_suites: ["general-tests"],
    auto_gen_config: true,
    clippy_lints: "none", // Generated file, skip linting
    lints: "none",
}

atest libbirthday_bindgen_test

シンプルな Rust ライブラリ

Rust の関数や型を C にエクスポートするのは簡単です。以下はシンプルな Rust ライブラリです:

interoperability/rust/libanalyze/analyze.rs

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Rust FFI demo.
#![deny(improper_ctypes_definitions)]

use std::os::raw::c_int;

/// Analyze the numbers.
// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
pub extern "C" fn analyze_numbers(x: c_int, y: c_int) {
    if x < y {
        println!("x ({x}) is smallest!");
    } else {
        println!("y ({y}) is probably larger than x ({x})");
    }
}

interoperability/rust/libanalyze/Android.bp

rust_ffi {
    name: "libanalyze_ffi",
    crate_name: "analyze_ffi",
    srcs: ["analyze.rs"],
    include_dirs: ["."],
}

#[unsafe(no_mangle)] は Rust の通常の名前マングリングを無効にするため、エクスポートされたシンボルは単に関数名になります。#[unsafe(export_name = "some_name")] を使って任意の名前を指定することもできます。

Rust の呼び出し

これで、C バイナリからこれを呼び出せるようになりました。

interoperability/rust/libanalyze/analyze.h

#ifndef ANALYZE_H
#define ANALYZE_H

void analyze_numbers(int x, int y);

#endif

interoperability/rust/analyze/main.c

#include "analyze.h"

int main() {
  analyze_numbers(10, 20);
  analyze_numbers(123, 123);
  return 0;
}

interoperability/rust/analyze/Android.bp

cc_binary {
    name: "analyze_numbers",
    srcs: ["main.c"],
    static_libs: ["libanalyze_ffi"],
}

バイナリをビルドし、デバイスにプッシュして実行します。

m analyze_numbers
adb push "$ANDROID_PRODUCT_OUT/system/bin/analyze_numbers" /data/local/tmp
adb shell /data/local/tmp/analyze_numbers

C++ との相互運用

CXX crate を使うと、Rust と C++ の間で安全に相互運用できます。

全体的なアプローチは次のとおりです。

ブリッジモジュール

CXX では、各言語からもう一方の言語に公開される関数シグネチャの記述が必要です。この記述は、#[cxx::bridge] 属性マクロが付いた Rust モジュール内の extern ブロックを使って提供します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[allow(unsafe_op_in_unsafe_fn)]
#[cxx::bridge(namespace = "org::blobstore")]
mod ffi {
    // Shared structs with fields visible to both languages.
    struct BlobMetadata {
        size: usize,
        tags: Vec<String>,
    }

    // Rust types and signatures exposed to C++.
    extern "Rust" {
        type MultiBuf;

        fn next_chunk(buf: &mut MultiBuf) -> &[u8];
    }

    // C++ types and signatures exposed to Rust.
    unsafe extern "C++" {
        include!("include/blobstore.h");

        type BlobstoreClient;

        fn new_blobstore_client() -> UniquePtr<BlobstoreClient>;
        fn put(self: Pin<&mut BlobstoreClient>, parts: &mut MultiBuf) -> u64;
        fn tag(self: Pin<&mut BlobstoreClient>, blobid: u64, tag: &str);
        fn metadata(&self, blobid: u64) -> BlobMetadata;
    }
}

ブリッジは通常、クレート内の ffi モジュールで宣言します。
ブリッジモジュール内で行った宣言から、CXX は対応する Rust と C++ の型/関数定義を生成し、それらの項目を両方の言語に公開します。
生成された Rust コードを確認するには、cargo-expand を使って展開された proc macro を表示します。ほとんどの例では、ffi モジュールだけを展開するために cargo expand ::ffi を使用します（ただし、これは Android プロジェクトには当てはまりません）。
生成された C++ コードを確認するには、target/cxxbridge を参照してください。

Rust ブリッジ宣言

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    extern "Rust" {
        type MyType; // Opaque type
        fn foo(&self); // Method on `MyType`
        fn bar() -> Box<MyType>; // Free function
    }
}

struct MyType(i32);

impl MyType {
    fn foo(&self) {
        println!("{}", self.0);
    }
}

fn bar() -> Box<MyType> {
    Box::new(MyType(123))
}

extern "Rust" で宣言された項目は、親モジュールでスコープ内にある項目を参照します。
CXX コードジェネレータは、対応する C++ 宣言を含む C++ ヘッダーファイルを生成するために、extern "Rust" セクションを使用します。生成されるヘッダーは、ブリッジを含む Rust ソースファイルと同じパスを持ちますが、ファイル拡張子は .rs.h になります。

生成された C++

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    // Rust types and signatures exposed to C++.
    extern "Rust" {
        type MultiBuf;

        fn next_chunk(buf: &mut MultiBuf) -> &[u8];
    }
}

おおよそ次のような C++ が生成されます。

struct MultiBuf final : public ::rust::Opaque {
  ~MultiBuf() = delete;

private:
  friend ::rust::layout;
  struct layout {
    static ::std::size_t size() noexcept;
    static ::std::size_t align() noexcept;
  };
};

::rust::Slice<::std::uint8_t const> next_chunk(::org::blobstore::MultiBuf &buf) noexcept;

C++ ブリッジ宣言

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    // C++ types and signatures exposed to Rust.
    unsafe extern "C++" {
        include!("include/blobstore.h");

        type BlobstoreClient;

        fn new_blobstore_client() -> UniquePtr<BlobstoreClient>;
        fn put(self: Pin<&mut BlobstoreClient>, parts: &mut MultiBuf) -> u64;
        fn tag(self: Pin<&mut BlobstoreClient>, blobid: u64, tag: &str);
        fn metadata(&self, blobid: u64) -> BlobMetadata;
    }
}

これにより、（おおよそ）次のような Rust が生成されます:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[repr(C)]
pub struct BlobstoreClient {
    _private: ::cxx::private::Opaque,
}

pub fn new_blobstore_client() -> ::cxx::UniquePtr<BlobstoreClient> {
    extern "C" {
        #[link_name = "org$blobstore$cxxbridge1$new_blobstore_client"]
        fn __new_blobstore_client() -> *mut BlobstoreClient;
    }
    unsafe { ::cxx::UniquePtr::from_raw(__new_blobstore_client()) }
}

impl BlobstoreClient {
    pub fn put(&self, parts: &mut MultiBuf) -> u64 {
        extern "C" {
            #[link_name = "org$blobstore$cxxbridge1$BlobstoreClient$put"]
            fn __put(
                _: &BlobstoreClient,
                parts: *mut ::cxx::core::ffi::c_void,
            ) -> u64;
        }
        unsafe {
            __put(self, parts as *mut MultiBuf as *mut ::cxx::core::ffi::c_void)
        }
    }
}

// ...

プログラマーは、自分で記述したシグネチャが正確であることを保証する必要はありません。CXX は、そのシグネチャが C++ で宣言されたものと完全に対応していることを、静的アサーションによって検証します。
unsafe extern ブロックを使うと、Rust から安全に呼び出せる C++ 関数を宣言できます。

共有型

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    #[derive(Clone, Debug, Hash)]
    struct PlayingCard {
        suit: Suit,
        value: u8,  // A=1, J=11, Q=12, K=13
    }

    enum Suit {
        Clubs,
        Diamonds,
        Hearts,
        Spades,
    }
}

サポートされているのは C ライクな（ユニット）列挙型のみです。
共有型に対する #[derive()] では、サポートされるトレイトは限られています。対応する機能は C++ コードに対しても生成されます。たとえば、 Hash を derive すると、対応する C++ 型に対する std::hash の実装も生成されます。

共有列挙型

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    enum Suit {
        Clubs,
        Diamonds,
        Hearts,
        Spades,
    }
}

生成された Rust:

#![allow(unused)]
fn main() {
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Copy, Clone, PartialEq, Eq)]
#[repr(transparent)]
pub struct Suit {
    pub repr: u8,
}

#[allow(non_upper_case_globals)]
impl Suit {
    pub const Clubs: Self = Suit { repr: 0 };
    pub const Diamonds: Self = Suit { repr: 1 };
    pub const Hearts: Self = Suit { repr: 2 };
    pub const Spades: Self = Suit { repr: 3 };
}
}

生成された C++:

enum class Suit : uint8_t {
  Clubs = 0,
  Diamonds = 1,
  Hearts = 2,
  Spades = 3,
};

Rust 側では、共有列挙型用に生成されるコードは、実際には数値をラップする struct です。これは、C++ では enum class が列挙されているどのバリアントとも異なる値を保持していても UB にはならず、Rust 側の表現も同じ振る舞いを持つ必要があるためです。

Rust のエラーハンドリング

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    extern "Rust" {
        fn fallible(depth: usize) -> Result<String>;
    }
}

fn fallible(depth: usize) -> anyhow::Result<String> {
    if depth == 0 {
        return Err(anyhow::Error::msg("fallible1 requires depth > 0"));
    }

    Ok("Success!".into())
}

Result を返す Rust 関数は、C++ 側では例外に変換されます。
スローされる例外は常に rust::Error 型であり、主にエラーメッセージ文字列を取得する手段を提供します。エラーメッセージは、エラー型の Display impl から取得されます。
Rust から C++ へ panic がアンワインドされると、プロセスは常に即座に終了します。

C++ のエラー処理

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    unsafe extern "C++" {
        include!("example/include/example.h");
        fn fallible(depth: usize) -> Result<String>;
    }
}

fn main() {
    if let Err(err) = ffi::fallible(99) {
        eprintln!("Error: {}", err);
        process::exit(1);
    }
}

Result を返すように宣言された C++ 関数は、C++ 側でスローされたあらゆる例外を捕捉し、呼び出し元の Rust 関数に Err 値として返します。
Result を返すように CXX ブリッジで宣言されていない extern "C++" 関数から例外がスローされた場合、プログラムは C++ の std::terminate を呼び出します。この動作は、同じ例外が noexcept C++ 関数を通してスローされた場合と同等です。

追加の型

Rust の型	C++ の型
`String`	`rust::String`
`&str`	`rust::Str`
`CxxString`	`std::string`
`&[T]`/`&mut [T]`	`rust::Slice`
`Box<T>`	`rust::Box<T>`
`UniquePtr<T>`	`std::unique_ptr<T>`
`Vec<T>`	`rust::Vec<T>`
`CxxVector<T>`	`std::vector<T>`

これらの型は、共有構造体のフィールド、および extern 関数の引数と戻り値で使用できます。
Rust の String は std::string に直接マップされないことに注意してください。これにはいくつかの理由があります。
- std::string は、String が要求する UTF-8 不変条件を維持しません。
- この 2 つの型はメモリ上のレイアウトが異なるため、言語間で直接受け渡すことはできません。
- std::string には Rust のムーブセマンティクスと一致しないムーブコンストラクターが必要なため、std::string を値渡しで Rust に渡すことはできません。

Android でのビルド

2 つの genrule を作成します。1 つは CXX ヘッダーを生成し、もう 1 つは CXX ソースファイルを生成します。これらはその後、cc_library_static への入力として使用されます。

// lib.rs 内の Rust がエクスポートする関数に対する
// C++ バインディングを含む C++ ヘッダーを生成する。
genrule {
    name: "libcxx_test_bridge_header",
    tools: ["cxxbridge"],
    cmd: "$(location cxxbridge) $(in) --header > $(out)",
    srcs: ["lib.rs"],
    out: ["lib.rs.h"],
}

// Rust が呼び出す C++ コードを生成する。
genrule {
    name: "libcxx_test_bridge_code",
    tools: ["cxxbridge"],
    cmd: "$(location cxxbridge) $(in) > $(out)",
    srcs: ["lib.rs"],
    out: ["lib.rs.cc"],
}

cxxbridge ツールは、ブリッジモジュールの C++ 側を生成するスタンドアロンツールです。これは Android に含まれており、Soong ツールとして利用できます。
慣例として、Rust のソースファイルが lib.rs の場合、ヘッダーファイル名は lib.rs.h、ソースファイル名は lib.rs.cc になります。ただし、この命名規則は強制されません。

Android でのビルド

CXX が生成したヘッダーとソースファイルを含めて、C++ ライブラリをビルドするための cc_library_static を作成します。

cc_library_static {
    name: "libcxx_test_cpp",
    srcs: ["cxx_test.cpp"],
    generated_headers: [
        "cxx-bridge-header",
        "libcxx_test_bridge_header"
    ],
    generated_sources: ["libcxx_test_bridge_code"],
}

libcxx_test_bridge_header と libcxx_test_bridge_code は、CXX が生成する C++ バインディングの依存関係であることを説明します。これらの設定方法は次のスライドで示します。
共通の CXX 定義を取り込むために、cxx-bridge-header ライブラリにも依存する必要があることに注意してください。
Android で CXX を使用するための完全なドキュメントは the Android docs にあります。今後、受講者がこれらの手順を再び参照できる場所がわかるように、そのリンクをクラスに共有するとよいでしょう。

Android でのビルド

libcxx と独自の cc_library_static に依存する rust_binary を作成します。

rust_binary {
    name: "cxx_test",
    srcs: ["lib.rs"],
    rustlibs: ["libcxx"],
    static_libs: ["libcxx_test_cpp"],
}

Javaとの相互運用性

Javaは Java Native Interface (JNI) を介して共有オブジェクトを読み込めます。 jni クレートを使うと、互換性のあるライブラリを作成できます。

まず、JavaにエクスポートするRust関数を作成します:

interoperability/java/src/lib.rs:

#![allow(unused)]
fn main() {
// 著作権 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

//! Rust <-> Java FFI demo.

use jni::JNIEnv;
use jni::objects::{JClass, JString};
use jni::sys::jstring;

/// HelloWorld::hello method implementation.
// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
pub extern "system" fn Java_HelloWorld_hello(
    mut env: JNIEnv,
    _class: JClass,
    name: JString,
) -> jstring {
    let input: String = env.get_string(&name).unwrap().into();
    let greeting = format!("Hello, {input}!");
    let output = env.new_string(greeting).unwrap();
    output.into_raw()
}
}

interoperability/java/Android.bp:

rust_ffi_shared {
    name: "libhello_jni",
    crate_name: "hello_jni",
    srcs: ["src/lib.rs"],
    rustlibs: ["libjni"],
}

次に、この関数をJavaから呼び出します:

interoperability/java/HelloWorld.java:

class HelloWorld {
    private static native String hello(String name);

    static {
        System.loadLibrary("hello_jni");
    }

    public static void main(String[] args) {
        String output = HelloWorld.hello("Alice");
        System.out.println(output);
    }
}

interoperability/java/Android.bp:

java_binary {
    name: "helloworld_jni",
    srcs: ["HelloWorld.java"],
    main_class: "HelloWorld",
    jni_libs: ["libhello_jni"],
}

最後に、バイナリをビルド、同期、実行できます:

m helloworld_jni
adb sync  # requires adb root && adb remount
adb shell /system/bin/helloworld_jni

unsafe(no_mangle) 属性は、Rustに Java_HelloWorld_hello シンボルを書かれたとおりに出力するよう指示します。これは、 Javaがそのシンボルを HelloWorld クラスの hello メソッドとして認識できるようにするために重要です。
- デフォルトでは、Rustはシンボルをマングル（名前変更）するため、1つのバイナリに同じRustクレートの2つのバージョンをリンクできます。

Chromium における Rust へようこそ

Chromium ではサードパーティライブラリで Rust がサポートされており、Rust と既存の Chromium C++ コードを接続するためのファーストパーティのグルーコードも用意されています。

今日は、Rust を呼び出して文字列でちょっとばかげたことをしてみましょう。コードのどこかで UTF-8 文字列をユーザーに表示している箇所があるなら、ここで説明する正確な箇所ではなく、コードベース内のその部分でこの手順に従ってみてください。

セットアップ

Chromium をビルドして実行できることを確認してください。コードが比較的新しければ、どのプラットフォームおよびどのビルドフラグの組み合わせでも問題ありません（コミットポジション 1223636 以降、すなわち 2023 年 11 月に対応）:

gn gen out/Debug
autoninja -C out/Debug chrome
out/Debug/chrome # または Mac では、out/Debug/Chromium.app/Contents/MacOS/Chromium

（反復時間を最短にするため、component の debug ビルドを推奨します。これはデフォルトです！）

まだその段階に達していない場合は、 How to build Chromium を参照してください。注意: Chromium をビルドできるようにセットアップするには時間がかかります。

また、Visual Studio code をインストールしておくことも推奨します。

演習について

コースのこのパートには、互いに積み重なる一連の演習があります。それらは最後にまとめて行うのではなく、コース全体を通して分散して進めます。もしある部分を完了する時間がなくても、心配はいりません。次の時間枠で追いつくことができます。

Chromium と Cargo のエコシステムの比較

Rust コミュニティでは、通常 cargo と crates.io のライブラリを使います。 Chromium は gn と ninja、および厳選された依存関係セットを使ってビルドされます。

Rust でコードを書くときの選択肢は次のとおりです。

//build/rust/*.gni のテンプレートの助けを借りて gn と ninja を使う（たとえば、後で登場する rust_static_library など）。この方法では、Chromium の監査済みツールチェーンとクレートを使います。
cargo を使う。ただし、 Chromium の監査済みツールチェーンとクレートに限定する
cargo を使い、ツールチェーンやインターネットからダウンロードしたクレートを信頼する

ここから先は gn と ninja に焦点を当てます。これは、Rust のコードを Chromium ブラウザに組み込んでビルドする方法だからです。同時に、Cargo は Rust エコシステムの重要な一部であり、ツールボックスに入れておくべきものです。

ミニ演習

少人数のグループに分かれて、次を行ってください。

cargo が利点をもたらす可能性のあるシナリオをブレインストーミングし、それらのシナリオのリスクプロファイルを評価する。
gn と ninja、オフラインの cargo などを使うときに、どのツール、ライブラリ、人々の集団を信頼する必要があるかを議論する。

学生には、演習を終える前にスピーカーノートを盗み見しないように伝えてください。受講者が物理的に同じ場所にいる前提で、3〜4 人の小グループで議論するように促してください。

演習の前半（「Cargo が利点をもたらす可能性があるシナリオ」）に関するメモ/ヒント:

ツールを書いたり、Chromium の一部をプロトタイピングしたりするときに、 crates.io ライブラリの豊かなエコシステムにアクセスできるのは素晴らしいことです。ほとんど何にでも対応するクレートがあり、通常はとても快適に使えます。（コマンドライン解析用の clap、さまざまなフォーマットへのシリアライズ/デシリアライズ用の serde、イテレータを扱うための itertools など）。
- cargo を使うと、ライブラリを簡単に試せます（Cargo.toml に 1 行追加して、コードを書き始めるだけです）
- CPAN が perl を一般的な選択肢にする助けとなったこととの比較は有益かもしれません。あるいは、 python + pip と比較してもよいでしょう。
開発体験が非常に良いものになっているのは、Rust の中核ツールだけによるものではありません（たとえば、 nightly、現在の stable、古い stable で動作する必要があるクレートをテストするときに、 rustup を使って別の rustc バージョンに切り替えることなど）。それに加えて、サードパーティーツールのエコシステムもあります（たとえば Mozilla は、セキュリティ監査の効率化と共有のために cargo vet を提供しており、criterion クレートはベンチマークを実行するための簡便な方法を提供します）。
- cargo を使うと、cargo install --locked cargo-vet でツールを簡単に追加できます。
- Chrome Extensions や VScode 拡張機能との比較も有益かもしれません。
cargo が適切な選択肢になりうるプロジェクトの、広範で一般的な例:
- 意外かもしれませんが、Rust はコマンドラインツールを書くための言語として、業界でますます人気が高まっています。ライブラリの広さと使い勝手は Python に匹敵しつつ、より堅牢であり（豊かな型システムのおかげ）、実行速度も速いです（インタプリタ言語ではなく、コンパイル言語であるため）。
- Rust エコシステムに参加するには、Cargo のような標準的な Rust ツールを使う必要があります。外部からのコントリビューションを受けたいライブラリや、 Chromium の外部でも使われたいライブラリ（たとえば Bazel や Android/Soong のビルド環境）では Cargo を使うべきです。
cargo ベースの Chromium 関連プロジェクトの例:
- serde_json_lenient（Google の他の部分で試験的に使われ、パフォーマンス改善を含む PR につながりました）
- font-types のような Fontations ライブラリ
- gnrt ツール（このコースの後半で登場します）で、コマンドライン解析に clap を、設定ファイルに toml を利用しています。
  - 免責事項: cargo を使う特有の理由の 1 つは、Rust ツールチェーンをビルドする際に Rust 標準ライブラリをビルドおよびブートストラップするとき、 gn が利用できなかったことです。
  - run_gnrt.py は Chromium の cargo と rustc のコピーを使います。gnrt はインターネットからダウンロードしたサードパーティーライブラリに依存していますが、run_gnrt.py は cargo に対して、Cargo.lock によって --locked の内容のみを許可するよう求めます。）

学生は、以下の項目が暗黙的または明示的に信頼されているものだと特定するかもしれません。

rustc（Rust コンパイラ）。これ自体が LLVM ライブラリ、Clang コンパイラ、rustc のソース（GitHub から取得され、Rust compiler team によってレビューされる）、およびブートストラップ用にダウンロードされるバイナリ Rust コンパイラに依存しています
rustup（rustup は https://github.com/rust-lang/ 組織の傘下で開発されていること、つまり rustc と同じであることを指摘するとよいかもしれません）
cargo、rustfmt など
さまざまな内部インフラストラクチャ（rustc をビルドするボット、事前ビルド済みツールチェーンを Chromium エンジニアに配布するシステムなど）
cargo audit、cargo vet などの Cargo ツール
//third_party/rust に vendored された Rust ライブラリ（ security@chromium.org により監査済み）
その他の Rust ライブラリ（一部はニッチで、一部はかなり人気があり広く使われています）

Chromium の Rust ポリシー

Chromium の Rust ポリシーはこちらにあります。 Rust はファーストパーティコードとサードパーティコードの両方に使用できます。

純粋なファーストパーティコードに Rust を使用する場合は、次のようになります。

サードパーティのケースも一般的です。通常は少量のファーストパーティのグルーコードも必要になります。Rust ライブラリで C/C++ API を直接公開しているものはごくわずかだからです。

サードパーティの crate を使用するシナリオの方がより複雑なため、本日のコースでは次の点に重点を置きます。

サードパーティの Rust ライブラリ（「crate」）を取り込むこと
Chromium の C++ からそれらの crate を使用できるようにするためのグルーコードを書くこと。（同じ手法は、ファーストパーティの Rust コードを扱う場合にも使われます）。

ビルドルール

Rust コードは通常 cargo を使ってビルドします。Chromium は、効率のために gn と ninja でビルドします — その静的ルールにより、最大限の並列性が可能になります。Rust も例外ではありません。

Chromium に Rust コードを追加する

既存の Chromium の BUILD.gn ファイルのいずれかで、rust_static_library を宣言します:

import("//build/rust/rust_static_library.gni")

rust_static_library("my_rust_lib") {
  crate_root = "lib.rs"
  sources = [ "lib.rs" ]
}

他の Rust ターゲットに対する deps を追加することもできます。後で、これを使ってサードパーティコードに依存するようにします。

crate ルート と ソースの完全な一覧 の両方を指定しなければなりません。 crate_root は、コンパイル単位のルートファイルを表す、Rust コンパイラに渡されるファイルです — 通常は lib.rs です。sources は、再ビルドが必要なタイミングを ninja が判定するために必要な、すべてのソースファイルの完全な一覧です。

（Rust には source_set というものはありません。なぜなら、Rust では crate 全体がコンパイル単位だからです。static_library が最小単位です。）

gn の Rust 静的ライブラリ向け組み込みサポートを使うのではなく、なぜ gn テンプレートが必要なのか疑問に思う人もいるかもしれません。その答えは、このテンプレートが CXX 相互運用、Rust の feature、ユニットテストをサポートしており、この後その一部を使うからです。

`unsafe` Rustコードを含める

Unsafe Rustコードは、デフォルトでは rust_static_library で禁止されています — コンパイルされません。Unsafe Rustコードが必要な場合は、gnターゲットに allow_unsafe = true を追加してください。（このコースの後半で、これが必要になる状況を見ていきます。）

import("//build/rust/rust_static_library.gni")

rust_static_library("my_rust_lib") {
  crate_root = "lib.rs"
  sources = [
    "lib.rs",
    "hippopotamus.rs"
  ]
  allow_unsafe = true
}

Chromium C++ から Rust コードに依存する

上記のターゲットを、いずれかの Chromium C++ ターゲットの deps に追加するだけです。

import("//build/rust/rust_static_library.gni")

rust_static_library("my_rust_lib") {
  crate_root = "lib.rs"
  sources = [ "lib.rs" ]
}

# または source_set、static_library など。
component("preexisting_cpp") {
  deps = [ ":my_rust_lib" ]
}

この依存関係が機能するのは、Rust コードが C++ から呼び出せるプレーンな C API を公開している場合、または C++/Rust の相互運用ツールを使用する場合に限られることがわかります。

Visual Studio Code

Rust コードでは型が省略されるため、優れた IDE は C++ の場合以上に有用です。Chromium の Rust 開発では Visual Studio Code がうまく機能します。使用するには、次のようにします。

VSCode に、以前の形式の Rust サポートではなく、rust-analyzer 拡張機能が入っていることを確認する
gn gen out/Debug --export-rust-project を実行する（または出力ディレクトリに応じた同等のコマンド）
ln -s out/Debug/rust-project.json rust-project.json

聴衆が IDE に対して懐疑的になりがちな場合は、rust-analyzer のコード注釈機能や探索機能のいくつかをデモすると効果的かもしれません。

以下の手順はデモの助けになるかもしれません（ただし、代わりに自分が最もよく知っている Chromium 関連の Rust コードを使っても構いません）。

components/qr_code_generator/qr_code_generator_ffi_glue.rs を開く
qr_code_generator_ffi_glue.rs 内の QrCode::new 呼び出し（26 行目付近）にカーソルを置く
ドキュメントを表示 をデモする（一般的なキーバインド: vscode = ctrl k i; vim/CoC = K）。
定義へ移動 をデモする（一般的なキーバインド: vscode = F12; vim/CoC = g d）。（これにより //third_party/rust/.../qr_code-.../src/lib.rs に移動します。）
アウトライン をデモし、QrCode::with_bits メソッド（164 行目付近）へ移動する（アウトラインは vscode のファイルエクスプローラーペイン内にあります。vim/CoC の一般的なキーバインド = space o）
型注釈 をデモする（QrCode::with_bits メソッドには良い例がかなりあります）

gn gen ... --export-rust-project は、BUILD.gn ファイルを編集した後に再実行する必要があること（このセッションの演習全体を通して何度かそうします）を指摘しておくとよいかもしれません。

ビルドルール演習

Chromium のビルドで、//ui/base/BUILD.gn に新しい Rust ターゲットを追加し、以下を含めてください。

#![allow(unused)]
fn main() {
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// SAFETY: この名前の他のグローバル関数はありません。
#[unsafe(no_mangle)]
pub extern "C" fn hello_from_rust() {
    println!("Hello from Rust!")
}
}

重要: ここでの no_mangle は Rust コンパイラによって一種の unsafe と見なされるため、gn ターゲットで unsafe コードを許可する必要があります。

この新しい Rust ターゲットを //ui/base:base の依存関係として追加してください。この関数を ui/base/resource/resource_bundle.cc の先頭で宣言してください（後で、これをバインディング生成ツールで自動化する方法を見ていきます）。

extern "C" void hello_from_rust();

この関数を ui/base/resource/resource_bundle.cc 内のどこかから呼び出してください。ResourceBundle::MaybeMangleLocalizedString の先頭がおすすめです。Chromium をビルドして実行し、“Hello from Rust!” が何度も出力されることを確認してください。

VSCode を使っている場合は、このタイミングで VSCode で Rust がうまく動作するように設定してください。これは以降の演習で役立ちます。成功していれば、println! に対して右クリックの「Go to definition」を使えるようになります。

参考情報

rust_static_library gn テンプレートで利用できるオプション
#[unsafe(no_mangle)] に関する情報
extern "C" に関する情報
gn の --export-rust-project スイッチに関する情報
VSCode で rust-analyzer をインストールする方法

学生がこれを動かせるようにすることは本当に重要です。以降の演習はこれを土台にして進めるためです。

この例が少し珍しいのは、最終的に最小公分母の相互運用言語である C に行き着くためです。C++ と Rust はどちらも C ABI 関数をネイティブに宣言して呼び出せます。コースの後半では、C++ を Rust に直接接続します。

allow_unsafe = true がここで必要なのは、#[unsafe(no_mangle)] によって Rust が同じ名前の関数を 2 つ生成できてしまう可能性があり、Rust がどちらの関数が正しく呼び出されるかを保証できなくなるためです。

純粋な Rust の実行ファイルが必要な場合は、rust_executable gn テンプレートを使ってそれを行うこともできます。

テスト

Rust コミュニティでは通常、ユニットテストはテスト対象のコードと同じソースファイル内に置かれたモジュールとして記述します。これはコースの前半で説明したとおりで、次のようになります:

#![allow(unused)]
fn main() {
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cfg(test)]
mod tests {
    #[test]
    fn my_test() {
        todo!()
    }
}
}

Chromium では、ユニットテストを別のソースファイルに配置しており、Rust でもこの慣行を引き続き採用します — これによりテストを一貫して見つけやすくなり、 .rs ファイルを 2 回目に再ビルドすること（test 構成で）を避けるのに役立ちます。

その結果、Chromium で Rust コードをテストする方法として、次の選択肢があります:

ネイティブな Rust テスト（つまり #[test]）。//third_party/rust の外では推奨されません。
C++ で記述し、FFI 呼び出しを介して Rust をテストする gtest テスト。Rust コードが単なる薄い FFI レイヤーであり、既存のユニットテストがその機能を十分にカバーしている場合には、これで十分です。
Rust で記述し、テスト対象のクレートをその公開 API 経由で使用する gtest テスト（必要に応じて pub mod for_testing { ... } を使用）。これが次の数枚のスライドのテーマです。

サードパーティ製クレートのネイティブな Rust テストは、最終的には Chromium ボットで実行されるべきであることに言及してください。（この種のテストが必要になるのはまれで、サードパーティ製クレートを追加または更新した後だけです。）

C++ gtest と Rust gtest のどちらを使うべきかを示すには、いくつかの例が役立つかもしれません:

QR はファーストパーティの Rust レイヤーにほとんど機能がなく（単なる薄い FFI グルーにすぎません）、そのため既存の C++ ユニットテストを使って C++ 実装と Rust 実装の両方をテストします（テストをパラメータ化し、 ScopedFeatureList を使って Rust を有効化または無効化できるようにします）。
仮想的な / 作業中の PNG 統合では、libpng にはあるものの png クレートにはないピクセル変換のメモリ安全な実装が必要になるかもしれません - たとえば RGBA => BGRA やガンマ補正です。このような機能は、Rust で記述した個別のテストの恩恵を受ける可能性があります。

`rust_gtest_interop` ライブラリ

rust_gtest_interop ライブラリは、次のことを行う方法を提供します。

Rust 関数を gtest のテストケースとして使用する（#[gtest(...)] 属性を使用）
expect_eq! および同様のマクロを使用する（assert_eq! に似ていますが、パニックせず、アサーションが失敗してもテストを終了しません）。

例:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use rust_gtest_interop::prelude::*;

#[gtest(MyRustTestSuite, MyAdditionTest)]
fn test_addition() {
    expect_eq!(2 + 2, 4);
}

Rust テストの GN ルール

Rust の gtest テストをビルドする最も簡単な方法は、すでに C++ で作成されたテストを含んでいる既存のテストバイナリにそれらを追加することです。たとえば次のとおりです。

test("ui_base_unittests") {
  ...
  sources += [ "my_rust_lib_unittest.rs" ]
  deps += [ ":my_rust_lib" ]
}

Rust テストを別個の static_library で作成する方法も機能しますが、サポートライブラリへの依存関係を手動で宣言する必要があります。

rust_static_library("my_rust_lib_unittests") {
  testonly = true
  is_gtest_unittests = true
  crate_root = "my_rust_lib_unittest.rs"
  sources = [ "my_rust_lib_unittest.rs" ]
  deps = [
    ":my_rust_lib",
    "//testing/rust_gtest_interop",
  ]
}

test("ui_base_unittests") {
  ...
  deps += [ ":my_rust_lib_unittests" ]
}

`chromium::import!` マクロ

GN の deps に :my_rust_lib を追加した後も、my_rust_lib_unittest.rs から my_rust_lib をインポートして使用する方法を理解する必要があります。my_rust_lib には明示的な crate_name を指定していないため、その crate 名は完全なターゲットパスと名前に基づいて計算されます。幸い、自動的にインポートされる chromium crate の chromium::import! マクロを使えば、このような扱いにくい名前を直接扱わずに済みます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

chromium::import! {
    "//ui/base:my_rust_lib";
}

use my_rust_lib::my_function_under_test;

内部的には、このマクロは次のようなものに展開されます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

extern crate ui_sbase_cmy_urust_ulib as my_rust_lib;

use my_rust_lib::my_function_under_test;

さらに詳しい情報は、chromium::import マクロのドキュメントコメントにあります。

rust_static_library では crate_name プロパティを使って明示的な名前を指定できますが、これを行うことは推奨されません。これは、crate 名がグローバルに一意でなければならないためです。crates.io は crate 名の一意性を保証しているため、cargo_crate GN ターゲット（後のセクションで扱う gnrt ツールによって生成されます）では短い crate 名が使われます。

テストの演習

別の演習の時間です！

Chromium のビルドで、次を行ってください。

hello_from_rust の隣に、テスト可能な関数を追加してください。例: 引数として受け取った 2 つの整数を加算する、n 番目のフィボナッチ数を計算する、スライス内の整数を合計する、など。
新しい関数用のテストを含む、別個の ..._unittest.rs ファイルを追加してください。
新しいテストを BUILD.gn に追加してください。
テストをビルドして実行し、新しいテストが正しく動作することを確認してください。

C++ との相互運用

Rust コミュニティでは、C++/Rust の相互運用のために複数の選択肢が提供されており、新しいツールも常に開発されています。現時点で Chromium では、CXX というツールを使用しています。

インターフェース定義言語（Rust に非常によく似ています）で言語境界全体を記述すると、その後 CXX ツールが Rust と C++ の両方の関数と型の宣言を生成します。

cxx の概要図。同じインターフェース定義を使って C++ 側と Rust 側のコードの両方を作成し、その後それらが最小公分母となる C API を介して通信することを示しています

これの使用方法の完全な例については、CXX チュートリアルを参照してください。

図に沿って説明してください。内部では、これは前に行ったこととまったく同じことをしていると説明してください。さらに、このプロセスを自動化することには次の利点があることを指摘してください:

このツールは、C++ 側と Rust 側が一致することを保証します（たとえば #[cxx::bridge] が実際の C++ または Rust の定義と一致しない場合はコンパイルエラーになりますが、同期していない手動バインディングでは未定義動作が発生します）
このツールは、C 以外の機能に対する FFI サンク（小さく、C ABI 互換のトップレベル関数）の生成を自動化します（たとえば Rust または C++ のメソッドへの FFI 呼び出しを可能にします。手動バインディングでは、そのようなトップレベル関数を手作業で作成する必要があります）
このツールとライブラリは、一連の中核となる型を扱えます。たとえば:
- &[T] は、特定の ABI やメモリレイアウトを保証しないにもかかわらず、 FFI 境界を越えて渡せます。手動バインディングでは std::span<T> / &[T] を手作業で分解し、ポインタと長さから再構築する必要があります。各言語で空のスライスの表現がわずかに異なるため、これはエラーを起こしやすいです)
- std::unique_ptr<T>、std::shared_ptr<T>、および/または Box のようなスマートポインタはネイティブにサポートされています。手動バインディングでは、 C ABI 互換の生ポインタを渡さなければならず、寿命管理とメモリ安全性のリスクが高まります。
- rust::String と CxxString 型は、言語間における文字列表現の違いを理解し、それを保ったまま扱います（たとえば、rust::String::lossy は UTF-8 ではない入力から Rust の文字列を構築でき、rust::String::c_str は文字列を NUL 終端できます）。

バインディングの例

CXX では、C++/Rust 境界全体を、.rs ソースコード内の cxx::bridge モジュールで宣言する必要があります。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge]
mod ffi {
    extern "Rust" {
        type MultiBuf;

        fn next_chunk(buf: &mut MultiBuf) -> &[u8];
    }

    unsafe extern "C++" {
        include!("example/include/blobstore.h");

        type BlobstoreClient;

        fn new_blobstore_client() -> UniquePtr<BlobstoreClient>;
        fn put(self: &BlobstoreClient, buf: &mut MultiBuf) -> Result<u64>;
    }
}

// Definitions of Rust types and functions go here

注目点:

これは通常の Rust の mod のように見えますが、#[cxx::bridge] プロシージャルマクロはこれに対して複雑な処理を行います。生成されるコードはかなり高度ですが、それでも最終的には、コード内に ffi という名前の mod が作られます。
Rust での C++ の std::unique_ptr のネイティブサポート
C++ での Rust スライスのネイティブサポート
（上部）C++ から Rust への呼び出しと Rust の型
（下部）Rust から C++ への呼び出しと C++ の型

よくある誤解: Rust が C++ ヘッダーを解析している ように見えます が、これは誤解を招きます。このヘッダーは Rust によって解釈されることはなく、単に生成された C++ コードの中で C++ コンパイラのために #include されるだけです。

CXX の制限事項

CXX を使用する際に圧倒的に最も役立つページは、型リファレンスです。

CXX が本質的に適しているのは、次のようなケースです。

Rust-C++ インターフェースが十分に単純で、そのすべてを宣言できる場合。
CXX がすでにネイティブにサポートしている型だけを使っている場合。たとえば std::unique_ptr、std::string、&[u8] などです。

これには多くの制限があります。たとえば、Rust の Option 型がサポートされていません。

これらの制限により、Chromium では Rust を任意の Rust-C++ 相互運用のために使うのではなく、十分に分離された「リーフノード」に対してのみ使用することになります。Chromium で Rust のユースケースを検討する際のよい出発点は、言語境界に対する CXX バインディングを下書きし、それが十分に単純に見えるかどうかを確かめることです。

さらに現時点では、コンポーネントビルドにおけるリンクの詳細のため、あるコンポーネント内の Rust コードは別のコンポーネント内の Rust コードに依存できません。これも、Rust の使用をリーフノードに制限するもう 1 つの理由です。

また、CXX に関する他の厄介な点についても議論すべきです。たとえば:

そのエラーハンドリングは C++ 例外に基づいています（次のスライドで説明します）
関数ポインタは扱いづらいです。

CXX のエラーハンドリング

CXX の Result<T,E> のサポートは C++ 例外に依存しているため、Chromium ではこれを使用できません。代替案は次のとおりです。

Result<T, E> の T の部分は、次のようにできます。
- 出力パラメータ経由で返す（例: &mut T 経由）。これには、T が FFI 境界を越えて渡せることが必要です。たとえば、T は次のいずれかである必要があります。
  - プリミティブ型（u32 や usize など）
  - cxx がネイティブにサポートする型（UniquePtr<T> など）で、失敗時に使用できる適切なデフォルト値を持つもの（Box<T> とは 異なり）
- Rust 側に保持し、参照経由で公開する。これは、T が Rust の型で、FFI 境界を越えて渡せず、UniquePtr<T> に格納することもできない場合に必要になることがあります。
Result<T, E> の E の部分は、次のようにできます。
- 真偽値として返す（例: true は成功を表し、false は失敗を表す）
- エラーの詳細を保持することは理論上可能ですが、これまでのところ実際には必要になっていません。

CXX エラーハンドリング: QR の例

QR コードジェネレーターは、成功と失敗の伝達に boolean が使われ、成功した結果を FFI 境界をまたいで渡せる例です。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge(namespace = "qr_code_generator")]
mod ffi {
    extern "Rust" {
        fn generate_qr_code_using_rust(
            data: &[u8],
            min_version: i16,
            out_pixels: Pin<&mut CxxVector<u8>>,
            out_qr_size: &mut usize,
        ) -> bool;
    }
}

受講者は、out_qr_size 出力の意味が気になるかもしれません。これはベクターのサイズではなく、QR コードのサイズです（そして確かに少し冗長で、これはベクターのサイズの平方根です）。

Rust 関数を呼び出す前に out_qr_size を初期化することの重要性を指摘する価値があるかもしれません。未初期化メモリを指す Rust の参照を作成すると、未定義動作になります（C++ とは異なり、C++ ではそのようなメモリをデリファレンスしたときにのみ UB になります）。

受講者が Pin について質問した場合は、CXX が C++ データへの可変参照にこれを必要とする理由を説明してください。答えは、C++ データには自己参照ポインターが含まれている可能性があるため、Rust データのように移動できないからです。

CXX エラーハンドリング: PNG の例

PNG デコーダーのプロトタイプは、成功結果を FFI 境界を越えて渡せない場合に何ができるかを示しています。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[cxx::bridge(namespace = "gfx::rust_bindings")]
mod ffi {
    extern "Rust" {
        /// これは `Result<PngReader<'a>,
        /// ()>` と FFI フレンドリーに等価なものを返します。
        fn new_png_reader<'a>(input: &'a [u8]) -> Box<ResultOfPngReader<'a>>;

        /// `crate::png::ResultOfPngReader` 型のための C++ バインディング。
        type ResultOfPngReader<'a>;
        fn is_err(self: &ResultOfPngReader) -> bool;
        fn unwrap_as_mut<'a, 'b>(
            self: &'b mut ResultOfPngReader<'a>,
        ) -> &'b mut PngReader<'a>;

        /// `crate::png::PngReader` 型のための C++ バインディング。
        type PngReader<'a>;
        fn height(self: &PngReader) -> u32;
        fn width(self: &PngReader) -> u32;
        fn read_rgba8(self: &mut PngReader, output: &mut [u8]) -> bool;
    }
}

PngReader と ResultOfPngReader は Rust の型です。これらの型のオブジェクトは、Box<T> による間接化なしでは FFI 境界を越えることができません。out_parameter: &mut PngReader を使うことはできません。なぜなら、CXX では C++ が Rust オブジェクトを値として保持することが許可されていないからです。

この例は、CXX が任意のジェネリクスやテンプレートをサポートしていなくても、それらを非ジェネリック型に手動で特殊化 / モノモーフィック化することで、FFI 境界を越えて渡せることを示しています。この例では、ResultOfPngReader は非ジェネリック型であり、Result<T, E> の適切なメソッド（たとえば is_err、unwrap、および/または as_mut）に処理を転送します。

Chromium で cxx を使う

Chromium では、Rust を使いたい各リーフノードごとに、独立した #[cxx::bridge] mod を定義します。通常は、rust_static_library ごとに 1 つ用意します。次を追加します。

cxx_bindings = [ "my_rust_file.rs" ]
   # #[cxx::bridge] を含むファイルの一覧であり、すべてのソースファイルではありません
allow_unsafe = true

これを既存の rust_static_library ターゲットの crate_root および sources と並べて追加します。

C++ ヘッダーは適切な場所に生成されるので、単に次のようにできます。

#include "ui/base/my_rust_file.rs.h"

Chromium の C++ 型と CXX の Rust 型を相互に変換するためのユーティリティ関数が //base にいくつかあります。たとえば SpanToRustSlice です。

受講者からは次のような質問があるかもしれません — それでもなお allow_unsafe = true が必要なのはなぜでしょうか？

大まかな答えは、通常の Rust の基準では、どの C/C++ コードも「安全」ではないということです。 Rust から C/C++ を行き来しながら呼び出すと、メモリに対して任意のことを行う可能性があり、 Rust 自身のデータレイアウトの安全性を損なうおそれがあります。C/C++ 相互運用において 多すぎる unsafe キーワードが存在すると、そのようなキーワードのシグナル対ノイズ比を損なう可能性があり、これは議論のある点ですが、厳密に言えば、Rust バイナリに外部コードを取り込むこと自体が、 Rust の観点からは予期しない動作を引き起こし得ます。

狭義の答えはこのページの先頭にある図にあります — 内部では、 CXX は前のセクションで手作業で行ったのと同じように、Rust の unsafe かつ extern "C" な関数を生成します。

演習: C++ との相互運用

パート 1

以前作成した Rust ファイルに #[cxx::bridge] を追加し、C++ から呼び出される単一の関数 hello_from_rust を指定してください。この関数は引数を取らず、戻り値もありません。
以前の hello_from_rust 関数を修正し、extern "C" と #[unsafe(no_mangle)] を削除してください。これは単なる標準的な Rust 関数になります。
これらのバインディングをビルドするように gn ターゲットを修正してください。
C++ コードでは、hello_from_rust の前方宣言を削除してください。代わりに、生成されたヘッダーファイルをインクルードしてください。
ビルドして実行しましょう！

パート 2

少し CXX を試してみるとよいでしょう。そうすることで、Chromium における Rust が実際にはどれほど柔軟かを考える助けになります。

試してみること:

Rust から C++ にコールバックする。必要になるものは次のとおりです:
- cxx::bridge から include! できる追加のヘッダーファイル。その新しいヘッダーファイル内で C++ 関数を宣言する必要があります。
- そのような関数を呼び出すための unsafe ブロック、あるいはここで説明されているように #[cxx::bridge] で unsafe キーワードを指定すること。
- また、 #include "third_party/rust/cxx/v1/crate/include/cxx.h" も必要になる場合があります
C++ 文字列を C++ から Rust に渡す。
C++ オブジェクトへの参照を Rust に渡す。
意図的に Rust 関数のシグネチャを #[cxx::bridge] と一致しないようにして、表示されるエラーに慣れる。
意図的に C++ 関数のシグネチャを #[cxx::bridge] と一致しないようにして、表示されるエラーに慣れる。
何らかの型の std::unique_ptr を C++ から Rust に渡して、Rust が C++ オブジェクトを所有できるようにする。
Rust オブジェクトを作成して C++ に渡し、C++ がそれを所有するようにする。（ヒント: Box が必要です。）
C++ 型にいくつかのメソッドを宣言し、それらを Rust から呼び出す。
Rust 型にいくつかのメソッドを宣言し、それらを C++ から呼び出す。

パート 3

これで CXX 相互運用の強みと制約がわかったので、インターフェースが十分にシンプルになる Chromium における Rust のユースケースを 2 つほど考えてみてください。そのインターフェースをどのように定義するか、概略を示してください。

参考資料

学生がパート 2 を進める中で、これらをどう実現するのか、また CXX が裏側でどのように動作しているのかについて、多くの疑問が出てくるはずです。

あなたが遭遇しそうな質問の一部を以下に示します:

X と Y の両方が関数型であるにもかかわらず、型 Y で型 X の変数を初期化しようとして問題が発生しています。これは、C++ 関数が cxx::bridge 内の宣言と完全には一致していないためです。
C++ の参照を Rust の参照に自由に変換できるように見えます。これは UB の危険はないのでしょうか。CXX の opaque 型については、ゼロサイズなので危険はありません。CXX の trivial 型については、はい、UB を引き起こすことは可能です。ただし、CXX の設計上、そのような例を作るのはかなり困難です。

サードパーティクレートの追加

Rust のライブラリは「クレート」と呼ばれ、crates.io にあります。Rust クレート同士が互いに依存するのは 非常に簡単 です。ですから実際にそうなっています！

項目	C++ ライブラリ	Rust クレート
ビルドシステム	さまざま	一貫している: `Cargo.toml`
一般的なライブラリの規模	やや大きい	小さい
推移的依存関係	少ない	多い

Chromium エンジニアにとって、これには長所と短所があります:

すべてのクレートが共通のビルドシステムを使っているため、それらの Chromium への取り込みを自動化できます…
… ただし、クレートには通常、推移的依存関係があるため、複数のライブラリを取り込む必要が生じる可能性があります。

以下を説明します:

クレートを Chromium のソースコードツリーに配置する方法
そのための gn ビルドルールを作成する方法
ソースコードを監査して十分な安全性を確認する方法

このスライドの表にある内容はすべて一般化したものであり、反例も見つけることができます。しかし一般論として、受講者がほとんどの Rust コードは他の Rust ライブラリに依存していること、それはそうするのが簡単だからであり、それには利点とコストの両方があることを理解するのは重要です。

クレートを追加するための `Cargo.toml` ファイルの設定

Chromium には、一元管理された直接のクレート依存関係のセットが 1 つあります。これらは単一の Cargo.toml を通じて管理されます。

[dependencies]
bitflags = "1"
cfg-if = "1"
cxx = "1"
# ほかにも多数...

ほかの Cargo.toml と同様に、依存関係についてさらに詳細な情報を指定できます — 通常は、そのクレートで有効にしたい features を指定することになります。

Chromium にクレートを追加する際には、追加のファイル gnrt_config.toml に追加情報を記述する必要があることがよくあります。これについては次で説明します。

`gnrt_config.toml` の設定

Cargo.toml と並んで gnrt_config.toml があります。これには、 crate の取り扱いに対する Chromium 固有の拡張が含まれています。

新しい crate を追加する場合は、少なくとも group を指定すべきです。これは次のいずれかです。

#   'safe': このライブラリは rule-of-2 を満たしており、どのプロセスでも使用できます。
#   'sandbox': このライブラリは rule-of-2 を満たしておらず、
#              レンダラープロセスやユーティリティプロセスなどのサンドボックス化された
#              プロセスで使用しなければなりません。
#   'test': このライブラリはテストでのみ使用されます。

たとえば、

[crate.my-new-crate]
group = 'test' # テストコードでのみ使用される

crate のソースコードのレイアウトによっては、その LICENSE ファイルをどこで見つけられるかを指定するために、このファイルを使用する必要がある場合もあります。

後で、問題を解決するためにこのファイルで設定する必要があるその他の項目を見ていきます。

クレートのダウンロード

gnrt というツールは、クレートをダウンロードし、BUILD.gn ルールを生成できます。

まず、次のようにして必要なクレートをダウンロードします。

cd chromium/src
vpython3 tools/crates/run_gnrt.py -- vendor

gnrt ツールは Chromium のソースコードの一部ですが、このコマンドを実行すると、その依存関係を crates.io からダウンロードして実行することになります。このセキュリティ上の判断については、前のセクションを参照してください。

この vendor コマンドでは、次のものがダウンロードされる可能性があります。

指定したクレート
直接依存関係および推移的依存関係
cargo が Chromium に必要なクレート一式を完全に解決するために必要な、他のクレートの新しいバージョン

Chromium では、一部のクレート用のパッチを //third_party/rust/chromium_crates_io/patches に保持しています。これらは自動的に再適用されますが、パッチの適用に失敗した場合は手動で対応する必要があるかもしれません。

`gn` ビルドルールの生成

クレートをダウンロードしたら、次のように BUILD.gn ファイルを生成します:

vpython3 tools/crates/run_gnrt.py -- gen

次に git status を実行します。以下が見つかるはずです:

third_party/rust/chromium_crates_io/vendor に少なくとも 1 つの新しいクレートのソースコード
third_party/rust/<crate name>/v<major semver version> に少なくとも 1 つの新しい BUILD.gn
適切な README.chromium

「major semver version」とは、Rust の「semver」バージョン番号のことです。

特に third_party/rust に生成されたものをよく確認してください。

semver について少し説明してください — 特に、Chromium ではこれが 1 つのクレートの互換性のない複数バージョンを許容するためのものである点についてです。これは推奨されませんが、 Cargo エコシステムでは必要になる場合があります。

問題の解決

ビルドが失敗する場合、その原因は build.rs かもしれません。これは、ビルド時に任意の処理を行うプログラムです。これは、ビルドの並列性と再現性を最大化するために静的で決定論的なビルドルールを目指す gn と ninja の設計と根本的に相容れません。

一部の build.rs の処理は自動的にサポートされますが、それ以外は対応が必要です。

ビルドスクリプトの効果	私たちの gn テンプレートでサポート	あなたに必要な作業
機能の有効/無効を切り替えるための rustc バージョン確認	はい	なし
機能の有効/無効を切り替えるためのプラットフォームまたは CPU の確認	はい	なし
コード生成	はい	はい - `gnrt_config.toml` で指定
C/C++ のビルド	いいえ	それを回避するようにパッチを当てる
その他の任意の処理	いいえ	それを回避するようにパッチを当てる

幸いなことに、ほとんどのクレートにはビルドスクリプトが含まれておらず、また幸いなことに、ほとんどのビルドスクリプトは上の 2 つの処理しか行いません。

コードを生成するビルドスクリプト

ninja が不足しているファイルについてエラーを出す場合は、build.rs を確認して、それがソースコードファイルを書き出しているかどうかを確認してください。

そうであれば、gnrt_config.toml を変更して、そのクレートに build-script-outputs を追加してください。これが推移的依存関係、つまり Chromium のコードが直接依存すべきではないものである場合は、 allow-first-party-usage=false も追加してください。そのファイルには、すでにいくつかの例があります。

[crate.unicode-linebreak]
allow-first-party-usage = false
build-script-outputs = ["tables.rs"]

次に、gnrt.py -- gen を再実行して BUILD.gn ファイルを再生成し、この特定の出力ファイルが後続のビルド手順への入力であることを ninja に知らせてください。

C++ をビルドしたり任意のアクションを実行したりするビルドスクリプト

一部の crate は、C/C++ ライブラリをビルドしてリンクするために cc crate を使用します。ほかの crate は、ビルドスクリプト内で bindgen を使用して C/C++ を解析します。これらのアクションは Chromium のコンテキストではサポートできません — Chromium の gn、ninja、LLVM ビルドシステムでは、ビルドアクション間の関係を表現する方法が非常に厳密に定められているためです。

したがって、選択肢は次のとおりです。

これらの crate を避ける
crate にパッチを適用する

パッチは third_party/rust/chromium_crates_io/patches/<crate> に置く必要があります。例として cxx crate に対するパッチを参照してください。これらのパッチは、gnrt が crate をアップグレードするたびに自動的に適用されます。

Crate への依存

サードパーティの crate を追加してビルドルールを生成したら、crate への依存は簡単です。rust_static_library ターゲットを見つけて、その crate 内の :lib ターゲットへの dep を追加します。

具体的には、次のとおりです。

たとえば、次のようになります。

rust_static_library("my_rust_lib") {
  crate_root = "lib.rs"
  sources = [ "lib.rs" ]
  deps = [ "//third_party/rust/example_rust_crate/v1:lib" ]
}

サードパーティのクレートの監査

新しいライブラリの追加は Chromium の標準ポリシーに従いますが、もちろんセキュリティレビューの対象でもあります。単一のクレートだけでなく推移的依存関係も取り込む可能性があるため、レビューすべきコード量はかなり多くなることがあります。一方で、安全な Rust コードであれば負の副作用は限定的です。では、どのようにレビューすべきでしょうか。

Chromium は将来的に、cargo vet を中心としたプロセスへ移行することを目指しています。

それまでの間、新しいクレートを追加するたびに、次の点を確認しています。

各クレートがなぜ使われているのかを理解する。クレート同士の関係は何か。各クレートのビルドシステムに build.rs や手続きマクロが含まれている場合は、それらが何のためのものかを把握する。Chromium の通常のビルド方法と互換性があるか。
各クレートが適切にメンテナンスされているように見えるかを確認する
既知の脆弱性を確認するために cd third-party/rust/chromium_crates_io; cargo audit を使用する（その前に cargo install cargo-audit が必要ですが、皮肉なことにこれにはインターネットから大量の依存関係をダウンロードすることが含まれます2）
あらゆる unsafe コードが Rule of Two の基準を満たすことを確認する
fs または net API の使用がないか確認する
悪意を持って挿入された可能性のある不自然なものがないかを探すため、十分な粒度でコード全体を読む。（ここで 100% の完全性を現実的に目指すことはできません。コード量が多すぎることがよくあるためです。）

これらはあくまでガイドラインです — security@chromium.org のレビュー担当者と協力して、そのクレートを信頼できると確信するための適切な方法を見つけてください。

クレートを Chromium ソースコードにチェックインする

git status では、次が確認できるはずです。

//third_party/rust/chromium_crates_io 内のクレートコード
メタデータ（BUILD.gn と README.chromium）が //third_party/rust/<crate>/<version> にあること

後者の場所に OWNERS ファイルも追加してください。

これらすべてを、Cargo.toml と gnrt_config.toml への変更とあわせて、 Chromium リポジトリに反映してください。

重要: そのままだと .gitignore ファイルにより一部のファイルがスキップされる可能性があるため、git add -f を使用する必要があります。

これを進める中で、インクルーシブでない表現が原因で presubmit チェックが失敗することがあります。これは、Rust クレートのデータには git ブランチの名前が含まれがちで、そこでは今でも多くのプロジェクトがインクルーシブでない用語を使っているためです。そのため、次を実行する必要があるかもしれません。

infra/update_inclusive_language_presubmit_exempt_dirs.sh > infra/inclusive_language_presubmit_exempt_dirs.txt
git add -p infra/inclusive_language_presubmit_exempt_dirs.txt # 自分の変更分を追加

クレートを最新の状態に保つ

サードパーティの Chromium 依存関係の OWNER である場合、あらゆるセキュリティ修正を取り込んでその依存関係を最新の状態に保つことが期待されています。Rust クレートについては、これを近いうちに自動化できるようになることが期待されていますが、現時点では、他のサードパーティ依存関係と同様に、依然としてあなたの責任です。

演習

Chromium に uwuify を追加し、クレートのデフォルト機能を無効にしてください。このクレートは出荷される Chromium で使用されますが、信頼できない入力を処理するためには使用されないものとします。

（次の演習では Chromium から uwuify を使用しますが、よければ先に進んで今それをやってしまっても構いません。あるいは、uwuify を使用する新しい rust_executable ターゲットを作成してもよいでしょう。）

受講者は多数の推移的依存関係をダウンロードする必要があります。

必要なクレートの合計は次のとおりです。

instant
lock_api
parking_lot
parking_lot_core
redox_syscall
scopeguard
smallvec
uwuify

これよりさらに多くダウンロードしている場合は、デフォルト機能を無効にするのを忘れている可能性が高いです。

このクレートについては Daniel Liu に感謝します。

すべてをまとめる — 演習

この演習では、これまでに学んだことをすべて組み合わせて、 Chromium のまったく新しい機能を追加します。

プロダクトマネジメントからの依頼

人里離れた熱帯雨林に暮らすピクシーのコミュニティが発見されました。できるだけ早く彼らにピクシー向け Chromium を届けることが重要です。

要件は、Chromium の UI 文字列をすべてピクシー語に翻訳することです。

適切な翻訳を待っている時間はありませんが、幸いにもピクシー語は英語に非常に近く、翻訳を行う Rust crate があることがわかっています。

実際、その crate は前の演習であなたがすでにインポートしています。

（もちろん、Chrome の実際の翻訳には並外れた注意と入念さが必要です。これは出荷しないでください！）

手順

ResourceBundle::MaybeMangleLocalizedString を変更して、表示前にすべての文字列を uwu化するようにしてください。この特別な Chromium ビルドでは、 mangle_localized_strings_ の設定に関係なく、常にこれを行うようにする必要があります。

これらの演習を通してすべてを正しくできていれば、おめでとうございます。あなたはピクシー向け Chrome を作り上げたことになります！

ここでは学生にいくつかヒントが必要になるでしょう。ヒントの例:

UTF-16 と UTF-8。Rust の文字列は常に UTF-8 であることを、学生は認識しておく必要があります。そのため通常は、base::UTF16ToUTF8 を使って C++ 側で変換し、また戻す方がよいと判断するでしょう。
学生が Rust 側で変換することにした場合は、String::from_utf16、エラーハンドリング、そして多数の u16 を転送できる CXX 対応型のどれを使うかを検討する必要があります。
学生は C++/Rust 間の境界を、いくつか異なる方法で設計するかもしれません。たとえば、文字列を値渡しで受け取り値として返す方法や、文字列への可変参照を受け取る方法です。可変参照を使う場合、CXX はおそらく学生に Pin を使う必要があると伝えるでしょう。Pin が何をするのか、そして C++ データへの可変参照に対して CXX がそれを必要とする理由を説明する必要があるかもしれません。答えは、C++ のデータには自己参照ポインタが含まれている可能性があるため、Rust のデータのように移動させることができないからです。
ResourceBundle::MaybeMangleLocalizedString を含む C++ ターゲットは、 rust_static_library ターゲットに依存する必要があります。学生はおそらくすでにこれを行っています。
rust_static_library ターゲットは、次に依存する必要があります。 //third_party/rust/uwuify/v0_2:lib

演習の解答

Chromium の演習の解答は、この一連の CL で確認できます。

また、パッチセットの適用や Chromium のコアコードとの統合を必要としない「スタンドアロン」の解答のほうがよい場合は、[Chromium 内の //chromium/src/codelabs/rust サブディレクトリ]で確認できます。

ベアメタル Rust へようこそ

これはベアメタル Rust に関する単独の 1 日コースであり、Rust の基礎（おそらく Comprehensive Rust コースを修了して）に慣れていて、できれば C などの他の言語でベアメタルプログラミングの経験もある人を対象としています。

今日は「ベアメタル」Rust、つまりその下に OS がない状態で Rust コードを実行することについて話します。内容はいくつかのパートに分かれています:

no_std Rust とは何か？
マイクロコントローラー向けファームウェアの作成。
アプリケーションプロセッサ向けのブートローダー / カーネルコードの作成。
ベアメタル Rust 開発に役立ついくつかのクレート。

このコースのマイクロコントローラーのパートでは、 BBC micro:bit v2 を例として使用します。これは、 Nordic nRF52833 マイクロコントローラーをベースにした開発ボードで、いくつかの LED とボタン、 I2C 接続の加速度計とコンパス、そしてオンボードの SWD デバッガーを備えています。

まず、後で必要になるいくつかのツールをインストールしましょう。gLinux または Debian の場合:

sudo apt install gdb-multiarch libudev-dev picocom pkg-config qemu-system-arm build-essential
rustup update
rustup target add aarch64-unknown-none thumbv7em-none-eabihf
rustup component add llvm-tools-preview
cargo install cargo-binutils
curl --proto '=https' --tlsv1.2 -LsSf https://github.com/probe-rs/probe-rs/releases/latest/download/probe-rs-tools-installer.sh | sh

そして、plugdev グループのユーザーが micro:bit プログラマーにアクセスできるようにします:

echo 'SUBSYSTEM=="hidraw", ATTRS{idVendor}=="0d28", MODE="0660", GROUP="logindev", TAG+="uaccess"' |\
  sudo tee /etc/udev/rules.d/50-microbit.rules
sudo udevadm control --reload-rules

デバイスが利用可能であれば、lsusb の出力に “NXP ARM mbed” と表示されるはずです。Chromebook 上の Linux 環境を使用している場合は、 chrome://os-settings/crostini/sharedUsbDevices を介して USB デバイスを Linux と共有する必要があります。

MacOS の場合:

xcode-select --install
brew install gdb picocom qemu
rustup update
rustup target add aarch64-unknown-none thumbv7em-none-eabihf
rustup component add llvm-tools-preview
cargo install cargo-binutils
curl --proto '=https' --tlsv1.2 -LsSf https://github.com/probe-rs/probe-rs/releases/latest/download/probe-rs-tools-installer.sh | sh

`no_std`

`core`	`alloc`	`std`
スライス、`&str`、`CStr` `NonZeroU8` など `Option`、`Result` `Display`、`Debug`、`write!` など `Iterator` `Error` `panic!`、`assert_eq!` など `NonNull` と、一般的なポインタ関連の関数一式 `Future` と `async`/`await` `fence`、`AtomicBool`、`AtomicPtr`、`AtomicU32` など `Duration`	`Box`、`Cow`、`Arc`、`Rc` `Vec`、`BinaryHeap`、`BtreeMap`、`LinkedList`、`VecDeque` `String`、`CString`、`format!`	`HashMap` `Mutex`、`Condvar`、`Barrier`、`Once`、`RwLock`、`mpsc` `File` と `fs` の残り `println!`, `Read`, `Write`, `Stdin`, `Stdout` と `io` の残り `Path`、`OsString` `net` `Command`、`Child`、`ExitCode` `spawn`, `sleep` と `thread` の残り `SystemTime`、`Instant`

HashMap は RNG に依存します。
std は core と alloc の両方の内容を再エクスポートします。

最小限の `no_std` プログラム

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

use core::panic::PanicInfo;

#[panic_handler]
fn panic(_panic: &PanicInfo) -> ! {
    loop {}
}

これは空のバイナリにコンパイルされます。
std は panic ハンドラを提供します。これがない場合は、自前で用意しなければなりません。
これは panic-halt などの別のクレートによって提供することもできます。
ターゲットによっては、eh_personality に関するエラーを回避するために、 panic = "abort" を指定してコンパイルする必要がある場合があります。
main やその他のエントリポイントは存在しないことに注意してください。独自のエントリポイントを自分で定義する必要があります。通常、これには Rust コードを実行できる状態にするためのリンカースクリプトと、いくらかのアセンブリコードが関わります。

`alloc`

alloc を使用するには、グローバル（ヒープ）アロケータを実装する必要があります。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate alloc;
extern crate panic_halt as _;

use alloc::string::ToString;
use alloc::vec::Vec;
use buddy_system_allocator::LockedHeap;

#[global_allocator]
static HEAP_ALLOCATOR: LockedHeap<32> = LockedHeap::<32>::new();

const HEAP_SIZE: usize = 65536;
static mut HEAP: [u8; HEAP_SIZE] = [0; HEAP_SIZE];

pub fn entry() {
    // SAFETY: `HEAP` is only used here and `entry` is only called once.
    unsafe {
        // Give the allocator some memory to allocate.
        HEAP_ALLOCATOR.lock().init(&raw mut HEAP as usize, HEAP_SIZE);
    }

    // Now we can do things that require heap allocation.
    let mut v = Vec::new();
    v.push("A string".to_string());
}

buddy_system_allocator は基本的なバディシステムアロケータを実装するクレートです。ほかのクレートも利用できますし、自分で作成したり、既存のアロケータに組み込んだりすることもできます。
LockedHeap の const パラメータはアロケータの最大オーダーです。つまり、この場合は最大 2**32 バイトの領域を割り当てられます。
依存ツリー内のいずれかのクレートが alloc に依存している場合は、バイナリ内にグローバルアロケータをちょうど 1 つ定義しておく必要があります。通常、これは最上位のバイナリクレートで行います。
extern crate panic_halt as _ は、panic_halt クレートがリンクされてその panic ハンドラを利用できるようにするために必要です。
この例はエントリポイントを持たないため、ビルドはできますが実行はできません。

マイクロコントローラ

cortex_m_rt クレートは、（ほかにもいくつかの機能がありますが）Cortex M マイクロコントローラ用のリセットハンドラを提供します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate panic_halt as _;

mod interrupts;

use cortex_m_rt::entry;

#[entry]
fn main() -> ! {
    loop {}
}

次に、抽象化のレベルを徐々に上げながら、周辺機器にアクセスする方法を見ていきます。

cortex_m_rt::entry マクロでは、関数の型が fn() -> ! である必要があります。これは、リセットハンドラに戻ることには意味がないためです。
例を cargo embed --bin minimal で実行します

生の MMIO

ほとんどのマイクロコントローラーは、メモリマップド I/O を介して周辺機器にアクセスします。micro:bit の LED を点灯してみましょう:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate panic_halt as _;

mod interrupts;

use core::mem::size_of;
use cortex_m_rt::entry;

/// GPIO port 0 peripheral address
const GPIO_P0: usize = 0x5000_0000;

// GPIO peripheral offsets
const PIN_CNF: usize = 0x700;
const OUTSET: usize = 0x508;
const OUTCLR: usize = 0x50c;

// PIN_CNF fields
const DIR_OUTPUT: u32 = 0x1;
const INPUT_DISCONNECT: u32 = 0x1 << 1;
const PULL_DISABLED: u32 = 0x0 << 2;
const DRIVE_S0S1: u32 = 0x0 << 8;
const SENSE_DISABLED: u32 = 0x0 << 16;

#[entry]
fn main() -> ! {
    // Configure GPIO 0 pins 21 and 28 as push-pull outputs.
    let pin_cnf_21 = (GPIO_P0 + PIN_CNF + 21 * size_of::<u32>()) as *mut u32;
    let pin_cnf_28 = (GPIO_P0 + PIN_CNF + 28 * size_of::<u32>()) as *mut u32;
    // SAFETY: The pointers are to valid peripheral control registers, and no
    // aliases exist.
    unsafe {
        pin_cnf_21.write_volatile(
            DIR_OUTPUT
                | INPUT_DISCONNECT
                | PULL_DISABLED
                | DRIVE_S0S1
                | SENSE_DISABLED,
        );
        pin_cnf_28.write_volatile(
            DIR_OUTPUT
                | INPUT_DISCONNECT
                | PULL_DISABLED
                | DRIVE_S0S1
                | SENSE_DISABLED,
        );
    }

    // Set pin 28 low and pin 21 high to turn the LED on.
    let gpio0_outset = (GPIO_P0 + OUTSET) as *mut u32;
    let gpio0_outclr = (GPIO_P0 + OUTCLR) as *mut u32;
    // SAFETY: The pointers are to valid peripheral control registers, and no
    // aliases exist.
    unsafe {
        gpio0_outclr.write_volatile(1 << 28);
        gpio0_outset.write_volatile(1 << 21);
    }

    loop {}
}

GPIO 0 のピン 21 は LED マトリクスの最初の列に接続されており、ピン 28 は最初の行に接続されています。

次のコマンドでこの例を実行します:

cargo embed --bin mmio

ペリフェラルアクセスクレート

svd2rust は、CMSIS-SVD ファイルから、メモリマップされたペリフェラル向けのほぼ安全な Rust ラッパーを生成します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate panic_halt as _;

use cortex_m_rt::entry;
use nrf52833_pac::Peripherals;

#[entry]
fn main() -> ! {
    let p = Peripherals::take().unwrap();
    let gpio0 = p.P0;

    // Configure GPIO 0 pins 21 and 28 as push-pull outputs.
    gpio0.pin_cnf[21].write(|w| {
        w.dir().output();
        w.input().disconnect();
        w.pull().disabled();
        w.drive().s0s1();
        w.sense().disabled();
        w
    });
    gpio0.pin_cnf[28].write(|w| {
        w.dir().output();
        w.input().disconnect();
        w.pull().disabled();
        w.drive().s0s1();
        w.sense().disabled();
        w
    });

    // Set pin 28 low and pin 21 high to turn the LED on.
    gpio0.outclr.write(|w| w.pin28().clear());
    gpio0.outset.write(|w| w.pin21().set());

    loop {}
}

SVD（System View Description）ファイルは、通常は半導体ベンダーから提供される XML ファイルであり、デバイスのメモリマップを記述します。
- これらはペリフェラル、レジスタ、フィールド、値ごとに整理されており、名前、説明、アドレスなどが含まれます。
- SVD ファイルにはしばしばバグがあり、不完全でもあるため、誤りを修正し、不足している詳細を追加して、生成されたクレートを公開するさまざまなプロジェクトがあります。
cortex-m-rt は、他の機能に加えてベクタテーブルを提供します。
cargo install cargo-binutils を実行すると、cargo objdump --bin pac -- -d --no-show-raw-insn を実行して生成されたバイナリを確認できます。

次のコマンドでこの例を実行します。

cargo embed --bin pac

HAL クレート

HAL クレートは多くのマイクロコントローラー向けに、さまざまな周辺機器のラッパーを提供しています。これらは一般に embedded-hal のトレイトを実装しています。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate panic_halt as _;

use cortex_m_rt::entry;
use embedded_hal::digital::OutputPin;
use nrf52833_hal::gpio::{Level, p0};
use nrf52833_hal::pac::Peripherals;

#[entry]
fn main() -> ! {
    let p = Peripherals::take().unwrap();

    // Create HAL wrapper for GPIO port 0.
    let gpio0 = p0::Parts::new(p.P0);

    // Configure GPIO 0 pins 21 and 28 as push-pull outputs.
    let mut col1 = gpio0.p0_28.into_push_pull_output(Level::High);
    let mut row1 = gpio0.p0_21.into_push_pull_output(Level::Low);

    // Set pin 28 low and pin 21 high to turn the LED on.
    col1.set_low().unwrap();
    row1.set_high().unwrap();

    loop {}
}

set_low と set_high は、embedded_hal の OutputPin トレイトのメソッドです。
HAL クレートは、多くの Cortex-M および RISC-V デバイス向けに提供されており、さまざまな STM32、GD32、nRF、NXP、MSP430、AVR、PIC マイクロコントローラーに対応しています。

次のコマンドで例を実行します:

cargo embed --bin hal

ボードサポートクレート

ボードサポートクレートは、利便性のために、特定のボード向けのさらなるラッパー層を提供します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate panic_halt as _;

use cortex_m_rt::entry;
use embedded_hal::digital::OutputPin;
use microbit::Board;

#[entry]
fn main() -> ! {
    let mut board = Board::take().unwrap();

    board.display_pins.col1.set_low().unwrap();
    board.display_pins.row1.set_high().unwrap();

    loop {}
}

この場合、ボードサポートクレートは、より使いやすい名前と、少しの初期化を提供しているだけです。
このクレートには、マイクロコントローラー本体以外の、ボード上の一部のデバイス用ドライバーが含まれることもあります。
- microbit-v2 には、LED マトリクス用のシンプルなドライバーが含まれています。

次のコマンドでこの例を実行します:

cargo embed --bin board_support

型状態パターン

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[entry]
fn main() -> ! {
    let p = Peripherals::take().unwrap();
    let gpio0 = p0::Parts::new(p.P0);

    let pin: P0_01<Disconnected> = gpio0.p0_01;

    // let gpio0_01_again = gpio0.p0_01; // Error, moved.
    let mut pin_input: P0_01<Input<Floating>> = pin.into_floating_input();
    if pin_input.is_high().unwrap() {
        // ...
    }
    let mut pin_output: P0_01<Output<OpenDrain>> = pin_input
        .into_open_drain_output(OpenDrainConfig::Disconnect0Standard1, Level::Low);
    pin_output.set_high().unwrap();
    // pin_input.is_high(); // Error, moved.

    let _pin2: P0_02<Output<OpenDrain>> = gpio0
        .p0_02
        .into_open_drain_output(OpenDrainConfig::Disconnect0Standard1, Level::Low);
    let _pin3: P0_03<Output<PushPull>> =
        gpio0.p0_03.into_push_pull_output(Level::Low);

    loop {}
}

ピンは Copy や Clone を実装していないため、それぞれについて存在できるインスタンスは 1 つだけです。いったんポート構造体からピンがムーブされると、ほかの誰もそれを取得できません。
ピンの設定を変更すると古いピンインスタンスが消費されるため、その後は古いインスタンスを使えません。
値の型は、その値がどの状態にあるかを示します。たとえば、この場合は GPIO ピンの設定状態です。これにより、状態機械が型システムにエンコードされ、先に適切に設定することなく特定の方法でピンを使おうとしないことが保証されます。不正な状態遷移はコンパイル時に検出されます。
入力ピンでは is_high を呼び出せ、出力ピンでは set_high を呼び出せますが、その逆はできません。
多くの HAL クレートはこのパターンに従っています。

`embedded-hal`

embedded-hal クレートは、一般的なマイクロコントローラー周辺機器を対象とする複数のトレイトを提供します。

GPIO
PWM
ディレイタイマー
I2C および SPI のバスとデバイス

バイトストリーム（例: UART）、CAN バス、RNG 向けの同様のトレイトは、それぞれ embedded-io、embedded-can、rand_core に分かれています。

その後、他のクレートがこれらのトレイトに基づいて drivers を実装します。たとえば、加速度計ドライバーには I2C または SPI デバイスのインスタンスが必要になる場合があります。

これらのトレイトは周辺機器の使用を対象としていますが、初期化や設定は対象としていません。初期化と設定はプラットフォーム依存性が非常に高いためです。
多くのマイクロコントローラー向けの実装に加え、Raspberry Pi 上の Linux のような他のプラットフォーム向けの実装もあります。
embedded-hal-async は、これらのトレイトの async 版を提供します。
embedded-hal-nb は、nb クレートに基づく、ノンブロッキング I/O への別のアプローチを提供します。

`probe-rs` と `cargo-embed`

probe-rs は、OpenOCD に似ていますが、より緊密に統合された、組み込みデバッグ向けの便利なツールセットです。

CMSIS-DAP、ST-Link、J-Link プローブ経由の SWD（Serial Wire Debug）と JTAG
GDB スタブと Microsoft DAP（Debug Adapter Protocol）サーバー
Cargo 統合

cargo-embed は、バイナリのビルドとフラッシュ、RTT（Real Time Transfers）出力のログ記録、GDB への接続を行うための cargo サブコマンドです。設定は、プロジェクトディレクトリ内の Embed.toml ファイルで行います。

CMSIS-DAP は、インサーキットデバッガーがさまざまな Arm Cortex プロセッサの CoreSight Debug Access Port にアクセスするための、USB 上の Arm 標準プロトコルです。これは、BBC micro:bit のオンボードデバッガーで使われているものです。
ST-Link は ST Microelectronics のインサーキットデバッガー製品群で、J-Link は SEGGER の製品群です。
Debug Access Port は通常、5 ピンの JTAG インターフェースまたは 2 ピンの Serial Wire Debug のいずれかです。
probe-rs は、必要に応じて自分のツールに組み込めるライブラリです。
Microsoft Debug Adapter Protocol により、VSCode やその他の IDE は、サポートされている任意のマイクロコントローラー上で実行されるコードをデバッグできます。
cargo-embed は、probe-rs ライブラリを使ってビルドされたバイナリです。
RTT（Real Time Transfers）は、複数のリングバッファを介してデバッグホストとターゲットの間でデータを転送する仕組みです。

デバッグ

Embed.toml:

[default.general]
chip = "nrf52833_xxAA"

[debug.gdb]
enabled = true

src/bare-metal/microcontrollers/examples/ 配下の 1 つのターミナルで:

cargo embed --bin board_support debug

同じディレクトリの別のターミナルで:

gLinux または Debian の場合:

gdb-multiarch target/thumbv7em-none-eabihf/debug/board_support --eval-command="target remote :1338"

MacOS の場合:

arm-none-eabi-gdb target/thumbv7em-none-eabihf/debug/board_support --eval-command="target remote :1338"

GDB で、次を実行してみてください:

b src/bin/board_support.rs:29
b src/bin/board_support.rs:30
b src/bin/board_support.rs:32
c
c
c

その他のプロジェクト

RTIC
- 「リアルタイム割り込み駆動コンカレンシー」。
- 共有リソース管理、メッセージパッシング、タスクスケジューリング、タイマーキュー。
Embassy
- 優先度、タイマー、ネットワーキング、USB を備えた async エグゼキューター。
TockOS
- プリエンプティブスケジューリングとメモリ保護ユニットのサポートを備えた、セキュリティ重視の RTOS。
Hubris
- メモリ保護、非特権ドライバー、IPC を備えた、 Oxide Computer Company のマイクロカーネル RTOS。
Bindings for FreeRTOS
- FreeRTOS 用バインディング。

一部のプラットフォームには std 実装があります。たとえば esp-idf。

RTIC は RTOS ともコンカレンシーフレームワークとも見なせます。
- HAL は含まれていません。
- 本格的なカーネルではなく、スケジューリングに Cortex-M NVIC（Nested Virtual Interrupt Controller）を使用します。
- Cortex-M のみ。
Google は Titan セキュリティキー向けに Haven マイクロコントローラー上で TockOS を使用しています。
FreeRTOS の大部分は C で書かれていますが、アプリケーションを記述するための Rust バインディングがあります。

演習

I2C コンパスから方角を読み取り、その読み取り値をシリアルポートに記録します。

演習を確認したら、用意されている solutions を見ることができます。

コンパス

I2C コンパスから方位を読み取り、その測定値をシリアルポートに記録します。時間があれば、何らかの形で LED に表示したり、ボタンを何らかの形で使ったりしてみてください。

ヒント:

lsm303agr と microbit-v2 クレートのドキュメント、および micro:bit ハードウェアを確認してください。
LSM303AGR 慣性計測ユニットは、内部 I2C バスに接続されています。
TWI は I2C の別名なので、I2C マスターペリフェラルは TWIM と呼ばれます。
LSM303AGR ドライバには、embedded_hal::i2c::I2c トレイトを実装するものが必要です。これは microbit::hal::Twim 構造体が実装しています。
さまざまなピンやペリフェラル用のフィールドを持つ microbit::Board 構造体が使えます。
必要であれば nRF52833 データシートを参照してもかまいませんが、この演習では必要ないはずです。

演習テンプレートをダウンロードし、 compass ディレクトリで次のファイルを確認してください。

src/main.rs:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate panic_halt as _;

use core::fmt::Write;
use cortex_m_rt::entry;
use microbit::{hal::{Delay, uarte::{Baudrate, Parity, Uarte}}, Board};

#[entry]
fn main() -> ! {
    let mut board = Board::take().unwrap();

    // Configure serial port.
    let mut serial = Uarte::new(
        board.UARTE0,
        board.uart.into(),
        Parity::EXCLUDED,
        Baudrate::BAUD115200,
    );

    // Use the system timer as a delay provider.
    let mut delay = Delay::new(board.SYST);

    // Set up the I2C controller and Inertial Measurement Unit.
    // TODO

    writeln!(serial, "Ready.").unwrap();

    loop {
        // Read compass data and log it to the serial port.
        // TODO
    }
}

Cargo.toml（これは変更する必要はないはずです）:

[workspace]

[package]
name = "compass"
version = "0.1.0"
edition = "2024"
publish = false

[dependencies]
cortex-m-rt = "0.7.5"
embedded-hal = "1.0.0"
lsm303agr = "1.1.0"
microbit-v2 = "0.16.0"
panic-halt = "1.0.0"

Embed.toml（これは変更する必要はないはずです）:

[default.general]
chip = "nrf52833_xxAA"

[debug.gdb]
enabled = true

[debug.reset]
halt_afterwards = true

.cargo/config.toml（これは変更する必要はないはずです）:

[build]
target = "thumbv7em-none-eabihf" # Cortex-M4F

[target.'cfg(all(target_arch = "arm", target_os = "none"))']
rustflags = ["-C", "link-arg=-Tlink.x"]

Linux では、次のようにしてシリアル出力を確認できます:

picocom --baud 115200 --imap lfcrlf /dev/ttyACM0

または Mac OS では次のようになります（デバイス名は多少異なる場合があります）:

picocom --baud 115200 --imap lfcrlf /dev/tty.usbmodem14502

picocom を終了するには Ctrl+A Ctrl+Q を使います。

ベアメタル Rust 午前の演習

コンパス

(演習に戻る)

// Google LLC の Copyright 2023
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

extern crate panic_halt as _;

use core::fmt::Write;
use cortex_m_rt::entry;
use embedded_hal::digital::InputPin;
use lsm303agr::{
    AccelMode, AccelOutputDataRate, Lsm303agr, MagMode, MagOutputDataRate,
};
use microbit::Board;
use microbit::display::blocking::Display;
use microbit::hal::twim::Twim;
use microbit::hal::uarte::{Baudrate, Parity, Uarte};
use microbit::hal::{Delay, Timer};
use microbit::pac::twim0::frequency::FREQUENCY_A;

const COMPASS_SCALE: i32 = 30000;
const ACCELEROMETER_SCALE: i32 = 700;

#[entry]
fn main() -> ! {
    let mut board = Board::take().unwrap();

    // Configure serial port.
    let mut serial = Uarte::new(
        board.UARTE0,
        board.uart.into(),
        Parity::EXCLUDED,
        Baudrate::BAUD115200,
    );

    // Use the system timer as a delay provider.
    let mut delay = Delay::new(board.SYST);

    // Set up the I2C controller and Inertial Measurement Unit.
    writeln!(serial, "Setting up IMU...").unwrap();
    let i2c = Twim::new(board.TWIM0, board.i2c_internal.into(), FREQUENCY_A::K100);
    let mut imu = Lsm303agr::new_with_i2c(i2c);
    imu.init().unwrap();
    imu.set_mag_mode_and_odr(
        &mut delay,
        MagMode::HighResolution,
        MagOutputDataRate::Hz50,
    )
    .unwrap();
    imu.set_accel_mode_and_odr(
        &mut delay,
        AccelMode::Normal,
        AccelOutputDataRate::Hz50,
    )
    .unwrap();
    let mut imu = imu.into_mag_continuous().ok().unwrap();

    // Set up display and timer.
    let mut timer = Timer::new(board.TIMER0);
    let mut display = Display::new(board.display_pins);

    let mut mode = Mode::Compass;
    let mut button_pressed = false;

    writeln!(serial, "Ready.").unwrap();

    loop {
        // Read compass data and log it to the serial port.
        while !(imu.mag_status().unwrap().xyz_new_data()
            && imu.accel_status().unwrap().xyz_new_data())
        {}
        let compass_reading = imu.magnetic_field().unwrap();
        let accelerometer_reading = imu.acceleration().unwrap();
        writeln!(
            serial,
            "{},{},{}\t{},{},{}",
            compass_reading.x_nt(),
            compass_reading.y_nt(),
            compass_reading.z_nt(),
            accelerometer_reading.x_mg(),
            accelerometer_reading.y_mg(),
            accelerometer_reading.z_mg(),
        )
        .unwrap();

        let mut image = [[0; 5]; 5];
        let (x, y) = match mode {
            Mode::Compass => (
                scale(-compass_reading.x_nt(), -COMPASS_SCALE, COMPASS_SCALE, 0, 4)
                    as usize,
                scale(compass_reading.y_nt(), -COMPASS_SCALE, COMPASS_SCALE, 0, 4)
                    as usize,
            ),
            Mode::Accelerometer => (
                scale(
                    accelerometer_reading.x_mg(),
                    -ACCELEROMETER_SCALE,
                    ACCELEROMETER_SCALE,
                    0,
                    4,
                ) as usize,
                scale(
                    -accelerometer_reading.y_mg(),
                    -ACCELEROMETER_SCALE,
                    ACCELEROMETER_SCALE,
                    0,
                    4,
                ) as usize,
            ),
        };
        image[y][x] = 255;
        display.show(&mut timer, image, 100);

        // If button A is pressed, switch to the next mode and briefly blink all LEDs
        // on.
        if board.buttons.button_a.is_low().unwrap() {
            if !button_pressed {
                mode = mode.next();
                display.show(&mut timer, [[255; 5]; 5], 200);
            }
            button_pressed = true;
        } else {
            button_pressed = false;
        }
    }
}

#[derive(Copy, Clone, Debug, Eq, PartialEq)]
enum Mode {
    Compass,
    Accelerometer,
}

impl Mode {
    fn next(self) -> Self {
        match self {
            Self::Compass => Self::Accelerometer,
            Self::Accelerometer => Self::Compass,
        }
    }
}

fn scale(value: i32, min_in: i32, max_in: i32, min_out: i32, max_out: i32) -> i32 {
    let range_in = max_in - min_in;
    let range_out = max_out - min_out;
    let scaled = min_out + range_out * (value - min_in) / range_in;
    scaled.clamp(min_out, max_out)
}

アプリケーションプロセッサ

これまでは、Arm Cortex-M シリーズのようなマイクロコントローラについて説明してきました。これらは通常、リソースが非常に限られた小規模なシステムです。

より多くのリソースを持つ大規模なシステムは、一般にアプリケーションプロセッサと呼ばれ、 ARM Cortex-A や Intel Atom のようなプロセッサを中心に構成されています。

簡単のため、ここでは QEMU の aarch64 ‘virt’ ボードだけを扱います。

大まかに言えば、マイクロコントローラには MMU や複数の特権レベル（Arm CPU では例外レベル、x86 ではリング）がありません。
アプリケーションプロセッサはより多くのリソースを備えており、起動時に対象アプリケーションを直接実行するのではなく、 OS を実行することがよくあります。
QEMU は、各アーキテクチャ向けにさまざまなマシンやボードモデルのエミュレーションをサポートしています。 ‘virt’ ボードは特定の実機ハードウェアに対応するものではなく、純粋に仮想マシン向けに設計されています。
このボードについても、OS を書いているかのように、引き続きベアメタルとして扱います。

Rust を始める準備

Rust コードの実行を開始する前に、いくつか初期化を行う必要があります。

/**
 * This is a generic entry point for an image. It carries out the
 * operations required to prepare the loaded image to be run.
 * Specifically, it
 *
 * - sets up the MMU with an identity map of virtual to physical
 *   addresses, and enables caching
 * - enables floating point
 * - zeroes the bss section using registers x25 and above
 * - prepares the stack, pointing to a section within the image
 * - sets up the exception vector
 * - branches to the Rust `main` function
 *
 * It preserves x0-x3 for the Rust entry point, as these may contain
 * boot parameters.
 */
.section .init.entry, "ax"
.global entry
entry:
    /*
     * Load and apply the memory management configuration, ready to
     * enable MMU and caches.
     */
    adrp x30, idmap
    msr ttbr0_el1, x30

    mov_i x30, .Lmairval
    msr mair_el1, x30

    mov_i x30, .Ltcrval
    /* Copy the supported PA range into TCR_EL1.IPS. */
    mrs x29, id_aa64mmfr0_el1
    bfi x30, x29, #32, #4

    msr tcr_el1, x30

    mov_i x30, .Lsctlrval

    /*
     * Ensure everything before this point has completed, then
     * invalidate any potentially stale local TLB entries before they
     * start being used.
     */
    isb
    tlbi vmalle1
    ic iallu
    dsb nsh
    isb

    /*
     * Configure sctlr_el1 to enable MMU and cache and don't proceed
     * until this has completed.
     */
    msr sctlr_el1, x30
    isb

    /* Disable trapping floating point access in EL1. */
    mrs x30, cpacr_el1
    orr x30, x30, #(0x3 << 20)
    msr cpacr_el1, x30
    isb

    /* Zero out the bss section. */
    adr_l x29, bss_begin
    adr_l x30, bss_end
0:  cmp x29, x30
    b.hs 1f
    stp xzr, xzr, [x29], #16
    b 0b

1:  /* Prepare the stack. */
    adr_l x30, boot_stack_end
    mov sp, x30

    /* Set up exception vector. */
    adr x30, vector_table_el1
    msr vbar_el1, x30

    /* Call into Rust code. */
    bl main

    /* Loop forever waiting for interrupts. */
2:  wfi
    b 2b

このコードは src/bare-metal/aps/examples/src/entry.S にあります。これを詳細に理解する必要はありませんが、要点は、Rust がシステムに期待する条件を満たすために、何らかの低レベルなセットアップが必要だということです。

これは C の場合と同じです。つまり、プロセッサ状態を初期化し、BSS をゼロクリアし、スタックポインタを設定します。
- BSS（歴史的な理由による名称で、block starting symbol）は、ゼロで初期化される静的に確保された変数を含むオブジェクトファイルの一部です。これらはゼロに領域を使って無駄にしないよう、イメージには含まれません。コンパイラは、ローダーがそれらをゼロクリアしてくれることを前提にしています。
メモリがどのように初期化され、イメージがどのようにロードされるかによっては、BSS はすでにゼロクリアされている場合もありますが、確実を期すためにこちらでゼロクリアします。
メモリの読み書きを行う前に、MMU とキャッシュを有効にする必要があります。そうしないと、次の問題が起こります。
- 非アラインアクセスでフォールトが発生します。Rust コードは、コンパイラが非アラインアクセスを生成しないよう +strict-align が設定された aarch64-unknown-none ターゲット向けにビルドしているため、このケースでは問題ないはずですが、一般には必ずしもそうとは限りません。
- VM 上で動作している場合、キャッシュコヒーレンシの問題につながる可能性があります。問題は、VM はキャッシュを無効にした状態でメモリに直接アクセスしている一方で、ホストは同じメモリに対するキャッシュ可能な別名を持っていることです。ホストが明示的にそのメモリへアクセスしなくても、投機的アクセスによってキャッシュフィルが発生し、その後キャッシュがクリーンされたり VM がキャッシュを有効にしたりすると、どちらか一方の変更が失われてしまいます。（キャッシュは VA や IPA ではなく、物理アドレスをキーにしています。）
単純化のため、先頭の 1 GiB のアドレス空間をデバイス用に、その次の 1 GiB を DRAM 用に、さらにその上位の別の 1 GiB を追加のデバイス用に恒等マップする、ハードコードされたページテーブル（idmap.S を参照）をそのまま使用します。これは QEMU が使用するメモリレイアウトと一致しています。
例外ベクタ（vbar_el1）も設定します。これについては後でもう少し詳しく見ます。
この午後のすべての例では、例外レベル 1（EL1）で実行することを前提としています。別の例外レベルで実行する必要がある場合は、それに応じて entry.S を変更する必要があります。

インラインアセンブリ

Rust のコードでは実現できないことを行うために、アセンブリを使う必要がある場合があります。たとえば、システムの電源を切るようファームウェアに伝えるために HVC（ハイパーバイザー呼び出し）を行う場合です:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

use core::arch::asm;
use core::panic::PanicInfo;

mod asm;
mod exceptions;

const PSCI_SYSTEM_OFF: u32 = 0x84000008;

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn main(_x0: u64, _x1: u64, _x2: u64, _x3: u64) {
    // SAFETY: this only uses the declared registers and doesn't do anything
    // with memory.
    unsafe {
        asm!("hvc #0",
            inout("w0") PSCI_SYSTEM_OFF => _,
            inout("w1") 0 => _,
            inout("w2") 0 => _,
            inout("w3") 0 => _,
            inout("w4") 0 => _,
            inout("w5") 0 => _,
            inout("w6") 0 => _,
            inout("w7") 0 => _,
            options(nomem, nostack)
        );
    }

    loop {}
}

（実際にこれを行いたい場合は、これらすべての関数のラッパーを提供している smccc クレートを使ってください。）

PSCI は Arm Power State Coordination Interface のことで、システムや CPU の電源状態などを管理するための標準的な関数群です。多くのシステムでは、 EL3 ファームウェアやハイパーバイザーによって実装されています。
0 => _ 構文は、インラインアセンブリコードを実行する前にレジスタを 0 で初期化し、その後はその内容を無視することを意味します。呼び出しによってレジスタの内容が破壊される可能性があるため、in ではなく inout を使う必要があります。
この main 関数は、entry.S 内のエントリポイントから呼び出されるため、 #[unsafe(no_mangle)] と extern "C" である必要があります。
- #[no_mangle] だけでも十分ですが、 RFC3325 では、誤って使用すると未定義動作を引き起こす可能性がある属性にレビュアーの注意を向けるために、この表記が使われています。
_x0–_x3 はレジスタ x0–x3 の値であり、これらは慣例的にブートローダーがデバイスツリーへのポインタのような値を渡すために使用します。標準の aarch64 呼び出し規約（これは extern "C" が使用を指定するものです）では、関数に渡される最初の 8 個の引数にレジスタ x0–x7 が使われるため、 entry.S はこれらのレジスタを変更しないようにする以外、特別なことを行う必要はありません。
src/bare-metal/aps/examples で make qemu_psci を実行して、QEMU 上でこの例を実行してください。

MMIO 向けの volatile メモリアクセス

pointer::read_volatile と pointer::write_volatile を使用してください。
これらのメソッドでアクセスしている場所への参照は決して保持しないでください。Rust は参照をいつでも読み取る（&mut の場合は書き込む）ことがあります。
中間参照を作成せずに構造体のフィールドへのポインタを得るには &raw を使用してください。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

const SOME_DEVICE_REGISTER: *mut u64 = 0x800_0000 as _;
// SAFETY: このアドレスには何らかのデバイスがマップされています。
unsafe {
    SOME_DEVICE_REGISTER.write_volatile(0xff);
    SOME_DEVICE_REGISTER.write_volatile(0x80);
    assert_eq!(SOME_DEVICE_REGISTER.read_volatile(), 0xaa);
}

volatile アクセス: 読み書き操作には副作用があり得るため、コンパイラやハードウェアがそれらを並べ替えたり、重複させたり、取り除いたりするのを防ぎます。
- たとえば可変参照経由で書き込みの後に読み取りを行うと、コンパイラは読み取った値が直前に書き込んだ値と同じだと仮定し、実際にはメモリを読まないことがあります。
ハードウェアへの volatile アクセス用の既存のクレートの中には参照を保持するものもありますが、これは非健全です。参照があると、コンパイラはそれをデリファレンスする可能性があります。
構造体へのポインタからフィールドへのポインタを取得するには &raw を使用してください。
古いバージョンの Rust との互換性のために、代わりに addr_of! マクロを使用できます。

UARTドライバーを書いてみましょう

QEMU の virt マシンには PL011 UART があるので、そのドライバーを書いてみましょう。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

const FLAG_REGISTER_OFFSET: usize = 0x18;
const FR_BUSY: u8 = 1 << 3;
const FR_TXFF: u8 = 1 << 5;

/// Minimal driver for a PL011 UART.
#[derive(Debug)]
pub struct Uart {
    base_address: *mut u8,
}

impl Uart {
    /// Constructs a new instance of the UART driver for a PL011 device at the
    /// given base address.
    ///
    /// # Safety
    ///
    /// The given base address must point to the 8 MMIO control registers of a
    /// PL011 device, which must be mapped into the address space of the process
    /// as device memory and not have any other aliases.
    pub unsafe fn new(base_address: *mut u8) -> Self {
        Self { base_address }
    }

    /// Writes a single byte to the UART.
    pub fn write_byte(&self, byte: u8) {
        // Wait until there is room in the TX buffer.
        while self.read_flag_register() & FR_TXFF != 0 {}

        // SAFETY: We know that the base address points to the control
        // registers of a PL011 device which is appropriately mapped.
        unsafe {
            // Write to the TX buffer.
            self.base_address.write_volatile(byte);
        }

        // Wait until the UART is no longer busy.
        while self.read_flag_register() & FR_BUSY != 0 {}
    }

    fn read_flag_register(&self) -> u8 {
        // SAFETY: We know that the base address points to the control
        // registers of a PL011 device which is appropriately mapped.
        unsafe { self.base_address.add(FLAG_REGISTER_OFFSET).read_volatile() }
    }
}

Uart::new は unsafe ですが、他のメソッドは safe であることに注意してください。これは、Uart::new の呼び出し側がその安全性要件（つまり、特定の UART に対してこのドライバーのインスタンスが常に 1 つしか存在せず、そのアドレス空間をエイリアスするものが他に存在しないこと）を満たすことを保証している限り、必要な事前条件が成り立つと仮定できるため、後で write_byte を呼び出すことは常に安全だからです。
逆にすることもできました（new を safe にして write_byte を unsafe にする）が、そうすると write_byte を呼び出すすべての箇所で安全性について考えなければならず、使い勝手は大幅に悪くなります
これは、unsafe なコードに対する safe なラッパーを書く際によくあるパターンです。つまり、健全性の立証責任を多数の箇所から、より少ない箇所へ移すということです。

その他のトレイト

Debug トレイトは derive しました。さらにいくつかのトレイトも実装すると便利です。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use core::fmt::{self, Write};

impl Write for Uart {
    fn write_str(&mut self, s: &str) -> fmt::Result {
        for c in s.as_bytes() {
            self.write_byte(*c);
        }
        Ok(())
    }
}

// SAFETY: `Uart` just contains a pointer to device memory, which can be
// accessed from any context.
unsafe impl Send for Uart {}

Write を実装すると、Uart 型で write! マクロと writeln! マクロを使えるようになります。
Send は自動トレイトですが、ポインタには実装されていないため、自動的には実装されません。

使ってみる

ドライバを使ってシリアルコンソールに書き込む小さなプログラムを書いてみましょう。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

mod asm;
mod exceptions;
mod pl011_minimal;

use crate::pl011_minimal::Uart;
use core::fmt::Write;
use core::panic::PanicInfo;
use log::error;
use smccc::Hvc;
use smccc::psci::system_off;

/// Base address of the primary PL011 UART.
const PL011_BASE_ADDRESS: *mut u8 = 0x900_0000 as _;

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn main(x0: u64, x1: u64, x2: u64, x3: u64) {
    // SAFETY: `PL011_BASE_ADDRESS` is the base address of a PL011 device, and
    // nothing else accesses that address range.
    let mut uart = unsafe { Uart::new(PL011_BASE_ADDRESS) };

    writeln!(uart, "main({x0:#x}, {x1:#x}, {x2:#x}, {x3:#x})").unwrap();

    system_off::<Hvc>().unwrap();
}

inline assembly の例と同様に、この main 関数は entry.S のエントリポイントコードから呼び出されます。詳細は、そちらのスピーカーノートを参照してください。
src/bare-metal/aps/examples で make qemu_minimal を実行して、この例を QEMU で実行します。

より良いUARTドライバー

PL011 には実際にはさらに多くのレジスタがあり、それらにアクセスするためのポインタを構築するためにオフセットを加える方法は、エラーが発生しやすく、読みにくくなります。さらに、その一部はビットフィールドであり、構造化された方法でアクセスできると便利です。

オフセット	レジスタ名	ビット幅
0x00	DR	12
0x04	RSR	4
0x18	FR	9
0x20	ILPR	8
0x24	IBRD	16
0x28	FBRD	6
0x2c	LCR_H	8
0x30	CR	16
0x34	IFLS	6
0x38	IMSC	11
0x3c	RIS	11
0x40	MIS	11
0x44	ICR	11
0x48	DMACR	3

簡潔にするため、省略したIDレジスタもあります。

ビットフラグ

bitflags クレートは、ビットフラグを扱う際に便利です。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use bitflags::bitflags;

bitflags! {
    /// Flags from the UART flag register.
    #[repr(transparent)]
    #[derive(Copy, Clone, Debug, Eq, PartialEq)]
    struct Flags: u16 {
        /// Clear to send.
        const CTS = 1 << 0;
        /// Data set ready.
        const DSR = 1 << 1;
        /// Data carrier detect.
        const DCD = 1 << 2;
        /// UART busy transmitting data.
        const BUSY = 1 << 3;
        /// Receive FIFO is empty.
        const RXFE = 1 << 4;
        /// Transmit FIFO is full.
        const TXFF = 1 << 5;
        /// Receive FIFO is full.
        const RXFF = 1 << 6;
        /// Transmit FIFO is empty.
        const TXFE = 1 << 7;
        /// Ring indicator.
        const RI = 1 << 8;
    }
}

bitflags! マクロは、struct Flags(u16) のような newtype を作成し、フラグの取得と設定を行うための多数のメソッド実装も併せて生成します。

複数のレジスタ

構造体を使って、UART のレジスタのメモリレイアウトを表現できます。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[repr(C, align(4))]
pub struct Registers {
    dr: u16,
    _reserved0: [u8; 2],
    rsr: ReceiveStatus,
    _reserved1: [u8; 19],
    fr: Flags,
    _reserved2: [u8; 6],
    ilpr: u8,
    _reserved3: [u8; 3],
    ibrd: u16,
    _reserved4: [u8; 2],
    fbrd: u8,
    _reserved5: [u8; 3],
    lcr_h: u8,
    _reserved6: [u8; 3],
    cr: u16,
    _reserved7: [u8; 3],
    ifls: u8,
    _reserved8: [u8; 3],
    imsc: u16,
    _reserved9: [u8; 2],
    ris: u16,
    _reserved10: [u8; 2],
    mis: u16,
    _reserved11: [u8; 2],
    icr: u16,
    _reserved12: [u8; 2],
    dmacr: u8,
    _reserved13: [u8; 3],
}

#[repr(C)] は、C と同じルールに従って、構造体のフィールドを順番に配置するようコンパイラに指示します。これは、構造体のレイアウトを予測可能にするために必要です。Rust のデフォルト表現では、コンパイラは（とりわけ）フィールドを自由に並べ替えることができるためです。

ドライバ

それでは、ドライバで新しい Registers 構造体を使いましょう。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// Driver for a PL011 UART.
#[derive(Debug)]
pub struct Uart {
    registers: *mut Registers,
}

impl Uart {
    /// Constructs a new instance of the UART driver for a PL011 device with the
    /// given set of registers.
    ///
    /// # Safety
    ///
    /// The given pointer must point to the 8 MMIO control registers of a PL011
    /// device, which must be mapped into the address space of the process as
    /// device memory and not have any other aliases.
    pub unsafe fn new(registers: *mut Registers) -> Self {
        Self { registers }
    }

    /// Writes a single byte to the UART.
    pub fn write_byte(&mut self, byte: u8) {
        // Wait until there is room in the TX buffer.
        while self.read_flag_register().contains(Flags::TXFF) {}

        // SAFETY: We know that self.registers points to the control registers
        // of a PL011 device which is appropriately mapped.
        unsafe {
            // Write to the TX buffer.
            (&raw mut (*self.registers).dr).write_volatile(byte.into());
        }

        // Wait until the UART is no longer busy.
        while self.read_flag_register().contains(Flags::BUSY) {}
    }

    /// Reads and returns a pending byte, or `None` if nothing has been
    /// received.
    pub fn read_byte(&mut self) -> Option<u8> {
        if self.read_flag_register().contains(Flags::RXFE) {
            None
        } else {
            // SAFETY: We know that self.registers points to the control
            // registers of a PL011 device which is appropriately mapped.
            let data = unsafe { (&raw const (*self.registers).dr).read_volatile() };
            // TODO: Check for error conditions in bits 8-11.
            Some(data as u8)
        }
    }

    fn read_flag_register(&self) -> Flags {
        // SAFETY: We know that self.registers points to the control registers
        // of a PL011 device which is appropriately mapped.
        unsafe { (&raw const (*self.registers).fr).read_volatile() }
    }
}

個々のフィールドへのポインタを取得するために、中間の参照を作成せずに &raw const / &raw mut を使っている点に注目してください。中間の参照を作成すると、不健全になります。
この例は、次に出てくる safe-mmio の例と非常によく似ているため、スライドには含まれていません。必要であれば、src/bare-metal/aps/examples 配下で make qemu を実行して QEMU 上で動かせます。

safe-mmio

safe-mmio クレートは、レジスタを安全に読み書きできるようにラップする型を提供します。

	読み取り不可	読み取りに副作用がない	読み取りに副作用がある
書き込み不可		`ReadPure`	`ReadOnly`
書き込み可	`WriteOnly`	`ReadPureWrite`	`ReadWrite`

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use safe_mmio::fields::{ReadPure, ReadPureWrite, ReadWrite, WriteOnly};

#[repr(C, align(4))]
pub struct Registers {
    dr: ReadWrite<u16>,
    _reserved0: [u8; 2],
    rsr: ReadPure<ReceiveStatus>,
    _reserved1: [u8; 19],
    fr: ReadPure<Flags>,
    _reserved2: [u8; 6],
    ilpr: ReadPureWrite<u8>,
    _reserved3: [u8; 3],
    ibrd: ReadPureWrite<u16>,
    _reserved4: [u8; 2],
    fbrd: ReadPureWrite<u8>,
    _reserved5: [u8; 3],
    lcr_h: ReadPureWrite<u8>,
    _reserved6: [u8; 3],
    cr: ReadPureWrite<u16>,
    _reserved7: [u8; 3],
    ifls: ReadPureWrite<u8>,
    _reserved8: [u8; 3],
    imsc: ReadPureWrite<u16>,
    _reserved9: [u8; 2],
    ris: ReadPure<u16>,
    _reserved10: [u8; 2],
    mis: ReadPure<u16>,
    _reserved11: [u8; 2],
    icr: WriteOnly<u16>,
    _reserved12: [u8; 2],
    dmacr: ReadPureWrite<u8>,
    _reserved13: [u8; 3],
}

dr の読み取りには副作用があります。受信 FIFO から 1 バイト取り出します。
rsr（および他のレジスタ）の読み取りには副作用がありません。これは「pure」な読み取りです。

MMIO 操作に対する安全な抽象化を提供するクレートはいくつかありますが、safe-mmio クレートを推奨します。
ReadPure と ReadOnly の違い（同様に ReadPureWrite と ReadWrite の違い）は、レジスタの読み取りにデバイスの状態を変化させる副作用があり得るかどうかです。たとえば、データレジスタを読み取ると受信 FIFO から 1 バイト取り出されます。ReadPure は、読み取りに副作用がなく、純粋にデータを読み取るだけであることを意味します。

ドライバ

では、ドライバで新しい Registers 構造体を使ってみましょう。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use safe_mmio::{UniqueMmioPointer, field, field_shared};

/// Driver for a PL011 UART.
#[derive(Debug)]
pub struct Uart<'a> {
    registers: UniqueMmioPointer<'a, Registers>,
}

impl<'a> Uart<'a> {
    /// Constructs a new instance of the UART driver for a PL011 device with the
    /// given set of registers.
    pub fn new(registers: UniqueMmioPointer<'a, Registers>) -> Self {
        Self { registers }
    }

    /// Writes a single byte to the UART.
    pub fn write_byte(&mut self, byte: u8) {
        // Wait until there is room in the TX buffer.
        while self.read_flag_register().contains(Flags::TXFF) {}

        // Write to the TX buffer.
        field!(self.registers, dr).write(byte.into());

        // Wait until the UART is no longer busy.
        while self.read_flag_register().contains(Flags::BUSY) {}
    }

    /// Reads and returns a pending byte, or `None` if nothing has been
    /// received.
    pub fn read_byte(&mut self) -> Option<u8> {
        if self.read_flag_register().contains(Flags::RXFE) {
            None
        } else {
            let data = field!(self.registers, dr).read();
            // TODO: Check for error conditions in bits 8-11.
            Some(data as u8)
        }
    }

    fn read_flag_register(&self) -> Flags {
        field_shared!(self.registers, fr).read()
    }
}

このドライバでは、もはや unsafe コードは必要ありません！
UniqueMmioPointer は、MMIO デバイスまたはレジスタへの生ポインタをラップするものです。UniqueMmioPointer::new の呼び出し元は、それが指定されたライフタイムの間に有効で一意であることを保証するため、フィールドを安全に読み書きするメソッドを提供できます。
Uart::new は現在では safe であり、代わりに UniqueMmioPointer::new が unsafe であることに注意してください。
これらの MMIO アクセスは一般に read_volatile と write_volatile のラッパーですが、aarch64 では代わりにアセンブリで実装されています。これは、コンパイラが MMIO 仮想化を妨げる命令を出力してしまうバグを回避するためです。
field! および field_shared! マクロは内部で &raw mut と &raw const を使用して、中間参照を作成せずに個々のフィールドへのポインタを取得します。中間参照を作成すると不健全になるためです。
field! は UniqueMmioPointer への可変参照を必要とし、副作用を伴う読み取りと書き込みを許可する UniqueMmioPointer を返します。
field_shared! は、UniqueMmioPointer または SharedMmioPointer のいずれかへの共有参照で動作します。これは、純粋な読み取りのみを許可する SharedMmioPointer を返します。

使ってみる

ドライバを使ってシリアルコンソールに書き込み、受信したバイトをエコーする小さなプログラムを書いてみましょう。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

mod asm;
mod exceptions;
mod pl011;

use crate::pl011::Uart;
use core::fmt::Write;
use core::panic::PanicInfo;
use core::ptr::NonNull;
use log::error;
use safe_mmio::UniqueMmioPointer;
use smccc::Hvc;
use smccc::psci::system_off;

/// Base address of the primary PL011 UART.
const PL011_BASE_ADDRESS: NonNull<pl011::Registers> =
    NonNull::new(0x900_0000 as _).unwrap();

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn main(x0: u64, x1: u64, x2: u64, x3: u64) {
    // SAFETY: `PL011_BASE_ADDRESS` is the base address of a PL011 device, and
    // nothing else accesses that address range.
    let mut uart = Uart::new(unsafe { UniqueMmioPointer::new(PL011_BASE_ADDRESS) });

    writeln!(uart, "main({x0:#x}, {x1:#x}, {x2:#x}, {x3:#x})").unwrap();

    loop {
        if let Some(byte) = uart.read_byte() {
            uart.write_byte(byte);
            match byte {
                b'\r' => uart.write_byte(b'\n'),
                b'q' => break,
                _ => continue,
            }
        }
    }

    writeln!(uart, "\n\nBye!").unwrap();
    system_off::<Hvc>().unwrap();
}

src/bare-metal/aps/examples で make qemu_safemmio を実行して、この例を QEMU 上で動かします。

ロギング

log クレートのロギングマクロを使えると便利です。これは Log トレイトを実装することで実現できます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use crate::pl011::Uart;
use core::fmt::Write;
use log::{LevelFilter, Log, Metadata, Record, SetLoggerError};
use spin::mutex::SpinMutex;

static LOGGER: Logger = Logger { uart: SpinMutex::new(None) };

struct Logger {
    uart: SpinMutex<Option<Uart<'static>>>,
}

impl Log for Logger {
    fn enabled(&self, _metadata: &Metadata) -> bool {
        true
    }

    fn log(&self, record: &Record) {
        writeln!(
            self.uart.lock().as_mut().unwrap(),
            "[{}] {}",
            record.level(),
            record.args()
        )
        .unwrap();
    }

    fn flush(&self) {}
}

/// Initialises UART logger.
pub fn init(
    uart: Uart<'static>,
    max_level: LevelFilter,
) -> Result<(), SetLoggerError> {
    LOGGER.uart.lock().replace(uart);

    log::set_logger(&LOGGER)?;
    log::set_max_level(max_level);
    Ok(())
}

log 内の最初の unwrap は、set_logger を呼び出す前に LOGGER を初期化しているため成功します。2 つ目は、Uart::write_str が常に Ok を返すため成功します。

使う

使用する前にロガーを初期化する必要があります。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

mod asm;
mod exceptions;
mod logger;
mod pl011;

use crate::pl011::Uart;
use core::panic::PanicInfo;
use core::ptr::NonNull;
use log::{LevelFilter, error, info};
use safe_mmio::UniqueMmioPointer;
use smccc::Hvc;
use smccc::psci::system_off;

/// Base address of the primary PL011 UART.
const PL011_BASE_ADDRESS: NonNull<pl011::Registers> =
    NonNull::new(0x900_0000 as _).unwrap();

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn main(x0: u64, x1: u64, x2: u64, x3: u64) {
    // SAFETY: `PL011_BASE_ADDRESS` is the base address of a PL011 device, and
    // nothing else accesses that address range.
    let uart = unsafe { Uart::new(UniqueMmioPointer::new(PL011_BASE_ADDRESS)) };
    logger::init(uart, LevelFilter::Trace).unwrap();

    info!("main({x0:#x}, {x1:#x}, {x2:#x}, {x3:#x})");

    assert_eq!(x1, 42);

    system_off::<Hvc>().unwrap();
}

#[panic_handler]
fn panic(info: &PanicInfo) -> ! {
    error!("{info}");
    system_off::<Hvc>().unwrap();
    loop {}
}

panic ハンドラが panic の詳細をログに記録できるようになったことに注意してください。
src/bare-metal/aps/examples で make qemu_logger を実行して、この例を QEMU で実行してください。

例外

AArch64 は、4 つの状態（SP0 を使用する現在の EL、SPx を使用する現在の EL、AArch64 を使用する下位 EL、AArch32 を使用する下位 EL）からの 4 種類の例外（同期、IRQ、FIQ、SError）に対して、16 個のエントリを持つ例外ベクターテーブルを定義しています。Rust コードを呼び出す前に揮発性レジスタをスタックに保存するため、これをアセンブリで実装します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use log::error;
use smccc::Hvc;
use smccc::psci::system_off;

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn sync_current(_elr: u64, _spsr: u64) {
    error!("sync_current");
    system_off::<Hvc>().unwrap();
}

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn irq_current(_elr: u64, _spsr: u64) {
    error!("irq_current");
    system_off::<Hvc>().unwrap();
}

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn fiq_current(_elr: u64, _spsr: u64) {
    error!("fiq_current");
    system_off::<Hvc>().unwrap();
}

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn serror_current(_elr: u64, _spsr: u64) {
    error!("serror_current");
    system_off::<Hvc>().unwrap();
}

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn sync_lower(_elr: u64, _spsr: u64) {
    error!("sync_lower");
    system_off::<Hvc>().unwrap();
}

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn irq_lower(_elr: u64, _spsr: u64) {
    error!("irq_lower");
    system_off::<Hvc>().unwrap();
}

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn fiq_lower(_elr: u64, _spsr: u64) {
    error!("fiq_lower");
    system_off::<Hvc>().unwrap();
}

// SAFETY: There is no other global function of this name.
#[unsafe(no_mangle)]
extern "C" fn serror_lower(_elr: u64, _spsr: u64) {
    error!("serror_lower");
    system_off::<Hvc>().unwrap();
}

EL は例外レベルです。この午後の例はすべて EL1 で実行されます。
簡単のため、現在の EL の例外では SP0 と SPx を区別せず、下位 EL の例外では AArch32 と AArch64 を区別しません。
この例では、これらが実際に発生することは想定していないため、例外をログに記録して電源を落とすだけです。
例外ハンドラとメインの実行コンテキストは、だいたい別々のスレッドのようなものと考えられます。Send と Sync が、スレッドの場合と同じように、それらの間で何を共有できるかを制御します。たとえば、例外ハンドラとプログラムの残りの部分の間で何らかの値を共有したい場合、その値が Send ではあるが Sync ではないなら、Mutex のようなものでラップして static に置く必要があります。

例外ベクターのアセンブリコード:

/**
 * Saves the volatile registers onto the stack. This currently takes
 * 14 instructions, so it can be used in exception handlers with 18
 * instructions left.
 *
 * On return, x0 and x1 are initialised to elr_el2 and spsr_el2
 * respectively, which can be used as the first and second arguments
 * of a subsequent call.
 */
.macro save_volatile_to_stack
	/* Reserve stack space and save registers x0-x18, x29 & x30. */
	stp x0, x1, [sp, #-(8 * 24)]!
	stp x2, x3, [sp, #8 * 2]
	stp x4, x5, [sp, #8 * 4]
	stp x6, x7, [sp, #8 * 6]
	stp x8, x9, [sp, #8 * 8]
	stp x10, x11, [sp, #8 * 10]
	stp x12, x13, [sp, #8 * 12]
	stp x14, x15, [sp, #8 * 14]
	stp x16, x17, [sp, #8 * 16]
	str x18, [sp, #8 * 18]
	stp x29, x30, [sp, #8 * 20]

	/*
	 * Save elr_el1 & spsr_el1. This such that we can take nested
	 * exception and still be able to unwind.
	 */
	mrs x0, elr_el1
	mrs x1, spsr_el1
	stp x0, x1, [sp, #8 * 22]
.endm

/**
 * Restores the volatile registers from the stack. This currently
 * takes 14 instructions, so it can be used in exception handlers
 * while still leaving 18 instructions left; if paired with
 * save_volatile_to_stack, there are 4 instructions to spare.
 */
.macro restore_volatile_from_stack
	/* Restore registers x2-x18, x29 & x30. */
	ldp x2, x3, [sp, #8 * 2]
	ldp x4, x5, [sp, #8 * 4]
	ldp x6, x7, [sp, #8 * 6]
	ldp x8, x9, [sp, #8 * 8]
	ldp x10, x11, [sp, #8 * 10]
	ldp x12, x13, [sp, #8 * 12]
	ldp x14, x15, [sp, #8 * 14]
	ldp x16, x17, [sp, #8 * 16]
	ldr x18, [sp, #8 * 18]
	ldp x29, x30, [sp, #8 * 20]

	/*
	 * Restore registers elr_el1 & spsr_el1, using x0 & x1 as scratch.
	 */
	ldp x0, x1, [sp, #8 * 22]
	msr elr_el1, x0
	msr spsr_el1, x1

	/* Restore x0 & x1, and release stack space. */
	ldp x0, x1, [sp], #8 * 24
.endm

/**
 * This is a generic handler for exceptions taken at the current EL. It saves
 * volatile registers to the stack, calls the Rust handler, restores volatile
 * registers, then returns.
 *
 * This also works for exceptions taken from lower ELs, if we don't care about
 * non-volatile registers.
 *
 * Saving state and jumping to the Rust handler takes 15 instructions, and
 * restoring and returning also takes 15 instructions, so we can fit the whole
 * handler in 30 instructions, under the limit of 32.
 */
.macro current_exception handler:req
	save_volatile_to_stack
	bl \handler
	restore_volatile_from_stack
	eret
.endm

.section .text.vector_table_el1, "ax"
.global vector_table_el1
.balign 0x800
vector_table_el1:
sync_cur_sp0:
	current_exception sync_current

.balign 0x80
irq_cur_sp0:
	current_exception irq_current

.balign 0x80
fiq_cur_sp0:
	current_exception fiq_current

.balign 0x80
serr_cur_sp0:
	current_exception serror_current

.balign 0x80
sync_cur_spx:
	current_exception sync_current

.balign 0x80
irq_cur_spx:
	current_exception irq_current

.balign 0x80
fiq_cur_spx:
	current_exception fiq_current

.balign 0x80
serr_cur_spx:
	current_exception serror_current

.balign 0x80
sync_lower_64:
	current_exception sync_lower

.balign 0x80
irq_lower_64:
	current_exception irq_lower

.balign 0x80
fiq_lower_64:
	current_exception fiq_lower

.balign 0x80
serr_lower_64:
	current_exception serror_lower

.balign 0x80
sync_lower_32:
	current_exception sync_lower

.balign 0x80
irq_lower_32:
	current_exception irq_lower

.balign 0x80
fiq_lower_32:
	current_exception fiq_lower

.balign 0x80
serr_lower_32:
	current_exception serror_lower

aarch64-rt

aarch64-rt crate は、以前に実装したアセンブリのエントリポイントと例外ベクターを提供します。必要なのは、entry! マクロで main 関数をマークすることだけです。

また、以前のようにアセンブリコードで定義するのではなく、Rust で初期の静的ページテーブルを定義できる initial_pagetable! マクロも提供します。

さらに、独自に実装する代わりに、arm-pl011-uart crate の UART ドライバーも使用できます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

mod exceptions_rt;

use aarch64_paging::descriptor::El1Attributes;
use aarch64_rt::{InitialPagetable, entry, initial_pagetable};
use arm_pl011_uart::{PL011Registers, Uart, UniqueMmioPointer};
use core::fmt::Write;
use core::panic::PanicInfo;
use core::ptr::NonNull;
use smccc::Hvc;
use smccc::psci::system_off;

/// Base address of the primary PL011 UART.
const PL011_BASE_ADDRESS: NonNull<PL011Registers> =
    NonNull::new(0x900_0000 as _).unwrap();

/// Attributes to use for device memory in the initial identity map.
const DEVICE_ATTRIBUTES: El1Attributes = El1Attributes::VALID
    .union(El1Attributes::ATTRIBUTE_INDEX_0)
    .union(El1Attributes::ACCESSED)
    .union(El1Attributes::UXN);

/// Attributes to use for normal memory in the initial identity map.
const MEMORY_ATTRIBUTES: El1Attributes = El1Attributes::VALID
    .union(El1Attributes::ATTRIBUTE_INDEX_1)
    .union(El1Attributes::INNER_SHAREABLE)
    .union(El1Attributes::ACCESSED)
    .union(El1Attributes::NON_GLOBAL);

initial_pagetable!({
    let mut idmap = [0; 512];
    // 1 GiB of device memory.
    idmap[0] = DEVICE_ATTRIBUTES.bits();
    // 1 GiB of normal memory.
    idmap[1] = MEMORY_ATTRIBUTES.bits() | 0x40000000;
    // Another 1 GiB of device memory starting at 256 GiB.
    idmap[256] = DEVICE_ATTRIBUTES.bits() | 0x4000000000;
    InitialPagetable(idmap)
});

entry!(main);
fn main(x0: u64, x1: u64, x2: u64, x3: u64) -> ! {
    // SAFETY: `PL011_BASE_ADDRESS` is the base address of a PL011 device, and
    // nothing else accesses that address range.
    let mut uart = unsafe { Uart::new(UniqueMmioPointer::new(PL011_BASE_ADDRESS)) };

    writeln!(uart, "main({x0:#x}, {x1:#x}, {x2:#x}, {x3:#x})").unwrap();

    system_off::<Hvc>().unwrap();
    panic!("system_off returned");
}

#[panic_handler]
fn panic(_info: &PanicInfo) -> ! {
    system_off::<Hvc>().unwrap();
    loop {}
}

src/bare-metal/aps/examples で make qemu_rt を実行して、このサンプルを QEMU で動かします。

例外

aarch64-rt は、例外ハンドラを定義するためのトレイトと、それらを呼び出す例外ベクタ向けのアセンブリコードを生成するマクロを提供します。

このトレイトには、単に panic する各メソッドのデフォルト実装があるため、発生しないと想定している例外のメソッドは省略できます。

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use aarch64_rt::{ExceptionHandlers, RegisterStateRef, exception_handlers};
use log::error;
use smccc::Hvc;
use smccc::psci::system_off;

struct Handlers;

impl ExceptionHandlers for Handlers {
    extern "C" fn sync_current(_state: RegisterStateRef) {
        error!("sync_current");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn irq_current(_state: RegisterStateRef) {
        error!("irq_current");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn fiq_current(_state: RegisterStateRef) {
        error!("fiq_current");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn serror_current(_state: RegisterStateRef) {
        error!("serror_current");
        system_off::<Hvc>().unwrap();
    }
}

exception_handlers!(Handlers);

exception_handlers マクロは、Rust コードを呼び出すための例外ベクタを含む global_asm! ブロックを生成します。これは、以前使用していた exceptions.S と似ています。
RegisterStateRef は、例外が発生したときにアセンブリコードによってレジスタ値が保存されたスタックフレームへの参照をラップします。これは、たとえば下位 EL からの SMC または HVC 呼び出しのパラメータを取り出し、例外ハンドラの復帰時に復元される値を更新するために使用できます。

その他のプロジェクト

oreboot
- 「C のない coreboot」。
- x86、aarch64、RISC-V をサポートします。
- 多数のドライバーを自前で持つのではなく、LinuxBoot に依存します。
Rust RaspberryPi OS チュートリアル
- 初期化、UART ドライバー、シンプルなブートローダー、JTAG、例外レベル、例外処理、ページテーブル。
- Rust におけるキャッシュメンテナンスと初期化にはいくつか注意点があり、本番コードの手本としてそのまま真似するには必ずしもよい例ではありません。
cargo-call-stack
- 最大スタック使用量を算出するための静的解析。

RaspberryPi OS チュートリアルでは、MMU とキャッシュが有効になる前に Rust コードを実行します。これによりメモリ（たとえばスタック）が読み書きされます。ただし、これには、このセッションの冒頭で述べた、非整列アクセスとキャッシュコヒーレンシに関する問題があります。

役立つクレート

ベアメタルプログラミングでよくある問題を解決する、いくつかのクレートを見ていきます。

`zerocopy`

zerocopy crate（Fuchsia 由来）は、バイト列と他の型の間を安全に変換するためのトレイトとマクロを提供します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use zerocopy::{Immutable, IntoBytes};

#[repr(u32)]
#[derive(Debug, Default, Immutable, IntoBytes)]
enum RequestType {
    #[default]
    In = 0,
    Out = 1,
    Flush = 4,
}

#[repr(C)]
#[derive(Debug, Default, Immutable, IntoBytes)]
struct VirtioBlockRequest {
    request_type: RequestType,
    reserved: u32,
    sector: u64,
}

fn main() {
    let request = VirtioBlockRequest {
        request_type: RequestType::Flush,
        sector: 42,
        ..Default::default()
    };

    assert_eq!(
        request.as_bytes(),
        &[4, 0, 0, 0, 0, 0, 0, 0, 42, 0, 0, 0, 0, 0, 0, 0]
    );
}

これは MMIO には適していません（volatile な読み書きを使用しないため）が、たとえば DMA によってハードウェアと共有される構造体や、何らかの外部インターフェース経由で送信される構造体を扱う際には有用です。

FromBytes は、どのようなバイトパターンでも有効である型に対して実装できるため、信頼できないバイト列からでも安全に変換できます。
これらの型に対して FromBytes を derive しようとすると失敗します。これは、RequestType が判別子として u32 の取り得るすべての値を使用しているわけではなく、そのためすべてのバイトパターンが有効ではないからです。
zerocopy::byteorder には、バイトオーダーを意識した数値プリミティブの型があります。
src/bare-metal/useful-crates/zerocopy-example/ で cargo run を使ってこの例を実行してください。（crate 依存関係があるため、Playground では実行されません。）

`aarch64-paging`

aarch64-paging クレートを使うと、AArch64 仮想メモリシステムアーキテクチャに従ってページテーブルを作成できます。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use aarch64_paging::{
    idmap::IdMap,
    paging::{Attributes, MemoryRegion},
};

const ASID: usize = 1;
const ROOT_LEVEL: usize = 1;

// 恒等マッピングを持つ新しいページテーブルを作成します。
let mut idmap = IdMap::new(ASID, ROOT_LEVEL);
// 2 MiB のメモリ領域を読み取り専用としてマップします。
idmap.map_range(
    &MemoryRegion::new(0x80200000, 0x80400000),
    Attributes::NORMAL | Attributes::NON_GLOBAL | Attributes::READ_ONLY,
).unwrap();
// ページテーブルを有効化するために `TTBR0_EL1` を設定します。
idmap.activate();

これは Android の Protected VM Firmware で使用されています。
この例は実機または QEMU 上で実行する必要があるため、これ単体で簡単に実行する方法はありません。

`buddy_system_allocator`

buddy_system_allocator は、基本的なバディシステムアロケータを実装するクレートです。これは、LockedHeap を使って GlobalAlloc を実装し、標準の alloc クレートを使えるようにするため（前に見たとおり）にも、FrameAllocator を使って別のアドレス空間を割り当てるためにも使用できます。たとえば、PCI BAR 用に MMIO 空間を割り当てたいことがあります:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use buddy_system_allocator::FrameAllocator;
use core::alloc::Layout;

fn main() {
    let mut allocator = FrameAllocator::<32>::new();
    allocator.add_frame(0x200_0000, 0x400_0000);

    let layout = Layout::from_size_align(0x100, 0x100).unwrap();
    let bar = allocator
        .alloc_aligned(layout)
        .expect("Failed to allocate 0x100 byte MMIO region");
    println!("Allocated 0x100 byte MMIO region at {:#x}", bar);
}

PCI BAR は常に、そのサイズと同じアラインメントを持ちます。
src/bare-metal/useful-crates/allocator-example/ で cargo run を実行してこの例を動かしてください。（クレートの依存関係があるため、Playground では実行できません。）

`tinyvec`

ヒープ割り当てを行わずに、Vec のようにサイズ変更できるものが欲しくなることがあります。tinyvec はそれを提供します。これは配列またはスライスを基盤とするベクタで、静的に割り当てることもスタック上に配置することもでき、使用中の要素数を追跡し、割り当てられている数を超えて使おうとするとパニックします。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use tinyvec::{ArrayVec, array_vec};

fn main() {
    let mut numbers: ArrayVec<[u32; 5]> = array_vec!(42, 66);
    println!("{numbers:?}");
    numbers.push(7);
    println!("{numbers:?}");
    numbers.remove(1);
    println!("{numbers:?}");
}

tinyvec では、初期化のために要素型が Default を実装している必要があります。
Rust Playground には tinyvec が含まれているため、この例はインラインでも問題なく実行できます。

`spin`

std::sync::Mutex と、std::sync のその他の同期プリミティブは、core や alloc では利用できません。異なる CPU 間で状態を共有する場合など、同期や内部可変性をどのように管理すればよいのでしょうか。

spin クレートは、これらのプリミティブの多くについて、スピンロックベースの同等物を提供します。

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

use spin::mutex::SpinMutex;

static COUNTER: SpinMutex<u32> = SpinMutex::new(0);

fn main() {
    dbg!(COUNTER.lock());
    *COUNTER.lock() += 2;
    dbg!(COUNTER.lock());
}

割り込みハンドラ内でロックを取得する場合は、デッドロックを避けるよう注意してください。
spin には、チケットロック mutex 実装、std::sync の RwLock・Barrier・Once に相当するもの、そして遅延初期化のための Lazy もあります。
once_cell クレートにも、spin::once::Once とは少し異なるアプローチによる、遅延初期化用の便利な型がいくつかあります。
Rust Playground には spin が含まれているため、この例はインラインでも問題なく実行できます。

Android でのベアメタル

AOSP でベアメタルの Rust バイナリをビルドするには、まず rust_ffi_static Soong ルールを使って Rust コードをビルドし、次にリンカスクリプト付きの cc_binary を使ってバイナリ本体を生成し、その後 raw_binary を使って ELF を実行可能な raw バイナリに変換する必要があります。

rust_ffi_static {
    name: "libvmbase_example",
    defaults: ["vmbase_ffi_defaults"],
    crate_name: "vmbase_example",
    srcs: ["src/main.rs"],
    rustlibs: [
        "libvmbase",
    ],
}

cc_binary {
    name: "vmbase_example",
    defaults: ["vmbase_elf_defaults"],
    srcs: [
        "idmap.S",
    ],
    static_libs: [
        "libvmbase_example",
    ],
    linker_scripts: [
        "image.ld",
        ":vmbase_sections",
    ],
}

raw_binary {
    name: "vmbase_example_bin",
    stem: "vmbase_example.bin",
    src: ":vmbase_example",
    enabled: false,
    target: {
        android_arm64: {
            enabled: true,
        },
    },
}

vmbase

aarch64 上で crosvm 上で動作する VM 向けに、vmbase ライブラリは、リンカスクリプトとビルドルール用の便利なデフォルトに加えて、エントリポイント、UART コンソールロギングなどを提供します。

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

use vmbase::{main, println};

main!(main);

pub fn main(arg0: u64, arg1: u64, arg2: u64, arg3: u64) {
    println!("Hello world");
}

main! マクロはメイン関数を指定し、その関数は vmbase のエントリポイントから呼び出されます。
vmbase のエントリポイントはコンソールの初期化を処理し、メイン関数が終了した場合は VM をシャットダウンするために PSCI_SYSTEM_OFF を発行します。

演習

PL031 リアルタイムクロックデバイス用のドライバーを作成します。

演習を確認したら、用意されているsolutionsを見ることができます。

RTC ドライバー

QEMU aarch64 virt マシンには、0x9010000 に PL031 リアルタイムクロックがあります。この演習では、そのドライバーを作成してください。

これを使って現在時刻をシリアルコンソールに表示してください。日付/時刻のフォーマットには chrono クレートを使用できます。
マッチレジスタと生の割り込みステータスを使って、指定した時刻、たとえば 3 秒後までビジーウェイトしてください。（ループ内で core::hint::spin_loop を呼び出してください。）
時間があれば発展課題: RTC マッチによって生成される割り込みを有効化して処理してください。 Arm Generic Interrupt Controller を設定するには、arm-gic クレートで提供されるドライバーを使用できます。
- RTC 割り込みを使用してください。これは GIC に IntId::spi(2) として接続されています。
- 割り込みを有効にしたら、 arm_gic::wfi() を使ってコアをスリープ状態にできます。これにより、コアは割り込みを受信するまでスリープします。

演習テンプレートをダウンロードし、 rtc ディレクトリ内の次のファイルを確認してください。

src/main.rs:

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

mod exceptions;
mod logger;

use aarch64_paging::descriptor::El1Attributes;
use aarch64_rt::{InitialPagetable, entry, initial_pagetable};
use arm_gic::gicv3::registers::{Gicd, GicrSgi};
use arm_gic::gicv3::{GicCpuInterface, GicV3};
use arm_pl011_uart::{PL011Registers, Uart};
use core::panic::PanicInfo;
use core::ptr::NonNull;
use log::{LevelFilter, error, info, trace};
use safe_mmio::UniqueMmioPointer;
use smccc::Hvc;
use smccc::psci::system_off;

/// Base addresses of the GICv3.
const GICD_BASE_ADDRESS: NonNull<Gicd> = NonNull::new(0x800_0000 as _).unwrap();
const GICR_BASE_ADDRESS: NonNull<GicrSgi> = NonNull::new(0x80A_0000 as _).unwrap();

/// Base address of the primary PL011 UART.
const PL011_BASE_ADDRESS: NonNull<PL011Registers> =
    NonNull::new(0x900_0000 as _).unwrap();

/// Attributes to use for device memory in the initial identity map.
const DEVICE_ATTRIBUTES: El1Attributes = El1Attributes::VALID
    .union(El1Attributes::ATTRIBUTE_INDEX_0)
    .union(El1Attributes::ACCESSED)
    .union(El1Attributes::UXN);

/// Attributes to use for normal memory in the initial identity map.
const MEMORY_ATTRIBUTES: El1Attributes = El1Attributes::VALID
    .union(El1Attributes::ATTRIBUTE_INDEX_1)
    .union(El1Attributes::INNER_SHAREABLE)
    .union(El1Attributes::ACCESSED)
    .union(El1Attributes::NON_GLOBAL);

initial_pagetable!({
    let mut idmap = [0; 512];
    // 1 GiB of device memory.
    idmap[0] = DEVICE_ATTRIBUTES.bits();
    // 1 GiB of normal memory.
    idmap[1] = MEMORY_ATTRIBUTES.bits() | 0x40000000;
    // Another 1 GiB of device memory starting at 256 GiB.
    idmap[256] = DEVICE_ATTRIBUTES.bits() | 0x4000000000;
    InitialPagetable(idmap)
});

entry!(main);
fn main(x0: u64, x1: u64, x2: u64, x3: u64) -> ! {
    // SAFETY: `PL011_BASE_ADDRESS` is the base address of a PL011 device, and
    // nothing else accesses that address range.
    let uart = unsafe { Uart::new(UniqueMmioPointer::new(PL011_BASE_ADDRESS)) };
    logger::init(uart, LevelFilter::Trace).unwrap();

    info!("main({:#x}, {:#x}, {:#x}, {:#x})", x0, x1, x2, x3);

    // SAFETY: `GICD_BASE_ADDRESS` and `GICR_BASE_ADDRESS` are the base
    // addresses of a GICv3 distributor and redistributor respectively, and
    // nothing else accesses those address ranges.
    let mut gic = unsafe {
        GicV3::new(
            UniqueMmioPointer::new(GICD_BASE_ADDRESS),
            GICR_BASE_ADDRESS,
            1,
            false,
        )
    };
    gic.setup(0);

    // TODO: RTC ドライバーのインスタンスを作成し、現在時刻を表示する。

    // TODO: 3 秒待機する。

    system_off::<Hvc>().unwrap();
    panic!("system_off returned");
}

#[panic_handler]
fn panic(info: &PanicInfo) -> ! {
    error!("{info}");
    system_off::<Hvc>().unwrap();
    loop {}
}

src/exceptions.rs（これを変更する必要があるのは、演習の第 3 部分だけのはずです）:

#![allow(unused)]
fn main() {
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0
//
// Licensed under the Apache License, Version 2.0 (the "License");
// you may not use this file except in compliance with the License.
// You may obtain a copy of the License at
//
//      http://www.apache.org/licenses/LICENSE-2.0
//
// Unless required by applicable law or agreed to in writing, software
// distributed under the License is distributed on an "AS IS" BASIS,
// WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
// See the License for the specific language governing permissions and
// limitations under the License.

use aarch64_rt::{ExceptionHandlers, RegisterStateRef, exception_handlers};
use arm_gic::InterruptGroup;
use arm_gic::gicv3::GicCpuInterface;
use log::{error, info, trace};
use smccc::Hvc;
use smccc::psci::system_off;

struct Handlers;

impl ExceptionHandlers for Handlers {
    extern "C" fn sync_current(_state: RegisterStateRef) {
        error!("sync_current");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn irq_current(_state: RegisterStateRef) {
        trace!("irq_current");
        let intid =
            GicCpuInterface::get_and_acknowledge_interrupt(InterruptGroup::Group1)
                .expect("No pending interrupt");
        info!("IRQ {intid:?}");
    }

    extern "C" fn fiq_current(_state: RegisterStateRef) {
        error!("fiq_current");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn serror_current(_state: RegisterStateRef) {
        error!("serror_current");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn sync_lower(_state: RegisterStateRef) {
        error!("sync_lower");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn irq_lower(_state: RegisterStateRef) {
        error!("irq_lower");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn fiq_lower(_state: RegisterStateRef) {
        error!("fiq_lower");
        system_off::<Hvc>().unwrap();
    }

    extern "C" fn serror_lower(_state: RegisterStateRef) {
        error!("serror_lower");
        system_off::<Hvc>().unwrap();
    }
}

exception_handlers!(Handlers);
}

src/logger.rs（これは変更する必要はないはずです）:

#![allow(unused)]
fn main() {
// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

// Copyright 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0
//
// Licensed under the Apache License, Version 2.0 (the "License");
// you may not use this file except in compliance with the License.
// You may obtain a copy of the License at
//
//      http://www.apache.org/licenses/LICENSE-2.0
//
// Unless required by applicable law or agreed to in writing, software
// distributed under the License is distributed on an "AS IS" BASIS,
// WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
// See the License for the specific language governing permissions and
// limitations under the License.

use arm_pl011_uart::Uart;
use core::fmt::Write;
use log::{LevelFilter, Log, Metadata, Record, SetLoggerError};
use spin::mutex::SpinMutex;

static LOGGER: Logger = Logger { uart: SpinMutex::new(None) };

struct Logger {
    uart: SpinMutex<Option<Uart<'static>>>,
}

impl Log for Logger {
    fn enabled(&self, _metadata: &Metadata) -> bool {
        true
    }

    fn log(&self, record: &Record) {
        writeln!(
            self.uart.lock().as_mut().unwrap(),
            "[{}] {}",
            record.level(),
            record.args()
        )
        .unwrap();
    }

    fn flush(&self) {}
}

/// Initialises UART logger.
pub fn init(
    uart: Uart<'static>,
    max_level: LevelFilter,
) -> Result<(), SetLoggerError> {
    LOGGER.uart.lock().replace(uart);

    log::set_logger(&LOGGER)?;
    log::set_max_level(max_level);
    Ok(())
}
}

Cargo.toml（これは変更する必要はないはずです）:

[workspace]

[package]
name = "rtc"
version = "0.1.0"
edition = "2024"
publish = false

[dependencies]
aarch64-paging = { version = "0.12.1", default-features = false }
aarch64-rt = "0.4.3"
arm-gic = "0.8.1"
arm-pl011-uart = "0.5.0"
bitflags = "2.11.1"
chrono = { version = "0.4.44", default-features = false }
log = "0.4.29"
safe-mmio = "0.3.0"
smccc = "0.2.2"
spin = "0.10.0"
zerocopy = "0.8.48"

build.rs（これは変更する必要はないはずです）:

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0
//
// Licensed under the Apache License, Version 2.0 (the "License");
// you may not use this file except in compliance with the License.
// You may obtain a copy of the License at
//
//      http://www.apache.org/licenses/LICENSE-2.0
//
// Unless required by applicable law or agreed to in writing, software
// distributed under the License is distributed on an "AS IS" BASIS,
// WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
// See the License for the specific language governing permissions and
// limitations under the License.

fn main() {
    println!("cargo:rustc-link-arg=-Timage.ld");
    println!("cargo:rustc-link-arg=-Tmemory.ld");
    println!("cargo:rerun-if-changed=memory.ld");
}

memory.ld（これは変更する必要はないはずです）:

/*
 * Copyright 2023 Google LLC
 * SPDX-License-Identifier: Apache-2.0
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *     https://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

MEMORY
{
	image : ORIGIN = 0x40080000, LENGTH = 2M
}

Makefile（これは変更する必要はないはずです）:

# Copyright 2023 Google LLC
# SPDX-License-Identifier: Apache-2.0
#
# Licensed under the Apache License, Version 2.0 (the "License");
# you may not use this file except in compliance with the License.
# You may obtain a copy of the License at
#
#      http://www.apache.org/licenses/LICENSE-2.0
#
# Unless required by applicable law or agreed to in writing, software
# distributed under the License is distributed on an "AS IS" BASIS,
# WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
# See the License for the specific language governing permissions and
# limitations under the License.

.PHONY: build qemu_minimal qemu qemu_logger

all: rtc.bin

build:
	cargo build

rtc.bin: build
	cargo objcopy -- -O binary $@

qemu: rtc.bin
	qemu-system-aarch64 -machine virt,gic-version=3 -cpu max -serial mon:stdio -display none -kernel $< -s

clean:
	cargo clean
	rm -f *.bin

.cargo/config.toml（これは変更する必要はないはずです）:

[build]
target = "aarch64-unknown-none"

QEMU でコードを実行するには make qemu を実行してください。

ベアメタル Rust 午後

RTC ドライバ

(演習に戻る)

main.rs:

// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#![no_main]
#![no_std]

mod exceptions;
mod logger;
mod pl031;

use crate::pl031::Rtc;
use arm_gic::{IntId, Trigger, irq_enable, wfi};
use chrono::{TimeZone, Utc};
use core::hint::spin_loop;
use aarch64_paging::descriptor::El1Attributes;
use aarch64_rt::{InitialPagetable, entry, initial_pagetable};
use arm_gic::gicv3::registers::{Gicd, GicrSgi};
use arm_gic::gicv3::{GicCpuInterface, GicV3};
use arm_pl011_uart::{PL011Registers, Uart};
use core::panic::PanicInfo;
use core::ptr::NonNull;
use log::{LevelFilter, error, info, trace};
use safe_mmio::UniqueMmioPointer;
use smccc::Hvc;
use smccc::psci::system_off;

/// Base addresses of the GICv3.
const GICD_BASE_ADDRESS: NonNull<Gicd> = NonNull::new(0x800_0000 as _).unwrap();
const GICR_BASE_ADDRESS: NonNull<GicrSgi> = NonNull::new(0x80A_0000 as _).unwrap();

/// Base address of the primary PL011 UART.
const PL011_BASE_ADDRESS: NonNull<PL011Registers> =
    NonNull::new(0x900_0000 as _).unwrap();

/// Attributes to use for device memory in the initial identity map.
const DEVICE_ATTRIBUTES: El1Attributes = El1Attributes::VALID
    .union(El1Attributes::ATTRIBUTE_INDEX_0)
    .union(El1Attributes::ACCESSED)
    .union(El1Attributes::UXN);

/// Attributes to use for normal memory in the initial identity map.
const MEMORY_ATTRIBUTES: El1Attributes = El1Attributes::VALID
    .union(El1Attributes::ATTRIBUTE_INDEX_1)
    .union(El1Attributes::INNER_SHAREABLE)
    .union(El1Attributes::ACCESSED)
    .union(El1Attributes::NON_GLOBAL);

initial_pagetable!({
    let mut idmap = [0; 512];
    // 1 GiB of device memory.
    idmap[0] = DEVICE_ATTRIBUTES.bits();
    // 1 GiB of normal memory.
    idmap[1] = MEMORY_ATTRIBUTES.bits() | 0x40000000;
    // Another 1 GiB of device memory starting at 256 GiB.
    idmap[256] = DEVICE_ATTRIBUTES.bits() | 0x4000000000;
    InitialPagetable(idmap)
});

/// Base address of the PL031 RTC.
const PL031_BASE_ADDRESS: NonNull<pl031::Registers> =
    NonNull::new(0x901_0000 as _).unwrap();
/// The IRQ used by the PL031 RTC.
const PL031_IRQ: IntId = IntId::spi(2);

entry!(main);
fn main(x0: u64, x1: u64, x2: u64, x3: u64) -> ! {
    // SAFETY: `PL011_BASE_ADDRESS` is the base address of a PL011 device, and
    // nothing else accesses that address range.
    let uart = unsafe { Uart::new(UniqueMmioPointer::new(PL011_BASE_ADDRESS)) };
    logger::init(uart, LevelFilter::Trace).unwrap();

    info!("main({:#x}, {:#x}, {:#x}, {:#x})", x0, x1, x2, x3);

    // SAFETY: `GICD_BASE_ADDRESS` and `GICR_BASE_ADDRESS` are the base
    // addresses of a GICv3 distributor and redistributor respectively, and
    // nothing else accesses those address ranges.
    let mut gic = unsafe {
        GicV3::new(
            UniqueMmioPointer::new(GICD_BASE_ADDRESS),
            GICR_BASE_ADDRESS,
            1,
            false,
        )
    };
    gic.setup(0);

    // SAFETY: `PL031_BASE_ADDRESS` is the base address of a PL031 device, and
    // nothing else accesses that address range.
    let mut rtc = unsafe { Rtc::new(UniqueMmioPointer::new(PL031_BASE_ADDRESS)) };
    let timestamp = rtc.read();
    let time = Utc.timestamp_opt(timestamp.into(), 0).unwrap();
    info!("RTC: {time}");

    GicCpuInterface::set_priority_mask(0xff);
    gic.set_interrupt_priority(PL031_IRQ, None, 0x80).unwrap();
    gic.set_trigger(PL031_IRQ, None, Trigger::Level).unwrap();
    irq_enable();
    gic.enable_interrupt(PL031_IRQ, None, true).unwrap();

    // Wait for 3 seconds, without interrupts.
    let target = timestamp + 3;
    rtc.set_match(target);
    info!("Waiting for {}", Utc.timestamp_opt(target.into(), 0).unwrap());
    trace!(
        "matched={}, interrupt_pending={}",
        rtc.matched(),
        rtc.interrupt_pending()
    );
    while !rtc.matched() {
        spin_loop();
    }
    trace!(
        "matched={}, interrupt_pending={}",
        rtc.matched(),
        rtc.interrupt_pending()
    );
    info!("Finished waiting");

    // Wait another 3 seconds for an interrupt.
    let target = timestamp + 6;
    info!("Waiting for {}", Utc.timestamp_opt(target.into(), 0).unwrap());
    rtc.set_match(target);
    rtc.clear_interrupt();
    rtc.enable_interrupt(true);
    trace!(
        "matched={}, interrupt_pending={}",
        rtc.matched(),
        rtc.interrupt_pending()
    );
    while !rtc.interrupt_pending() {
        wfi();
    }
    trace!(
        "matched={}, interrupt_pending={}",
        rtc.matched(),
        rtc.interrupt_pending()
    );
    info!("Finished waiting");

    system_off::<Hvc>().unwrap();
    panic!("system_off returned");
}

#[panic_handler]
fn panic(info: &PanicInfo) -> ! {
    error!("{info}");
    system_off::<Hvc>().unwrap();
    loop {}
}

pl031.rs:

#![allow(unused)]
fn main() {
// 著作権 2023 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[repr(C, align(4))]
pub struct Registers {
    /// Data register
    dr: ReadPure<u32>,
    /// Match register
    mr: ReadPureWrite<u32>,
    /// Load register
    lr: ReadPureWrite<u32>,
    /// Control register
    cr: ReadPureWrite<u8>,
    _reserved0: [u8; 3],
    /// Interrupt Mask Set or Clear register
    imsc: ReadPureWrite<u8>,
    _reserved1: [u8; 3],
    /// Raw Interrupt Status
    ris: ReadPure<u8>,
    _reserved2: [u8; 3],
    /// Masked Interrupt Status
    mis: ReadPure<u8>,
    _reserved3: [u8; 3],
    /// Interrupt Clear Register
    icr: WriteOnly<u8>,
    _reserved4: [u8; 3],
}

/// Driver for a PL031 real-time clock.
#[derive(Debug)]
pub struct Rtc<'a> {
    registers: UniqueMmioPointer<'a, Registers>,
}

impl<'a> Rtc<'a> {
    /// Constructs a new instance of the RTC driver for a PL031 device with the
    /// given set of registers.
    pub fn new(registers: UniqueMmioPointer<'a, Registers>) -> Self {
        Self { registers }
    }

    /// Reads the current RTC value.
    pub fn read(&self) -> u32 {
        field_shared!(self.registers, dr).read()
    }

    /// Writes a match value. When the RTC value matches this then an interrupt
    /// will be generated (if it is enabled).
    pub fn set_match(&mut self, value: u32) {
        field!(self.registers, mr).write(value);
    }

    /// Returns whether the match register matches the RTC value, whether or not
    /// the interrupt is enabled.
    pub fn matched(&self) -> bool {
        let ris = field_shared!(self.registers, ris).read();
        (ris & 0x01) != 0
    }

    /// Returns whether there is currently an interrupt pending.
    ///
    /// This should be true if and only if `matched` returns true and the
    /// interrupt is masked.
    pub fn interrupt_pending(&self) -> bool {
        let mis = field_shared!(self.registers, mis).read();
        (mis & 0x01) != 0
    }

    /// Sets or clears the interrupt mask.
    ///
    /// When the mask is true the interrupt is enabled; when it is false the
    /// interrupt is disabled.
    pub fn enable_interrupt(&mut self, mask: bool) {
        let imsc = if mask { 0x01 } else { 0x00 };
        field!(self.registers, imsc).write(imsc);
    }

    /// Clears a pending interrupt, if any.
    pub fn clear_interrupt(&mut self) {
        field!(self.registers, icr).write(0x01);
    }
}
}

Rust の並行性へようこそ

Rust は、ミューテックスやチャネルを備えた OS スレッドを使用する並行性を完全にサポートしています。

Rust の型システムは、多くの並行性バグをコンパイル時エラーにするうえで重要な役割を果たします。この考え方は fearless concurrency として知られており、実行時の正しさをコンパイラに頼って保証できるからです。

スケジュール

session outline

Rust では、スレッド、同期プリミティブなど、OS の並行処理ツールキットを利用できます。
型システムにより、特別な機能がなくても並行性の安全性が得られます。
単一スレッドでの「並行した」アクセス（たとえば、呼び出された関数が引数を変更したり、それへの参照を保存して後で読んだりする場合）に役立つのと同じツールが、マルチスレッドの問題からも私たちを守ってくれます。

スレッド

segment outline

通常のスレッド

Rust のスレッドは、他の言語のスレッドと同様に動作します:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::thread;
use std::time::Duration;

fn main() {
    thread::spawn(|| {
        for i in 0..10 {
            println!("Count in thread: {i}!");
            thread::sleep(Duration::from_millis(5));
        }
    });

    for i in 0..5 {
        println!("Main thread: {i}");
        thread::sleep(Duration::from_millis(5));
    }
}

新しいスレッドを生成しても、main の最後でプログラムの終了が自動的に遅らされることはありません。
スレッドの panic は互いに独立しています。
- panic はペイロードを持つことができ、その内容は Any::downcast_ref で取り出せます。

この例を実行します。
- 5ms というタイミングには十分な余裕があるため、main スレッドと生成したスレッドはほぼ足並みをそろえて進みます。
- 生成したスレッドが 10 に到達する前にプログラムが終了することに注目してください。
- これは main がプログラムを終了させ、生成したスレッドはプログラムを存続させないためです。
  - 必要であれば、pthreads/C++ std::thread/boost::thread と比較してみてください。
生成したスレッドが完了するまで待つには、どうすればよいでしょうか。
thread::spawn は JoinHandle を返します。ドキュメントを見てください。
- JoinHandle には、ブロックする .join() メソッドがあります。
let handle = thread::spawn(...) とし、後で handle.join() を使ってスレッドの終了を待つと、プログラムは最後まで数えて 10 に到達します。
では、値を返したい場合はどうでしょうか。
もう一度ドキュメントを見てください:
- thread::spawn のクロージャは T を返します
- JoinHandle の .join() は thread::Result<T> を返します
handle.join() の Result の戻り値を使って、返された値にアクセスします。
では、もう一方のケースはどうでしょうか。
- スレッドで panic を発生させます。これによって main は panic しないことに注目してください。
- panic のペイロードにアクセスします。ここで Any について説明するのにちょうどよいタイミングです。
これでスレッドから値を返せるようになりました。では、入力を受け取るにはどうすればよいでしょうか。
- スレッドのクロージャで何かを参照としてキャプチャします。
- エラーメッセージは、それを move しなければならないことを示します。
- それを move すると、計算してから派生した値を返せることがわかります。
借用したい場合はどうでしょうか。
- main は戻るときに子スレッドを終了させますが、別の関数であれば単に戻って、それらを実行したままにしてしまいます。
- それはスタック use-after-return であり、メモリ安全性に違反します!
- これをどう避ければよいでしょうか。次のスライドを見てください。

スコープ付きスレッド

通常のスレッドは、周囲の環境から借用することはできません:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::thread;

fn foo() {
    let s = String::from("Hello");
    thread::spawn(|| {
        dbg!(s.len());
    });
}

fn main() {
    foo();
}

ただし、この場合はスコープ付きスレッドを使えます:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::thread;

fn foo() {
    let s = String::from("Hello");
    thread::scope(|scope| {
        scope.spawn(|| {
            dbg!(s.len());
        });
    });
}

fn main() {
    foo();
}

その理由は、thread::scope 関数が完了すると、すべてのスレッドが join されていることが保証されるため、借用したデータを返せるからです。
通常の Rust の借用ルールが適用されます。1 つのスレッドによる可変借用か、任意個のスレッドによる不変借用のいずれか一方だけが可能です。

チャネル

segment outline

Sender と Receiver

Rust のチャネルは 2 つの部分から成ります: Sender<T> と Receiver<T> です。この 2 つの部分はチャネルを介して接続されていますが、見えるのはエンドポイントだけです。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::mpsc;

fn main() {
    let (tx, rx) = mpsc::channel();

    tx.send(10).unwrap();
    tx.send(20).unwrap();

    println!("Received: {:?}", rx.recv());
    println!("Received: {:?}", rx.recv());

    let tx2 = tx.clone();
    tx2.send(30).unwrap();
    println!("Received: {:?}", rx.recv());
}

mpsc は Multi-Producer, Single-Consumer の略です。Sender と SyncSender は Clone を実装しているため、複数の送信側を作成できますが、Receiver は実装していません。
send() と recv() は Result を返します。Err が返された場合、対応する Sender または Receiver がドロップされ、チャネルが閉じられていることを意味します。

非境界チャネル

mpsc::channel() を使うと、非境界かつ非同期のチャネルを取得できます:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::mpsc;
use std::thread;
use std::time::Duration;

fn main() {
    let (tx, rx) = mpsc::channel();

    thread::spawn(move || {
        let thread_id = thread::current().id();
        for i in 0..10 {
            tx.send(format!("Message {i}")).unwrap();
            println!("{thread_id:?}: sent Message {i}");
        }
        println!("{thread_id:?}: done");
    });
    thread::sleep(Duration::from_millis(100));

    for msg in rx {
        println!("Main: got {msg}");
    }
}

非境界チャネルは、保留中のメッセージを格納するために必要なだけの領域を割り当てます。send() メソッドは呼び出し元のスレッドをブロックしません。
チャネルが閉じられている場合、send() の呼び出しはエラーで失敗します（そのため Result を返します）。受信側がドロップされると、チャネルは閉じられます。

有界チャネル

有界（同期）チャネルでは、send() が現在のスレッドをブロックすることがあります:

// Copyright 2022 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::mpsc;
use std::thread;
use std::time::Duration;

fn main() {
    let (tx, rx) = mpsc::sync_channel(3);

    thread::spawn(move || {
        let thread_id = thread::current().id();
        for i in 0..10 {
            tx.send(format!("Message {i}")).unwrap();
            println!("{thread_id:?}: sent Message {i}");
        }
        println!("{thread_id:?}: done");
    });
    thread::sleep(Duration::from_millis(100));

    for msg in rx {
        println!("Main: got {msg}");
    }
}

send() を呼び出すと、新しいメッセージを入れる空きがチャネルにできるまで、現在のスレッドはブロックされます。チャネルから読み取るものが誰もいない場合、スレッドは無期限にブロックされる可能性があります。
無界チャネルと同様に、チャネルが閉じられている場合、send() の呼び出しはエラーを返して失敗します。
サイズが 0 の有界チャネルは「ランデブーチャネル」と呼ばれます。すべての送信は、別のスレッドが recv() を呼び出すまで、現在のスレッドをブロックします。

`Send` と `Sync`

segment outline

マーカートレイト

Rust はどのようにして、スレッドをまたぐ共有アクセスを禁止すべきだと判断しているのでしょうか。その答えは、次の 2 つのトレイトにあります。

Send: 型 T は、T をスレッド境界をまたいで移動しても安全である場合に Send です。
Sync: 型 T は、&T をスレッド境界をまたいで移動しても安全である場合に Sync です。

Send と Sync は unsafe トレイトです。コンパイラは、それらが Send と Sync な型だけを含む限り、あなたの型に対してこれらを自動的に導出します。それが妥当だと分かっている場合は、手動で実装することもできます。

これらのトレイトは、その型が特定のスレッド安全性の性質を持つことを示すマーカーと考えることができます。
通常のトレイトと同様に、ジェネリック制約で使用できます。

`Send`

型 T は、T 型の値を別のスレッドへ移動しても安全である場合に Send です。

所有権を別のスレッドに移すと、デストラクタ はそのスレッドで実行されます。したがって問題となるのは、あるスレッドで値を割り当て、別のスレッドでそれを解放できるのはどのような場合かということです。

たとえば、SQLite ライブラリへの接続は単一のスレッドからのみアクセスしなければなりません。

`Sync`

型 T が Sync であるのは、複数のスレッドから同時に T 型の値へ安全にアクセスできる場合です。

より正確には、定義は次のとおりです。

T が Sync であるのは、&T が Send である場合かつその場合に限ります

この記述は本質的には、ある型が共有して使用してもスレッドセーフであるなら、その型への参照をスレッド間で受け渡すこともスレッドセーフである、ということを簡潔に表したものです。

これは、ある型が Sync であるなら、データ競合やその他の同期に関する問題の危険なく、その型を複数のスレッド間で共有できることを意味するため、別のスレッドへ移しても安全だからです。その型への参照も、参照先のデータにはどのスレッドからでも安全にアクセスできるため、別のスレッドへ移しても安全です。

例

`Send + Sync`

よく見かけるほとんどの型は Send + Sync です:

i8、f32、bool、char、&str など
(T1, T2)、[T; N]、&[T]、struct { x: T } など
String、Option<T>、Vec<T>、Box<T> など
Arc<T>: アトミックな参照カウントによって明示的にスレッドセーフです。
Mutex<T>: 内部ロックによって明示的にスレッドセーフです。
mpsc::Sender<T>: 1.72.0 以降。
AtomicBool, AtomicU8, …: 特別なアトミック命令を使用します。

ジェネリック型は、型パラメータが Send + Sync であれば、通常 Send + Sync です。

`Send + !Sync`

これらの型は他のスレッドに移動できますが、スレッドセーフではありません。通常は、内部可変性があるためです:

mpsc::Receiver<T>
Cell<T>
RefCell<T>

`!Send + Sync`

これらの型は複数のスレッドから（共有参照を介して）安全にアクセスできますが、別のスレッドに移動することはできません:

MutexGuard<T>: 作成したスレッド上で解放しなければならない OS レベルのプリミティブを使用します。ただし、すでにロックされている mutex では、ガードが共有されている任意のスレッドが、その保護対象の変数を読み取ることができます（ただし T 自体が !Sync の場合を除きます）。

`!Send + !Sync`

これらの型はスレッドセーフではなく、他のスレッドに移動することもできません:

Rc<T>: 各 Rc<T> は RcBox<T> への参照を持っており、その中には非アトミックな参照カウントが含まれています。
*const T, *mut T: Rust は、生ポインタには特別な並行性に関する考慮事項がある可能性があると想定しています。

共有状態

segment outline

`Arc`

Arc<T> は、Arc::clone を使って共有の読み取り専用所有権を実現します:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::Arc;
use std::thread;

/// どのスレッドがこれをドロップしたかを出力する構造体。
#[derive(Debug)]
struct WhereDropped(Vec<i32>);

impl Drop for WhereDropped {
    fn drop(&mut self) {
        println!("Dropped by {:?}", thread::current().id())
    }
}

fn main() {
    let v = Arc::new(WhereDropped(vec![10, 20, 30]));
    let mut handles = Vec::new();
    for i in 0..5 {
        let v = Arc::clone(&v);
        handles.push(thread::spawn(move || {
            // 0〜500ms スリープします。
            std::thread::sleep(std::time::Duration::from_millis(500 - i * 100));
            let thread_id = thread::current().id();
            println!("{thread_id:?}: {v:?}");
        }));
    }

    // これで、生成されたスレッドだけが `v` のクローンを保持します。
    drop(v);

    // 最後に生成されたスレッドが終了すると、`v` の内容がドロップされます。
    handles.into_iter().for_each(|h| h.join().unwrap());
}

Arc は “Atomic Reference Counted” の略で、アトミック操作を使用する Rc のスレッドセーフ版です。
Arc<T> は、T が Clone を実装しているかどうかに関係なく Clone を実装します。T が Send と Sync の両方を実装している場合に限り、それらも実装します。
Arc::clone() には実行されるアトミック操作のコストがありますが、その後の T の利用自体にはコストがかかりません。
参照サイクルに注意してください。Arc はそれらを検出するためのガベージコレクタを使用しません。
- std::sync::Weak が役立ちます。

`Mutex`

Mutex<T> は相互排他を保証し、かつ読み取り専用インターフェース越しに T への可変アクセスを可能にします（内部可変性の別の形です）:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::Mutex;

fn main() {
    let v = Mutex::new(vec![10, 20, 30]);
    println!("v: {:?}", v.lock().unwrap());

    {
        let mut guard = v.lock().unwrap();
        guard.push(40);
    }

    println!("v: {:?}", v.lock().unwrap());
}

ここで impl<T: Send> Sync for Mutex<T> というブランケット実装があることに注目してください。

Rust の Mutex は、ただ 1 つの要素 — 保護対象のデータ — だけを持つコレクションのように見えます。
- 保護対象のデータにアクセスする前にミューテックスを取得し忘れることはありません。
&Mutex<T> のロックを取得することで &mut T を得られます。MutexGuard は、&mut T の寿命がロックの保持期間を超えないことを保証します。
T が Send を実装している場合に限り、Mutex<T> は Send と Sync の両方を実装します。
読み書きロックに対応するもの: RwLock。
なぜ lock() は Result を返すのでしょうか？
- Mutex を保持していたスレッドが panic すると、Mutex は、保護していたデータが不整合な状態にある可能性を示すために「ポイズン化」されます。ポイズン化されたミューテックスに対して lock() を呼び出すと、 PoisonError で失敗します。エラーに対して into_inner() を呼び出せば、それでもデータを回復できます。

例

Arc と Mutex が実際にどのように動作するかを見てみましょう:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::thread;
// use std::sync::{Arc, Mutex};

fn main() {
    let v = vec![10, 20, 30];
    let mut handles = Vec::new();
    for i in 0..5 {
        handles.push(thread::spawn(|| {
            v.push(10 * i);
            println!("v: {v:?}");
        }));
    }

    handles.into_iter().for_each(|h| h.join().unwrap());
}

解答例:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::{Arc, Mutex};
use std::thread;

fn main() {
    let v = Arc::new(Mutex::new(vec![10, 20, 30]));
    let mut handles = Vec::new();
    for i in 0..5 {
        let v = Arc::clone(&v);
        handles.push(thread::spawn(move || {
            let mut v = v.lock().unwrap();
            v.push(10 * i);
            println!("v: {v:?}");
        }));
    }

    handles.into_iter().for_each(|h| h.join().unwrap());
}

注目すべき点:

v は Arc と Mutex の両方でラップされています。これは、それぞれが扱う関心事が直交しているためです。
- Mutex を Arc でラップするのは、スレッド間で可変状態を共有するための一般的なパターンです。
v: Arc<_> は、新しく生成される各スレッド用に新しい参照を作るためにクローンする必要があります。ラムダのシグネチャに move が追加されている点に注意してください。
LockGuard のスコープを可能な限り狭めるために、ブロックが導入されています。

演習

segment outline

食事する哲学者

食事する哲学者問題は、並行性における古典的な問題です:

5 人の哲学者が同じテーブルで一緒に食事をします。各哲学者にはテーブルの自分の席があります。各皿の間には 1 本の箸があります。出される料理はスパゲッティで、食べるには 2 本の箸が必要です。各哲学者は考えることと食べることを交互に行うことしかできません。さらに、哲学者がスパゲッティを食べられるのは、左と右の箸の両方を持っているときだけです。したがって 2 本の箸が使えるのは、左右の隣人 2 人が食べておらず、考えているときだけです。それぞれの哲学者は食べ終えたら、両方の箸を置きます。

この演習を行うには、ローカルに Cargo をインストールしておく必要があります。以下のコードを src/main.rs というファイルにコピーし、空欄を埋めて、 cargo run がデッドロックしないことを確認してください:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::{Arc, Mutex, mpsc};
use std::thread;
use std::time::Duration;

struct Chopstick;

struct Philosopher {
    name: String,
    // left_chopstick: ...
    // right_chopstick: ...
    // thoughts: ...
}

impl Philosopher {
    fn think(&self) {
        self.thoughts
            .send(format!("Eureka! {} has a new idea!", &self.name))
            .unwrap();
    }

    fn eat(&self) {
        // 箸を取る...
        println!("{} is eating...", &self.name);
        thread::sleep(Duration::from_millis(10));
    }
}

static PHILOSOPHERS: &[&str] =
    &["Socrates", "Hypatia", "Plato", "Aristotle", "Pythagoras"];

fn main() {
    // 箸を作成する

    // 哲学者を作成する

    // それぞれに 100 回考えさせて食べさせる

    // 彼らの考えを出力する
}

以下の Cargo.toml を使用できます:

[package]
name = "dining-philosophers"
version = "0.1.0"
edition = "2024"

まずは「ほぼ」動作する解決策の実装に集中するよう、学生に促してください。
最も単純な解決策におけるデッドロックは、一般的な並行性の問題であり、 Rust がこの種のバグを自動的に防いでくれるわけではないことを示しています。

マルチスレッドのリンクチェッカー

新しく得た知識を使って、マルチスレッドのリンクチェッカーを作成してみましょう。これは Web ページから開始し、そのページ上のリンクが有効であることを確認できるようにする必要があります。同じドメイン内の他のページも再帰的に確認し、すべてのページの検証が完了するまでこれを続ける必要があります。

これには、reqwest のような HTTP クライアントが必要です。また、リンクを見つける方法も必要であり、scraper を使えます。最後に、エラーを処理するための手段も必要なので、thiserror を使用します。

新しい Cargo プロジェクトを作成し、次のように reqwest を依存関係として追加します。

cargo new link-checker
cd link-checker
cargo add --features blocking reqwest
cargo add scraper
cargo add thiserror

cargo add が error: no such subcommand で失敗する場合は、Cargo.toml ファイルを手動で編集してください。以下に示す依存関係を追加します。

cargo add の呼び出しにより、Cargo.toml ファイルは次のように更新されます。

[package]
name = "link-checker"
version = "0.1.0"
edition = "2024"
publish = false

[dependencies]
reqwest = { version = "0.13.1", features = ["blocking"] }
scraper = "0.25.0"
thiserror = "2.0.18"

これで開始ページをダウンロードできます。https://www.google.org/ のような小規模なサイトで試してみてください。

src/main.rs ファイルは、次のようになります。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use reqwest::Url;
use reqwest::blocking::Client;
use scraper::{Html, Selector};
use thiserror::Error;

#[derive(Error, Debug)]
enum Error {
    #[error("request error: {0}")]
    ReqwestError(#[from] reqwest::Error),
    #[error("bad http response: {0}")]
    BadResponse(String),
}

#[derive(Debug)]
struct CrawlCommand {
    url: Url,
    extract_links: bool,
}

fn visit_page(client: &Client, command: &CrawlCommand) -> Result<Vec<Url>, Error> {
    println!("Checking {:#}", command.url);
    let response = client.get(command.url.clone()).send()?;
    if !response.status().is_success() {
        return Err(Error::BadResponse(response.status().to_string()));
    }

    let mut link_urls = Vec::new();
    if !command.extract_links {
        return Ok(link_urls);
    }

    let base_url = response.url().clone();
    let body_text = response.text()?;
    let document = Html::parse_document(&body_text);

    let selector = Selector::parse("a").unwrap();
    let href_values = document
        .select(&selector)
        .filter_map(|element| element.value().attr("href"));
    for href in href_values {
        match base_url.join(href) {
            Ok(link_url) => {
                link_urls.push(link_url);
            }
            Err(err) => {
                println!("On {base_url:#}: ignored unparsable {href:?}: {err}");
            }
        }
    }
    Ok(link_urls)
}

fn main() {
    let client = Client::new();
    let start_url = Url::parse("https://www.google.org").unwrap();
    let crawl_command = CrawlCommand{ url: start_url, extract_links: true };
    match visit_page(&client, &crawl_command) {
        Ok(links) => println!("Links: {links:#?}"),
        Err(err) => println!("Could not extract links: {err:#}"),
    }
}

次のコマンドで src/main.rs のコードを実行します。

cargo run

課題

スレッドを使ってリンクを並列に確認します。確認対象の URL をチャネルに送り、いくつかのスレッドで URL を並列に確認させてください。
これを拡張して、www.google.org ドメイン上のすべてのページから再帰的にリンクを抽出してください。サイトにブロックされないよう、100 ページ程度の上限を設けてください。

これは複雑な演習であり、学生が他の演習よりも大きなプロジェクトに取り組む機会を得ることを意図しています。この演習の成功条件は、何らかの「現実的な」問題で行き詰まり、他の学生や講師の支援を受けながらそれを乗り越えることです。

解答

食事する哲学者

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::{Arc, Mutex, mpsc};
use std::thread;
use std::time::Duration;

struct Chopstick;

struct Philosopher {
    name: String,
    left_chopstick: Arc<Mutex<Chopstick>>,
    right_chopstick: Arc<Mutex<Chopstick>>,
    thoughts: mpsc::SyncSender<String>,
}

impl Philosopher {
    fn think(&self) {
        self.thoughts
            .send(format!("Eureka! {} has a new idea!", &self.name))
            .unwrap();
    }

    fn eat(&self) {
        println!("{} is trying to eat", &self.name);
        let _left = self.left_chopstick.lock().unwrap();
        let _right = self.right_chopstick.lock().unwrap();

        println!("{} is eating...", &self.name);
        thread::sleep(Duration::from_millis(10));
    }
}

static PHILOSOPHERS: &[&str] =
    &["Socrates", "Hypatia", "Plato", "Aristotle", "Pythagoras"];

fn main() {
    let (tx, rx) = mpsc::sync_channel(10);

    let chopsticks = PHILOSOPHERS
        .iter()
        .map(|_| Arc::new(Mutex::new(Chopstick)))
        .collect::<Vec<_>>();

    for i in 0..chopsticks.len() {
        let tx = tx.clone();
        let mut left_chopstick = Arc::clone(&chopsticks[i]);
        let mut right_chopstick =
            Arc::clone(&chopsticks[(i + 1) % chopsticks.len()]);

        // To avoid a deadlock, we have to break the symmetry
        // somewhere. This will swap the chopsticks without deinitializing
        // either of them.
        if i == chopsticks.len() - 1 {
            std::mem::swap(&mut left_chopstick, &mut right_chopstick);
        }

        let philosopher = Philosopher {
            name: PHILOSOPHERS[i].to_string(),
            thoughts: tx,
            left_chopstick,
            right_chopstick,
        };

        thread::spawn(move || {
            for _ in 0..100 {
                philosopher.eat();
                philosopher.think();
            }
        });
    }

    drop(tx);
    for thought in rx {
        println!("{thought}");
    }
}

リンクチェッカー

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::{Arc, Mutex, mpsc};
use std::thread;

use reqwest::Url;
use reqwest::blocking::Client;
use scraper::{Html, Selector};
use thiserror::Error;

#[derive(Error, Debug)]
enum Error {
    #[error("request error: {0}")]
    ReqwestError(#[from] reqwest::Error),
    #[error("bad http response: {0}")]
    BadResponse(String),
}

#[derive(Debug)]
struct CrawlCommand {
    url: Url,
    extract_links: bool,
}

fn visit_page(client: &Client, command: &CrawlCommand) -> Result<Vec<Url>, Error> {
    println!("Checking {:#}", command.url);
    let response = client.get(command.url.clone()).send()?;
    if !response.status().is_success() {
        return Err(Error::BadResponse(response.status().to_string()));
    }

    let mut link_urls = Vec::new();
    if !command.extract_links {
        return Ok(link_urls);
    }

    let base_url = response.url().clone();
    let body_text = response.text()?;
    let document = Html::parse_document(&body_text);

    let selector = Selector::parse("a").unwrap();
    let href_values = document
        .select(&selector)
        .filter_map(|element| element.value().attr("href"));
    for href in href_values {
        match base_url.join(href) {
            Ok(link_url) => {
                link_urls.push(link_url);
            }
            Err(err) => {
                println!("On {base_url:#}: ignored unparsable {href:?}: {err}");
            }
        }
    }
    Ok(link_urls)
}

struct CrawlState {
    domain: String,
    visited_pages: std::collections::HashSet<String>,
}

impl CrawlState {
    fn new(start_url: &Url) -> CrawlState {
        let mut visited_pages = std::collections::HashSet::new();
        visited_pages.insert(start_url.as_str().to_string());
        CrawlState { domain: start_url.domain().unwrap().to_string(), visited_pages }
    }

    /// Determine whether links within the given page should be extracted.
    fn should_extract_links(&self, url: &Url) -> bool {
        url.domain().is_some_and(|d| d == self.domain)
    }

    /// Mark the given page as visited, returning false if it had already
    /// been visited.
    fn mark_visited(&mut self, url: &Url) -> bool {
        self.visited_pages.insert(url.as_str().to_string())
    }
}

type CrawlResult = Result<Vec<Url>, (Url, Error)>;

fn spawn_crawler_threads(
    command_receiver: mpsc::Receiver<CrawlCommand>,
    result_sender: mpsc::Sender<CrawlResult>,
    thread_count: u32,
) {
    // To multiplex the non-cloneable Receiver, wrap it in Arc<Mutex<_>>.
    let command_receiver = Arc::new(Mutex::new(command_receiver));

    for _ in 0..thread_count {
        let result_sender = result_sender.clone();
        let command_receiver = Arc::clone(&command_receiver);
        thread::spawn(move || {
            let client = Client::new();
            loop {
                let command_result = {
                    let receiver_guard = command_receiver.lock().unwrap();
                    receiver_guard.recv()
                };
                let Ok(crawl_command) = command_result else {
                    // The sender got dropped. No more commands coming in.
                    break;
                };
                let crawl_result = match visit_page(&client, &crawl_command) {
                    Ok(link_urls) => Ok(link_urls),
                    Err(error) => Err((crawl_command.url, error)),
                };
                result_sender.send(crawl_result).unwrap();
            }
        });
    }
}

fn control_crawl(
    start_url: Url,
    command_sender: mpsc::Sender<CrawlCommand>,
    result_receiver: mpsc::Receiver<CrawlResult>,
) -> Vec<Url> {
    let mut crawl_state = CrawlState::new(&start_url);
    let start_command = CrawlCommand { url: start_url, extract_links: true };
    command_sender.send(start_command).unwrap();
    let mut pending_urls = 1;

    let mut bad_urls = Vec::new();
    while pending_urls > 0 {
        let crawl_result = result_receiver.recv().unwrap();
        pending_urls -= 1;

        match crawl_result {
            Ok(link_urls) => {
                for url in link_urls {
                    if crawl_state.mark_visited(&url) {
                        let extract_links = crawl_state.should_extract_links(&url);
                        let crawl_command = CrawlCommand { url, extract_links };
                        command_sender.send(crawl_command).unwrap();
                        pending_urls += 1;
                    }
                }
            }
            Err((url, error)) => {
                bad_urls.push(url);
                println!("Got crawling error: {:#}", error);
            }
        }
    }
    bad_urls
}

fn check_links(start_url: Url) -> Vec<Url> {
    let (result_sender, result_receiver) = mpsc::channel::<CrawlResult>();
    let (command_sender, command_receiver) = mpsc::channel::<CrawlCommand>();
    spawn_crawler_threads(command_receiver, result_sender, 16);
    control_crawl(start_url, command_sender, result_receiver)
}

fn main() {
    let start_url = reqwest::Url::parse("https://www.google.org").unwrap();
    let bad_urls = check_links(start_url);
    println!("Bad URLs: {:#?}", bad_urls);
}

ようこそ

「Async」は、複数のタスクを並行して実行する並行性モデルです。各タスクを、ブロックしそうになるまで実行し、その後、進行可能な別のタスクに切り替えることで動作します。このモデルにより、限られた数のスレッド上で、より多くのタスクを実行できます。これは、通常タスクごとのオーバーヘッドが非常に低く、さらにオペレーティングシステムが、続行可能な I/O を効率的に識別するためのプリミティブを提供しているためです。

Rust の非同期処理は「future」に基づいており、これは将来完了する可能性のある処理を表します。future は、完了したことを示すまで「poll」されます。

future は async ランタイムによって poll され、いくつかの異なるランタイムが利用できます。

比較

Python では、asyncio に同様のモデルがあります。ただし、その Future 型はコールバックベースであり、poll されません。Python の非同期プログラムには、 Rust のランタイムに似た「ループ」が必要です。
JavaScript の Promise も似ていますが、これもコールバックベースです。言語ランタイムがイベントループを実装しているため、Promise の解決に関する詳細の大部分は隠されています。

スケジュール

session outline

非同期の基本

segment outline

`async`/`await`

大まかに言うと、async Rust のコードは「通常の」逐次コードと非常によく似ています:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use futures::executor::block_on;

async fn count_to(count: i32) {
    for i in 0..count {
        println!("カウントは {i} です!");
    }
}

async fn async_main(count: i32) {
    count_to(count).await;
}

fn main() {
    block_on(async_main(10));
}

要点:

これは構文を示すための簡略化された例である点に注意してください。この中には、長時間実行される処理も、実際の並行性もありません!
“async” キーワードはシンタックスシュガーです。コンパイラは戻り値の型を future に置き換えます。
返された future をどのように使うかについてコンパイラへの追加の指示がなければ、 main を async にすることはできません。
async コードを実行するにはエグゼキュータが必要です。block_on は、指定された future の実行が完了するまで現在のスレッドをブロックします。
.await は別の操作の完了を非同期に待機します。block_on と異なり、 .await は現在のスレッドをブロックしません。
.await は async 関数の内部でのみ使用できます（またはブロック内。これらは後で紹介します）。

Future

Future はトレイトであり、まだ完了していない可能性のある操作を表すオブジェクトによって実装されます。 Future はポーリングでき、poll は Poll を返します。

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::pin::Pin;
use std::task::Context;

pub trait Future {
    type Output;
    fn poll(self: Pin<&mut Self>, cx: &mut Context<'_>) -> Poll<Self::Output>;
}

pub enum Poll<T> {
    Ready(T),
    Pending,
}
}

async 関数は impl Future を返します。自分で定義した型に対して Future を実装することも可能です（ただし一般的ではありません）。たとえば、tokio::spawn から返される JoinHandle は、その完了を待てるように Future を実装しています。

Future に対して .await キーワードを適用すると、現在の async 関数はその Future の準備が整うまで一時停止し、その後その出力になります。

Future 型と Poll 型は、ここに示したとおりに正確に実装されています。リンクをクリックすると、ドキュメント内でその実装を表示できます。
Context により、タイムアウトなどのイベントが発生したときに、Future は再度ポーリングされるよう自分自身をスケジュールできます。
Pin は、Future がメモリ内で移動しないことを保証し、その Future 内を指すポインタが有効なままでいられるようにします。これは、.await の後でも参照が有効なままでいられるようにするために必要です。Pin については「Pitfalls」のセグメントで扱います。

状態機械

Rust は async 関数またはブロックを、関数の進行状況を追跡するために状態機械を使って Future を実装する隠れた型へと変換します。この変換の詳細は複雑ですが、何が起きているのかを概略的に理解しておくことには意味があります。次の関数は

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// 2 回の D10 ロールの合計に修正値を加えます。
async fn two_d10(modifier: u32) -> u32 {
    let first_roll = roll_d10().await;
    let second_roll = roll_d10().await;
    first_roll + second_roll + modifier
}
}

おおよそ次のようなものに変換されます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::future::Future;
use std::pin::Pin;
use std::task::{Context, Poll};

/// 2 回の D10 ロールの合計に修正値を加えます。
fn two_d10(modifier: u32) -> TwoD10 {
    TwoD10::Init { modifier }
}

enum TwoD10 {
    // 関数はまだ開始されていません。
    Init { modifier: u32 },
    // 最初の `.await` が完了するのを待っています。
    FirstRoll { modifier: u32, fut: RollD10Future },
    // 2 回目の `.await` が完了するのを待っています。
    SecondRoll { modifier: u32, first_roll: u32, fut: RollD10Future },
}

impl Future for TwoD10 {
    type Output = u32;
    fn poll(mut self: Pin<&mut Self>, ctx: &mut Context) -> Poll<Self::Output> {
        loop {
            match *self {
                TwoD10::Init { modifier } => {
                    // 最初のダイスロール用の Future を作成します。
                    let fut = roll_d10();
                    *self = TwoD10::FirstRoll { modifier, fut };
                }
                TwoD10::FirstRoll { modifier, ref mut fut } => {
                    // 最初のダイスロール用のサブ Future を poll します。
                    if let Poll::Ready(first_roll) = fut.poll(ctx) {
                        // 2 回目のロール用の Future を作成します。
                        let fut = roll_d10();
                        *self = TwoD10::SecondRoll { modifier, first_roll, fut };
                    } else {
                        return Poll::Pending;
                    }
                }
                TwoD10::SecondRoll { modifier, first_roll, ref mut fut } => {
                    // 2 回目のダイスロール用のサブ Future を poll します。
                    if let Poll::Ready(second_roll) = fut.poll(ctx) {
                        return Poll::Ready(first_roll + second_roll + modifier);
                    } else {
                        return Poll::Pending;
                    }
                }
            }
        }
    }
}

この例は説明のためのものであり、Rust コンパイラの変換を正確に表したものではありません。ここで注目すべき重要な点は次のとおりです。

async 関数を呼び出しても、Future を構築して返すだけで、それ以外は何も起こりません。
すべてのローカル変数は、その関数の Future の中に格納され、enum を使って実行が現在どこで中断されているかを識別します。
async 関数内の .await は、生存中のすべての変数と待機対象の Future を含む新しい状態へと変換されます。その後 loop がその更新された状態を処理し、Future が Poll::Ready を返すまで poll し続けます。
実行は Poll::Pending が発生するまでそのまま進み続けます。この単純な例では、すべての Future が即座に ready になります。
main には素朴なエグゼキュータが含まれており、Future の準備ができるまで単にビジーループします。実際のエグゼキュータについては後ほど説明します。

さらに掘り下げる

深くネストした async 関数のスタックに対する Future データ構造を想像してみてください。各関数の Future には、その関数が呼び出す関数の Future 構造が含まれます。その結果、コンパイラが生成する Future 型が予想外に大きくなることがあります。

これはまた、再帰的な async 関数が難しいことも意味します。たとえば、次のように再帰型を構築してしまう一般的なエラーと比べてみてください。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

enum LinkedList<T> {
    Node { value: T, next: LinkedList<T> },
    Nil,
}
}

再帰型の修正方法は、Box のように間接参照の層を 1 つ追加することです。同様に、再帰的な async 関数では再帰する Future をボックス化しなければなりません。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

async fn count_to(n: u32) {
    if n > 0 {
        Box::pin(count_to(n - 1)).await;
        println!("{n}");
    }
}

ランタイム

ランタイム は、操作を非同期に実行するためのサポート（リアクター）を提供し、 future を実行する責任（エグゼキューター）を担います。Rust には “組み込み” のランタイムはありませんが、いくつかの選択肢があります。

Tokio: 高性能で、HTTP 向けの Hyper や gRPC 向けの Tonic のような機能を含む、よく発達したエコシステムがあります。
smol: シンプルで軽量

より大規模なアプリケーションの中には、独自のランタイムを持つものもあります。たとえば、 Fuchsia にはすでにあります。

挙げたランタイムのうち、Rust playground でサポートされているのは Tokio だけである点に注意してください。playground では I/O も許可されていないため、多くの興味深い async 処理は playground では実行できません。
Future は “不活性” であり、それらをポーリングするエグゼキューターが存在しない限り、何も行いません（I/O 操作を開始することすらありません）。これは、たとえば JS の Promise とは異なります。JS の Promise は、たとえ一度も使われなくても、完了まで実行されます。

Tokio

Tokio は以下を提供します。

非同期コードを実行するためのマルチスレッドランタイム。
標準ライブラリの非同期版。
大規模なライブラリエコシステム。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use tokio::time;

async fn count_to(count: i32) {
    for i in 0..count {
        println!("Count in task: {i}!");
        time::sleep(time::Duration::from_millis(5)).await;
    }
}

#[tokio::main]
async fn main() {
    tokio::spawn(count_to(10));

    for i in 0..5 {
        println!("Main task: {i}");
        time::sleep(time::Duration::from_millis(5)).await;
    }
}

tokio::main マクロを使うことで、main を async にできるようになりました。
spawn 関数は、新しい並行な「タスク」を作成します。
注: spawn は Future を受け取るため、count_to に対して .await は呼び出しません。

さらに調べてみましょう:

なぜ count_to は 10 まで到達しないのでしょうか？これは async キャンセルの例です。 tokio::spawn は、完了まで待機するために await できるハンドルを返します。
spawn する代わりに count_to(10).await を試してみてください。
tokio::spawn から返されるタスクを await してみてください。

タスク

Rust にはタスクシステムがあり、これは軽量スレッディングの一形態です。

タスクは単一のトップレベル Future を持ち、executor はそれをポーリングして処理を進めます。その Future は、poll メソッドがポーリングする 1 つ以上のネストされた Future を持つ場合があり、これは大まかにはコールスタックに対応します。タスク内での並行性は、タイマーと I/O 操作を競合させるように複数の子 Future をポーリングすることで実現できます。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use tokio::io::{self, AsyncReadExt, AsyncWriteExt};
use tokio::net::TcpListener;

#[tokio::main]
async fn main() -> io::Result<()> {
    let listener = TcpListener::bind("127.0.0.1:0").await?;
    println!("listening on port {}", listener.local_addr()?.port());

    loop {
        let (mut socket, addr) = listener.accept().await?;

        println!("connection from {addr:?}");

        tokio::spawn(async move {
            socket.write_all(b"Who are you?\n").await.expect("socket error");

            let mut buf = vec![0; 1024];
            let name_size = socket.read(&mut buf).await.expect("socket error");
            let name = std::str::from_utf8(&buf[..name_size]).unwrap().trim();
            let reply = format!("Thanks for dialing in, {name}!\n");
            socket.write_all(reply.as_bytes()).await.expect("socket error");
        });
    }
}

この例を用意した src/main.rs にコピーし、そこから実行してください。

nc や telnet のような TCP 接続ツールを使って接続してみてください。

数人のクライアントが接続しているとき、このサーバーの状態がどうなっているかを受講者にイメージしてもらってください。どのようなタスクが存在しますか？それらの Future は何ですか？
ここで初めて async ブロックを見ました。これはクロージャに似ていますが、引数は取りません。その戻り値は Future で、async fn と似ています。
async ブロックを関数にリファクタリングし、? を使ってエラーハンドリングを改善してください。

チャネルと制御フロー

segment outline

非同期チャネル

いくつかのクレートは非同期チャネルをサポートしています。たとえば tokio です。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use tokio::sync::mpsc;

async fn ping_handler(mut input: mpsc::Receiver<()>) {
    let mut count: usize = 0;

    while let Some(_) = input.recv().await {
        count += 1;
        println!("Received {count} pings so far.");
    }

    println!("ping_handler complete");
}

#[tokio::main]
async fn main() {
    let (sender, receiver) = mpsc::channel(32);
    let ping_handler_task = tokio::spawn(ping_handler(receiver));
    for i in 0..10 {
        sender.send(()).await.expect("Failed to send ping.");
        println!("Sent {} pings so far.", i + 1);
    }

    drop(sender);
    ping_handler_task.await.expect("Something went wrong in ping handler task.");
}

チャネルサイズを 3 に変更して、実行にどのような影響があるかを確認してください。
全体として、インターフェースは午前のクラスで見た sync チャネルに似ています。
std::mem::drop 呼び出しを削除してみてください。何が起こりますか？なぜですか？
Flume クレートには、sync と async の send および recv の両方を実装したチャネルがあります。これは、IO と重い CPU 処理タスクの両方を含む複雑なアプリケーションで便利です。
async チャネルを扱うことが望ましい理由は、他の future と組み合わせて、複雑な制御フローを作成できる点にあります。

Join

join 操作は、一連の future がすべて準備できるまで待機し、それらの結果のコレクションを返します。これは、JavaScript の Promise.all や Python の asyncio.gather に似ています。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use anyhow::Result;
use futures::future;
use reqwest;
use std::collections::HashMap;

async fn size_of_page(url: &str) -> Result<usize> {
    let resp = reqwest::get(url).await?;
    Ok(resp.text().await?.len())
}

#[tokio::main]
async fn main() {
    let urls: [&str; 4] = [
        "https://google.com",
        "https://httpbin.org/ip",
        "https://play.rust-lang.org/",
        "BAD_URL",
    ];
    let futures_iter = urls.into_iter().map(size_of_page);
    let results = future::join_all(futures_iter).await;
    let page_sizes_dict: HashMap<&str, Result<usize>> =
        urls.into_iter().zip(results.into_iter()).collect();
    println!("{page_sizes_dict:?}");
}

この例を準備した src/main.rs にコピーし、そこから実行してください。

型が異なる複数の future に対しては std::future::join! を使えますが、コンパイル時に future の数が分かっている必要があります。これは現在は futures クレートにあり、近いうちに std::future で安定化される予定です。
join のリスクは、future の 1 つが決して解決しない可能性があることです。そうなると、プログラムは停止したままになります。
たとえば、HTTP サービスへのすべてのリクエストとデータベースクエリをまとめて join するために、join_all と join! を組み合わせることもできます。futures::join! を使って、future に tokio::time::sleep を追加してみてください。これはタイムアウトではありません（タイムアウトには select! が必要で、次の章で説明します）が、join! を示しています。

Select

select 操作は、複数の future のうちいずれか 1 つの準備ができるまで待機し、その future の結果に応じて処理を行います。JavaScript では、これは Promise.race に似ています。Python では、 asyncio.wait(task_set, return_when=asyncio.FIRST_COMPLETED) に相当します。

match 文と同様に、select! の本体には複数のアームがあり、それぞれ pattern = future => statement という形式を取ります。future の準備ができると、その戻り値は pattern によって分解されます。続いて、得られた変数を使って statement が実行されます。statement の結果が select! マクロの結果になります。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use tokio::sync::mpsc;
use tokio::time::{Duration, sleep};

#[tokio::main]
async fn main() {
    let (tx, mut rx) = mpsc::channel(32);
    let listener = tokio::spawn(async move {
        tokio::select! {
            Some(msg) = rx.recv() => println!("got: {msg}"),
            _ = sleep(Duration::from_millis(50)) => println!("timeout"),
        };
    });
    sleep(Duration::from_millis(10)).await;
    tx.send(String::from("Hello!")).await.expect("Failed to send greeting");

    listener.await.expect("Listener failed");
}

ここでの listener async ブロックは一般的な形です。何らかの async イベント、またはタイムアウトを待ちます。sleep をより長くして、失敗することを確認してください。この状況で send も失敗するのはなぜでしょうか？
「アクター」アーキテクチャでは、select! はループ内でもよく使われます。そこではタスクがループ内でイベントに反応します。これにはいくつかの落とし穴があり、それについては次のセグメントで説明します。

落とし穴

Async / await は、並行な非同期プログラミングのための便利で効率的な抽象化を提供します。しかし、Rust の async/await モデルにも、相応の落とし穴や危険な罠があります。この章では、そのいくつかを示します。

segment outline

エグゼキュータをブロックする

ほとんどの async ランタイムでは、並行して実行できるのは I/O タスクだけです。これは、CPU をブロックするタスクがエグゼキュータをブロックし、ほかのタスクの実行を妨げることを意味します。簡単な回避策は、可能な場合は async 相当のメソッドを使うことです。

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use futures::future::join_all;
use std::time::Instant;

async fn sleep_ms(start: &Instant, id: u64, duration_ms: u64) {
    std::thread::sleep(std::time::Duration::from_millis(duration_ms));
    println!(
        "future {id} slept for {duration_ms}ms, finished after {}ms",
        start.elapsed().as_millis()
    );
}

#[tokio::main(flavor = "current_thread")]
async fn main() {
    let start = Instant::now();
    let sleep_futures = (1..=10).map(|t| sleep_ms(&start, t, t * 10));
    join_all(sleep_futures).await;
}

コードを実行し、sleep が並行ではなく連続して発生することを確認してください。
"current_thread" フレーバーでは、すべてのタスクが単一のスレッドに配置されます。これによりこの効果はより分かりやすくなりますが、このバグはマルチスレッドのフレーバーでも依然として存在します。
std::thread::sleep を tokio::time::sleep に置き換え、その結果を await してください。
別の修正方法としては tokio::task::spawn_blocking を使うことです。これは実際のスレッドを生成し、そのハンドルをエグゼキュータをブロックすることなく future に変換します。
タスクを OS スレッドとして考えるべきではありません。両者は 1 対 1 には対応せず、エグゼキュータでは複数のタスクを単一の OS スレッド上で実行できます。これは、FFI 経由で他のライブラリとやり取りする場合に特に問題になります。そのライブラリがスレッドローカルストレージに依存していたり、特定の OS スレッドにマップされたりする可能性があるためです（例: CUDA）。そのような状況では tokio::task::spawn_blocking を優先してください。
同期ミューテックスは注意して使用してください。.await をまたいでミューテックスを保持すると、別のタスクがブロックされる可能性があり、そのタスクは同じスレッド上で実行されているかもしれません。

`Pin`

async 関数またはブロックは、Future を実装し、すべてのローカル変数を含む型を作成することを思い出してください。これらの変数の一部は、他のローカル変数への参照（ポインタ）を保持できます。それらが常に有効であることを保証するために、その future は別のメモリ位置へ移動されてはなりません。

future 型がメモリ内で移動されるのを防ぐために、それは pin されたポインタを通してのみ poll できます。Pin は参照を包むラッパーであり、それが指しているインスタンスを別のメモリ位置へ移動させるあらゆる操作を禁止します。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use tokio::sync::{mpsc, oneshot};
use tokio::task::spawn;
use tokio::time::{Duration, sleep};

// 作業項目。この場合は、指定された時間だけ sleep し、
// `respond_on` チャネルでメッセージを返します。
#[derive(Debug)]
struct Work {
    input: u32,
    respond_on: oneshot::Sender<u32>,
}

// キュー上の作業を待ち受けて実行するワーカー。
async fn worker(mut work_queue: mpsc::Receiver<Work>) {
    let mut iterations = 0;
    loop {
        tokio::select! {
            Some(work) = work_queue.recv() => {
                sleep(Duration::from_millis(10)).await; // 作業しているふりをします。
                work.respond_on
                    .send(work.input * 1000)
                    .expect("failed to send response");
                iterations += 1;
            }
            // TODO: 100ms ごとに反復回数を報告する
        }
    }
}

// 作業を要求し、その完了を待つリクエスター。
async fn do_work(work_queue: &mpsc::Sender<Work>, input: u32) -> u32 {
    let (tx, rx) = oneshot::channel();
    work_queue
        .send(Work { input, respond_on: tx })
        .await
        .expect("failed to send on work queue");
    rx.await.expect("failed waiting for response")
}

#[tokio::main]
async fn main() {
    let (tx, rx) = mpsc::channel(10);
    spawn(worker(rx));
    for i in 0..100 {
        let resp = do_work(&tx, i).await;
        println!("work result for iteration {i}: {resp}");
    }
}

これは actor パターンの例だと気づいたかもしれません。actor は通常、ループ内で select! を呼び出します。

これは前のいくつかのレッスンのまとめにもなっているので、時間をかけて取り組んでください。

素朴に _ = sleep(Duration::from_millis(100)) => { println!(..) } を select! に追加してみてください。これは決して実行されません。なぜでしょうか？

代わりに、その future を含む timeout_fut を loop の外側に追加します。

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

let timeout_fut = sleep(Duration::from_millis(100));
loop {
    select! {
        ..,
        _ = timeout_fut => { println!(..); },
    }
}
}

これでもまだ動作しません。コンパイラエラーに従い、move を回避するために select! 内の timeout_fut に &mut を追加し、その後 Box::pin を使ってください。

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

let mut timeout_fut = Box::pin(sleep(Duration::from_millis(100)));
loop {
    select! {
        ..,
        _ = &mut timeout_fut => { println!(..); },
    }
}
}

これはコンパイルできますが、いったんタイムアウトが期限切れになると、毎回の反復で Poll::Ready になります（この場合、fused future が役立ちます）。期限切れになるたびに timeout_fut をリセットするように更新してください。

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

let mut timeout_fut = Box::pin(sleep(Duration::from_millis(100)));
loop {
    select! {
        _ = &mut timeout_fut => {
            println!(..);
            timeout_fut = Box::pin(sleep(Duration::from_millis(100)));
        },
    }
}
}

Box はヒープに割り当てます。場合によっては、std::pin::pin!（比較的最近安定化され、古いコードでは tokio::pin! がよく使われていました）も選択肢ですが、再代入される future に対して使うのは難しいです。
別の選択肢として、pin をまったく使わず、100ms ごとに oneshot チャネルへ送信する別のタスクを spawn する方法もあります。
自分自身へのポインタを含むデータは self-referential と呼ばれます。通常、Rust の borrow checker は self-referential なデータが移動されることを防ぎます。というのも、参照はその参照先のデータより長く生存できないからです。しかし、async ブロックや関数に対するコード変換は borrow checker によって検証されません。
Pin は参照を包むラッパーです。pin されたポインタを使うと、オブジェクトをその場所から移動できません。ただし、pin されていないポインタを通してであれば、依然として移動できます。
Future トレイトの poll メソッドは、インスタンスを参照するために &mut Self ではなく Pin<&mut Self> を使います。これが、pin されたポインタでしか呼び出せない理由です。

Asyncトレイト

トレイト内の async メソッドは、1.75 リリースで安定化されました。これには、トレイト内で戻り値位置の impl Trait を使うためのサポートが必要でした。async fn の脱糖では -> impl Future<Output = ...> が含まれるためです。

しかし、ネイティブサポートがあっても、async fn にはいくつか特有の落とし穴があります。

戻り値位置の impl Trait は、スコープ内のすべてのライフタイムをキャプチャします（そのため、特定の借用パターンは表現できません）。
async トレイトは trait objects と一緒には使えません（dyn Trait はサポートされません）。

async_trait クレートは、いくつかの注意点はあるものの、マクロを通じて dyn サポートの回避策を提供します。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use async_trait::async_trait;
use std::time::Instant;
use tokio::time::{Duration, sleep};

#[async_trait]
trait Sleeper {
    async fn sleep(&self);
}

struct FixedSleeper {
    sleep_ms: u64,
}

#[async_trait]
impl Sleeper for FixedSleeper {
    async fn sleep(&self) {
        sleep(Duration::from_millis(self.sleep_ms)).await;
    }
}

async fn run_all_sleepers_multiple_times(
    sleepers: Vec<Box<dyn Sleeper>>,
    n_times: usize,
) {
    for _ in 0..n_times {
        println!("Running all sleepers...");
        for sleeper in &sleepers {
            let start = Instant::now();
            sleeper.sleep().await;
            println!("Slept for {} ms", start.elapsed().as_millis());
        }
    }
}

#[tokio::main]
async fn main() {
    let sleepers: Vec<Box<dyn Sleeper>> = vec![
        Box::new(FixedSleeper { sleep_ms: 50 }),
        Box::new(FixedSleeper { sleep_ms: 100 }),
    ];
    run_all_sleepers_multiple_times(sleepers, 5).await;
}

async_trait は簡単に使えますが、これを実現するためにヒープ割り当てを使っている点に注意してください。このヒープ割り当てには性能上のオーバーヘッドがあります。
async trait の言語サポートに関する課題は、この授業で詳しく説明するにはあまりにも深いものです。さらに掘り下げたい場合は、Niko Matsakis による this blog post を参照してください。次のキーワードも参照してください。
- RPIT: 戻り値位置の impl Trait の略。
- RPITIT: トレイト内の戻り値位置 impl Trait（トレイト内 RPIT）の略。
ランダムな時間だけスリープする新しい sleeper 構造体を作成し、それを Vec に追加してみてください。

キャンセル

future をドロップすると、それ以降その future が再び poll されることはありません。これを キャンセル と呼び、これは任意の await ポイントで発生し得ます。future がキャンセルされた場合でもシステムが正しく動作するように、注意が必要です。たとえば、デッドロックしたりデータを失ったりしてはいけません。

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io;
use std::time::Duration;
use tokio::io::{AsyncReadExt, AsyncWriteExt, DuplexStream};

struct LinesReader {
    stream: DuplexStream,
}

impl LinesReader {
    fn new(stream: DuplexStream) -> Self {
        Self { stream }
    }

    async fn next(&mut self) -> io::Result<Option<String>> {
        let mut bytes = Vec::new();
        let mut buf = [0];
        while self.stream.read(&mut buf[..]).await? != 0 {
            bytes.push(buf[0]);
            if buf[0] == b'\n' {
                break;
            }
        }
        if bytes.is_empty() {
            return Ok(None);
        }
        let s = String::from_utf8(bytes)
            .map_err(|_| io::Error::new(io::ErrorKind::InvalidData, "not UTF-8"))?;
        Ok(Some(s))
    }
}

async fn slow_copy(source: String, mut dest: DuplexStream) -> io::Result<()> {
    for b in source.bytes() {
        dest.write_u8(b).await?;
        tokio::time::sleep(Duration::from_millis(10)).await
    }
    Ok(())
}

#[tokio::main]
async fn main() -> io::Result<()> {
    let (client, server) = tokio::io::duplex(5);
    let handle = tokio::spawn(slow_copy("hi\nthere\n".to_owned(), client));

    let mut lines = LinesReader::new(server);
    let mut interval = tokio::time::interval(Duration::from_millis(60));
    loop {
        tokio::select! {
            _ = interval.tick() => println!("tick!"),
            line = lines.next() => if let Some(l) = line? {
                print!("{}", l)
            } else {
                break
            },
        }
    }
    handle.await.unwrap()?;
    Ok(())
}

コンパイラはキャンセル安全性については助けてくれません。API ドキュメントを読み、async fn がどのような状態を保持しているかを考える必要があります。
panic や ? と異なり、キャンセルは（エラーハンドリングではなく）通常の制御フローの一部です。

この例では、文字列の一部が失われます。

tick() 分岐が先に完了するたびに、next() とその buf がドロップされます。

buf を構造体の一部にすれば、LinesReader をキャンセル安全にできます:

#![allow(unused)]
fn main() {
// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct LinesReader {
    stream: DuplexStream,
    bytes: Vec<u8>,
    buf: [u8; 1],
}

impl LinesReader {
    fn new(stream: DuplexStream) -> Self {
        Self { stream, bytes: Vec::new(), buf: [0] }
    }
    async fn next(&mut self) -> io::Result<Option<String>> {
        // buf と bytes に self. を付ける。
        // ...
        let raw = std::mem::take(&mut self.bytes);
        let s = String::from_utf8(raw)
            .map_err(|_| io::Error::new(io::ErrorKind::InvalidData, "not UTF-8"))?;
        // ...
    }
}
}

Interval::tick は、tick がすでに「通知済み」かどうかを追跡しているため、キャンセル安全です。
AsyncReadExt::read は、復帰するか、まったくデータを読み取らないかのどちらかであるため、キャンセル安全です。
AsyncBufReadExt::read_line はこの例と似ており、キャンセル安全ではありません。詳細と代替手段については、そのドキュメントを参照してください。

演習

segment outline

食事する哲学者 — Async

問題の説明については、食事する哲学者を参照してください。

前回と同様に、この演習にはローカルの Cargo のインストールが必要です。以下のコードを src/main.rs というファイルにコピーし、空欄を埋めて、 cargo run がデッドロックしないことを確認してください:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::Arc;
use tokio::sync::{Mutex, mpsc};
use tokio::time;

struct Chopstick;

struct Philosopher {
    name: String,
    // left_chopstick: ...
    // right_chopstick: ...
    // thoughts: ...
}

impl Philosopher {
    async fn think(&self) {
        self.thoughts
            .send(format!("Eureka! {} has a new idea!", &self.name))
            .await
            .unwrap();
    }

    async fn eat(&self) {
        // Keep trying until we have both chopsticks
        println!("{} is eating...", &self.name);
        time::sleep(time::Duration::from_millis(5)).await;
    }
}

// tokio scheduler doesn't deadlock with 5 philosophers, so have 2.
static PHILOSOPHERS: &[&str] = &["Socrates", "Hypatia"];

#[tokio::main]
async fn main() {
    // 箸を作成する

    // 哲学者を作成する

    // 考えたり食べたりさせる

    // 彼らの考えを出力する
}

今回は Async Rust を使用するため、tokio への依存関係が必要です。次の Cargo.toml を使用できます:

[package]
name = "dining-philosophers-async-dine"
version = "0.1.0"
edition = "2024"

[dependencies]
tokio = { version = "1.26.0", features = ["sync", "time", "macros", "rt-multi-thread"] }

また、今回は tokio クレートの Mutex と mpsc モジュールを使用しなければならない点にも注意してください。

実装をシングルスレッドにできますか？

ブロードキャストチャットアプリケーション

この演習では、新しく身につけた知識を使って、ブロードキャスト型のチャットアプリケーションを実装します。クライアントはチャットサーバーに接続し、自分のメッセージを送信します。クライアントは標準入力からユーザーメッセージを読み取り、それをサーバーへ送信します。チャットサーバーは、受信した各メッセージをすべてのクライアントにブロードキャストします。

このために、サーバー側ではブロードキャストチャネルを使用し、クライアントとサーバー間の通信には tokio_websockets を使用します。

新しい Cargo プロジェクトを作成し、次の依存関係を追加してください。

Cargo.toml:

[package]
name = "chat-async"
version = "0.1.0"
edition = "2024"

[dependencies]
futures-util = { version = "0.3.32", features = ["sink"] }
http = "1.4.0"
tokio = { version = "1.52.1", features = ["full"] }
tokio-websockets = { version = "0.13.2", features = ["client", "fastrand", "server", "sha1_smol"] }

必要な API

tokio と tokio_websockets から次の関数が必要になります。時間をかけて API に慣れておいてください。

WebSocketStream に実装されている StreamExt::next(): WebSocket ストリームからメッセージを非同期に読み取るため。
WebSocketStream に実装されている SinkExt::send(): WebSocket ストリーム上でメッセージを非同期に送信するため。
Lines::next_line(): 標準入力からユーザーメッセージを非同期に読み取るため。
Sender::subscribe(): ブロードキャストチャネルを購読するため。

2 つのバイナリ

通常、Cargo プロジェクトでは 1 つのバイナリと 1 つの src/main.rs ファイルしか持てません。このプロジェクトでは、2 つのバイナリが必要です。1 つはクライアント用、もう 1 つはサーバー用です。これらを 2 つの別々の Cargo プロジェクトにすることもできますが、ここでは 2 つのバイナリを持つ 1 つの Cargo プロジェクトにまとめます。これを機能させるには、クライアントとサーバーのコードを src/bin の下に置く必要があります（ドキュメントを参照）。

次のサーバーコードとクライアントコードを、それぞれ src/bin/server.rs と src/bin/client.rs にコピーしてください。あなたのタスクは、以下の説明に従ってこれらのファイルを完成させることです。

src/bin/server.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use futures_util::sink::SinkExt;
use futures_util::stream::StreamExt;
use std::error::Error;
use std::net::SocketAddr;
use tokio::net::{TcpListener, TcpStream};
use tokio::sync::broadcast::{Sender, channel};
use tokio_websockets::{Message, ServerBuilder, WebSocketStream};

async fn handle_connection(
    addr: SocketAddr,
    mut ws_stream: WebSocketStream<TcpStream>,
    bcast_tx: Sender<String>,
) -> Result<(), Box<dyn Error + Send + Sync>> {

    // TODO: ヒントについては、以下のタスクの説明を参照してください。

}

#[tokio::main]
async fn main() -> Result<(), Box<dyn Error + Send + Sync>> {
    let (bcast_tx, _) = channel(16);

    let listener = TcpListener::bind("127.0.0.1:2000").await?;
    println!("listening on port 2000");

    loop {
        let (socket, addr) = listener.accept().await?;
        println!("New connection from {addr:?}");
        let bcast_tx = bcast_tx.clone();
        tokio::spawn(async move {
            // Wrap the raw TCP stream into a websocket.
            let (_req, ws_stream) = ServerBuilder::new().accept(socket).await?;

            handle_connection(addr, ws_stream, bcast_tx).await
        });
    }
}

src/bin/client.rs:

// Copyright 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use futures_util::SinkExt;
use futures_util::stream::StreamExt;
use http::Uri;
use tokio::io::{AsyncBufReadExt, BufReader};
use tokio_websockets::{ClientBuilder, Message};

#[tokio::main]
async fn main() -> Result<(), tokio_websockets::Error> {
    let (mut ws_stream, _) =
        ClientBuilder::from_uri(Uri::from_static("ws://127.0.0.1:2000"))
            .connect()
            .await?;

    let stdin = tokio::io::stdin();
    let mut stdin = BufReader::new(stdin).lines();


    // TODO: ヒントについては、以下のタスクの説明を参照してください。

}

バイナリの実行

サーバーは次のように実行します。

cargo run --bin server

クライアントは次のように実行します。

cargo run --bin client

タスク

src/bin/server.rs の handle_connection 関数を実装してください。
- ヒント: tokio::select! を使って、継続的なループ内で 2 つのタスクを並行して実行します。1 つのタスクはクライアントからメッセージを受信してブロードキャストします。もう 1 つはサーバーが受信したメッセージをクライアントへ送信します。
src/bin/client.rs の main 関数を完成させてください。
- ヒント: これまでと同様に、tokio::select! を継続的なループ内で使って 2 つのタスクを並行して実行します: (1) 標準入力からユーザーメッセージを読み取ってサーバーへ送信すること、(2) サーバーからメッセージを受信してユーザーに表示すること。
任意: 完了したら、メッセージの送信者以外のすべてのクライアントにメッセージをブロードキャストするようにコードを変更してください。

解答

食事する哲学者 — Async

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::Arc;
use tokio::sync::{Mutex, mpsc};
use tokio::time;

struct Chopstick;

struct Philosopher {
    name: String,
    left_chopstick: Arc<Mutex<Chopstick>>,
    right_chopstick: Arc<Mutex<Chopstick>>,
    thoughts: mpsc::Sender<String>,
}

impl Philosopher {
    async fn think(&self) {
        self.thoughts
            .send(format!("Eureka! {} has a new idea!", &self.name))
            .await
            .unwrap();
    }

    async fn eat(&self) {
        // Keep trying until we have both chopsticks
        // Pick up chopsticks...
        let _left_chopstick = self.left_chopstick.lock().await;
        let _right_chopstick = self.right_chopstick.lock().await;

        println!("{} is eating...", &self.name);
        time::sleep(time::Duration::from_millis(5)).await;

        // The locks are dropped here
    }
}

// tokio scheduler doesn't deadlock with 5 philosophers, so have 2.
static PHILOSOPHERS: &[&str] = &["Socrates", "Hypatia"];

#[tokio::main]
async fn main() {
    // Create chopsticks
    let mut chopsticks = vec![];
    PHILOSOPHERS
        .iter()
        .for_each(|_| chopsticks.push(Arc::new(Mutex::new(Chopstick))));

    // Create philosophers
    let (philosophers, mut rx) = {
        let mut philosophers = vec![];
        let (tx, rx) = mpsc::channel(10);
        for (i, name) in PHILOSOPHERS.iter().enumerate() {
            let mut left_chopstick = Arc::clone(&chopsticks[i]);
            let mut right_chopstick =
                Arc::clone(&chopsticks[(i + 1) % PHILOSOPHERS.len()]);
            if i == PHILOSOPHERS.len() - 1 {
                std::mem::swap(&mut left_chopstick, &mut right_chopstick);
            }
            philosophers.push(Philosopher {
                name: name.to_string(),
                left_chopstick,
                right_chopstick,
                thoughts: tx.clone(),
            });
        }
        (philosophers, rx)
        // tx is dropped here, so we don't need to explicitly drop it later
    };

    // Make them think and eat
    for phil in philosophers {
        tokio::spawn(async move {
            for _ in 0..100 {
                phil.think().await;
                phil.eat().await;
            }
        });
    }

    // Output their thoughts
    while let Some(thought) = rx.recv().await {
        println!("Here is a thought: {thought}");
    }
}

ブロードキャストチャットアプリケーション

src/bin/server.rs:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use futures_util::sink::SinkExt;
use futures_util::stream::StreamExt;
use std::error::Error;
use std::net::SocketAddr;
use tokio::net::{TcpListener, TcpStream};
use tokio::sync::broadcast::{Sender, channel};
use tokio_websockets::{Message, ServerBuilder, WebSocketStream};

async fn handle_connection(
    addr: SocketAddr,
    mut ws_stream: WebSocketStream<TcpStream>,
    bcast_tx: Sender<String>,
) -> Result<(), Box<dyn Error + Send + Sync>> {

    ws_stream
        .send(Message::text("Welcome to chat! Type a message".to_string()))
        .await?;
    let mut bcast_rx = bcast_tx.subscribe();

    // A continuous loop for concurrently performing two tasks: (1) receiving
    // messages from `ws_stream` and broadcasting them, and (2) receiving
    // messages on `bcast_rx` and sending them to the client.
    loop {
        tokio::select! {
            incoming = ws_stream.next() => {
                match incoming {
                    Some(Ok(msg)) => {
                        if let Some(text) = msg.as_text() {
                            println!("From client {addr:?} {text:?}");
                            bcast_tx.send(text.into())?;
                        }
                    }
                    Some(Err(err)) => return Err(err.into()),
                    None => return Ok(()),
                }
            }
            msg = bcast_rx.recv() => {
                ws_stream.send(Message::text(msg?)).await?;
            }
        }
    }
}

#[tokio::main]
async fn main() -> Result<(), Box<dyn Error + Send + Sync>> {
    let (bcast_tx, _) = channel(16);

    let listener = TcpListener::bind("127.0.0.1:2000").await?;
    println!("listening on port 2000");

    loop {
        let (socket, addr) = listener.accept().await?;
        println!("New connection from {addr:?}");
        let bcast_tx = bcast_tx.clone();
        tokio::spawn(async move {
            // Wrap the raw TCP stream into a websocket.
            let (_req, ws_stream) = ServerBuilder::new().accept(socket).await?;

            handle_connection(addr, ws_stream, bcast_tx).await
        });
    }
}

src/bin/client.rs:

// 著作権 2024 Google LLC
// SPDX-License-Identifier: Apache-2.0

use futures_util::SinkExt;
use futures_util::stream::StreamExt;
use http::Uri;
use tokio::io::{AsyncBufReadExt, BufReader};
use tokio_websockets::{ClientBuilder, Message};

#[tokio::main]
async fn main() -> Result<(), tokio_websockets::Error> {
    let (mut ws_stream, _) =
        ClientBuilder::from_uri(Uri::from_static("ws://127.0.0.1:2000"))
            .connect()
            .await?;

    let stdin = tokio::io::stdin();
    let mut stdin = BufReader::new(stdin).lines();

    // Continuous loop for concurrently sending and receiving messages.
    loop {
        tokio::select! {
            incoming = ws_stream.next() => {
                match incoming {
                    Some(Ok(msg)) => {
                        if let Some(text) = msg.as_text() {
                            println!("From server: {}", text);
                        }
                    },
                    Some(Err(err)) => return Err(err),
                    None => return Ok(()),
                }
            }
            res = stdin.next_line() => {
                match res {
                    Ok(None) => return Ok(()),
                    Ok(Some(line)) => ws_stream.send(Message::text(line.to_string())).await?,
                    Err(err) => return Err(err.into()),
                }
            }

        }
    }
}

イディオマティックなRustへようこそ

Rustの基礎では、Rust の構文と中核概念を紹介しました。ここからさらに一歩進みます。プロジェクトで Rust を 効果的に 使うにはどうすればよいのでしょうか。イディオマティックな Rust とはどのようなものでしょうか。

このコースには明確な方針があります。いくつかのパターンを勧め、そうでないものからは距離を置くよう促します。とはいえ、プロジェクトによって必要は異なることも理解しています。皆さん自身のプロジェクトの文脈や制約の中で、十分な情報に基づいた判断ができるよう、必要な情報は常に提供します。

⚠️ このコースは現在も活発に開発中です。

内容は頻繁に変わる可能性があり、まだ見つかっていない誤りが含まれているかもしれません。それでも、ぜひひととおり目を通し、早い段階でフィードバックをお寄せください！

スケジュール

session outline

このコースでは、以下に挙げるトピックを扱います。各トピックは、その複雑さや関連性に応じて、1枚または複数枚のスライドで扱います。

対象読者

C、C++11 以降、Java 7 以降、Python 2 または 3、Go、あるいは同様の命令型プログラミング言語で、少なくとも 2〜3 年のコーディング経験があるエンジニアを対象としています。Swift、Kotlin、C#、TypeScript のような、よりモダンで機能豊富な言語の経験は前提としません。

API設計の基礎

黄金律: 呼び出し箇所での明瞭さと読みやすさを最優先する。人は、呼び出される関数の宣言を読むよりも、呼び出し箇所を読むほうにずっと多くの時間を費やす。
APIを予測可能にする
- 命名規則に従う（大文字・小文字の規約に従い、標準ライブラリですでに先例のある語彙を優先する。たとえば、メソッド名は “push_back” ではなく “push”、“empty” ではなく “is_empty” などにする）
- 標準ライブラリの語彙型やトレイトを理解し、APIでそれらを使う。何かが基本的な型やアルゴリズムのように思えるなら、まず標準ライブラリを確認する。
- この講義の後半で扱う、十分に確立されたAPI設計パターンを使う（例: newtype、所有型/ビュー型のペア、エラーハンドリング）
意味があり実用的なドキュメントコメントを書く（例: アンダースコアを空白に置き換えてメソッド名をただ繰り返すだけにしない、すべての markdown タグを埋めるためだけに同じ情報を繰り返さない、使用例を示す）

型システムを活用する

enum、struct、型エイリアスの簡単なおさらい
newtype パターンとカプセル化: 検証するのではなく、パースする
拡張トレイト: 追加の振る舞いを提供したいだけなら newtype パターンは避ける
RAII、スコープガード、drop bomb: Drop を使ってリソースをクリーンアップし、アクションを発火させ、不変条件を強制する
「トークン」型: 特定の操作を実行したことをユーザーに証明させる
typestate パターン: 正しい状態遷移をコンパイル時に強制する
借用チェッカーを使って、メモリ所有権とは無関係な不変条件を強制する
- 標準ライブラリの OwnedFd/BorrowedFd
- ブランド付き型

借用チェッカーと戦わない

「所有」型と「ビュー」型: &str と String、Path と PathBuf など
所有権の要件を隠さない: 隠れた .clone() を避け、Cow を活用する
所有権の境界に沿って型を分割する
所有権の階層を木構造のように設計する
循環依存を管理する戦略: 参照カウント、参照の代わりにインデックスを使う
内部可変性（Cell、RefCell）
ユーザー定義データ型のライフタイムパラメータを扱う

Rustにおけるポリモーフィズム

トレイトとジェネリック関数の簡単なおさらい
Rustには継承がない: その意味するところは何か？
- ポリモーフィズムに enum を使う
- ポリモーフィズムにトレイトを使う
- コンポジションを使う
- 最も適切なパターンはどう選べばよいか？
ジェネリクスを扱う
- 引数として使うなら、関数のジェネリック型パラメータにするべきか、それともトレイトオブジェクトにするべきか？
- トレイト境界はジェネリックパラメータを参照している必要はない
- トレイトにおける型パラメータ: ジェネリックパラメータにするべきか、関連型にするべきか？
マクロ: トレイトだけでは不十分な（あるいは複雑すぎる）ときに、コードをDRYに保つための有用なツール

エラーハンドリング

エラーの目的は何か？回復か、報告か。
Result と Option
良いエラーを設計する:
- エラーのスコープを定める。
- エラーが上位へ伝播し、スコープの境界をまたぐ際に、追加のコンテキストを保持する。
- Error トレイトを活用して、完全なエラーチェーンを追跡する。
- thiserror を活用して、エラー型定義時のボイラープレートを減らす。
- anyhow
Result<Result<T, RecoverableError>, FatalError> を使って、致命的なエラーと回復可能なエラーを区別する。

API 設計の基礎

segment outline

意味のあるドキュメントコメント

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// クライアント向け API // ❌ 詳細が不足しています
pub mod client {}

/// A から B への関数 // ❌ 冗長です
fn a_to_b(a: A) -> B {...}
 
/// データベースに接続します。 // ❌ 詳細が不足しています
fn connect() -> Result<(), Error> {...}

ドキュメントコメントは、開発者が最もよく接するドキュメント形式です。
優れたドキュメントコメントは、明らかな情報を言い換えることなく、コード、名前、型だけでは伝えられない情報を提供します。

誰に向けて書いていますか？

同僚、協力者、普段はほとんど声を上げない API ユーザー、それとも自分自身ですか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 専門家は専門家に向けて書く
/// 借用チェッカーのために MIR を正準化します。  
///  
/// このパスは、MIR から LLVM-IR への変換に進む前に、  
/// すべての借用が NLL-Polonius の制約に適合することを保証します。  
pub fn canonicalize_mir(mir: &mut Mir) {
    // ...
}

// 専門家は初学者に向けて書く
/// 借用チェックに向けて中間レベル IR（MIR）を準備します。  
///  
/// 借用チェッカーは、単純化された「正準」形式の MIR を対象に動作します。  
/// この関数はその変換を行います。これは、コード生成の  
/// 最終段階に進むための前提条件です。  
///  
/// Rust の中間表現について詳しくは、  
/// [rustc-dev-guide](https://rustc-dev-guide.rust-lang.org/mir/index.html) を参照してください。  
pub fn canonicalize_mir(mir: &mut Mir) {
    // ...
}

背景: 知識の呪いとは、専門家が他者も自分と同じレベルの専門知識と視点を持っていると想定してしまう認知バイアスです。
動機: 読者は、あなたと同じレベルの専門知識や同じ視点を持っているわけではありません。自分のような人に向けて書くのではなく、他者に向けて書いてください。
意図せず自分に向けて書いてしまうと、伝えたい要点や説明したい概念が相手に理解されない原因になります。
ドキュメントを読んでいく中で実用的な情報を見つけられずに苦労している、自分自身の過去の姿や、これまでに見てきた誰かを思い浮かべてください。

コードベースのどの領域に doc comment の手当てが必要かを考えるときは、そうした人物像を念頭に置いてください。
誰に向けて書いていますか？
回りくどく長大な doc comment の中から重要な詳細を見つけられずに苦労している、自分自身の過去の姿や、これまでに見てきた誰かも思い浮かべてください。情報を詰め込みすぎないでください。
常に問いかけてください: このドキュメントは API ユーザーにとって理解の妨げになっていないか。必要なことを素早く把握できるか、あるいは必要な情報がどこにあるかを見つけられるか。
常に考慮してください: API レベルのドキュメントは専門家も読みます。doc comment は読者にその分野の基礎を教えるのに適した場所ではないかもしれません。その場合は、参照先を示し、名前を挙げてください。詳しい長文のドキュメントへ誘導しましょう。

ライブラリとアプリケーションのドキュメント

基本的な API について、名前や型シグネチャを繰り返すような、詳細なドキュメントを目にすることがあるかもしれません。安定していて再利用性の高いコードであれば、十分な投資対効果を見込んでそれが可能です。

ライブラリコード:
- ユーザー数が多い、
- 関連する幅広い問題を解決する、
- API が安定していることが多い。
アプリケーションコードはその逆です:
- ユーザーが少ない、
- 特定の問題を解決する、
- 変更が頻繁に入る。

コードを繰り返し、同じ API を多くの例やケーススタディとともに何度も取り上げるような、詳細なドキュメントを見たことがあるかもしれません。文脈が重要です。誰が、誰のために書いたのか、どのような題材を扱っているのか、そしてどのようなリソースを持っていたのか、ということです。
基本的なライブラリコードには、詳細なドキュメントが付くことがよくあります。たとえば、標準ライブラリや、Serde や Tokio のような再利用性の高いフレームワークです。このコードを担当するチームは、多くの場合、そのような詳細なドキュメントを書いて維持するための適切なリソースを持っています。
ライブラリコードは安定していることが多いため、手直しが必要になるまでに、コミュニティは詳細なドキュメントから大きな恩恵を引き出せます。
アプリケーションコードは逆の特性を持っています。ユーザーは少なく、特定の問題を解決し、頻繁に変化します。アプリケーションコードでは、詳細なドキュメントはすぐに古くなり、誤解を招くものになります。また、最新の状態に保たれている間でさえ、定型的なドキュメントから十分な投資対効果を得るのは難しいです。ユーザーが少ないからです。

ドキュメントコメントの構造

簡潔な1文の要約。
より詳細な説明。
特別なセクション: コード例、パニック、エラー、安全性の前提条件。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// 文字列からキーと値のペアをパースします。
///
/// 入力文字列は `key=value` の形式でなければなりません。最初の '=' より前は
/// キーとして扱われ、それ以降は値として扱われます。
///
/// # Examples
///
/// ```
/// use my_crate::parse_key_value;
/// let (key, value) = parse_key_value("lang=rust").unwrap();
/// assert_eq!(key, "lang");
/// assert_eq!(value, "rust");
/// ```
///
/// # Panics
///
/// 入力が空の場合にパニックします。
///
/// # Errors
///
/// 文字列に `=` が含まれていない場合は `ParseError::Malformed` を返します。
///
/// # Safety
///
/// ...の場合、未定義動作を引き起こします。
unsafe fn parse_key_value(s: &str) -> Result<(String, String), ParseError>

enum ParseError {
    Empty,
    Malformed,
}

Rust で慣用的なドキュメントコメントは、開発者が読みやすいよう、慣例的な構造に従います。
ドキュメントコメントの最初の行は、関数を1文で要約したものです。簡潔に保ちましょう。rustdoc やその他のツールはこれを強く前提としており、モジュールレベルのドキュメントや検索結果では短い要約として使われます。
次に、その関数の「なぜ」と「何を」について、複数段落にわたる長めの説明を記載できます。Markdown を使います。
最後に、トップレベルのセクション見出しを使って内容を整理できます。ドキュメントコメントでは、# Examples、# Panics、# Errors、# Safety がセクションタイトルとしてよく使われます。Rust コミュニティでは、API の関連する側面がこれらのセクションで文書化されていることが期待されています。
Rust は安全性と正しさを非常に重視しています。エラー時のコードの挙動を文書化することは、信頼性の高いソフトウェアを書くうえで不可欠です。
# Panics: 関数がパニックする可能性がある場合は、それが起こりうる具体的な条件を必ず文書化しなければなりません。呼び出し側は何を避けるべきかを知る必要があります。
- 質問: Result を返すことを好む言語で、なぜパニックの文書化がそれほど重要なのかをクラスに問いかけてください。
- 回答: パニックは、回復不能なプログラミングエラーのためのものです。呼び出し側によって契約が破られた場合を除き、ライブラリはパニックすべきではありません。これらの契約を文書化することは不可欠です。
# Errors: Result を返す関数では、このセクションでどのような種類のエラーが、どのような状況で発生しうるかを説明します。呼び出し側は、堅牢なエラーハンドリングロジックを書くためにこの情報を必要とします。
# Safety コメントでは、unsafe 関数に対して満たさなければならない安全性の前提条件を文書化します。そうしないと、未定義動作が発生する可能性があります。これについては Unsafe Rust のディープダイブで詳しく扱います。

キーワードを挙げ、トピックへの道しるべを示す

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// [MARC 21 レコードリーダー][leader]のパース済み表現。
///
/// MARC リーダーには、レコードの残りの部分をどのように解釈するかを規定  
/// するメタデータが含まれます。
///
/// [leader]: https://www.loc.gov/marc/bibliographic/bdleader.html
pub struct Leader {
    /// スキーマと、その後に続く有効なデータフィールドの集合を決定します。  
    ///
    /// リーダーの byte 6 にエンコードされています。  
    pub type_of_record: char,

    /// より大きな著作物内の記事に対する "773 Host  
    /// Item Entry" のような関連フィールドをパースするかどうかを示します。  
    ///  
    /// リーダーの byte 7 にエンコードされています。  
    pub bibliographic_level: char,
    // ... その他のフィールド
}

/// [MARC 21 レコードリーダー][leader]をパースします。
///  
/// リーダーは固定長の 24 バイトのフィールドとしてエンコードされており、  
/// レコードの残りの部分の意味的な解釈を決定するメタデータを含みます。  
/// 
/// [leader]: https://www.loc.gov/marc/bibliographic/bdleader.html
pub fn parse_leader(leader_bytes: &[u8; 24]) -> Result<Leader, MarcError> {
    todo!()
}

#[derive(Debug)]
pub enum MarcError {}

動機: ドキュメントの読者は、好きな小説の会話文を読むように、あなたの doc comment の大半を精読するわけではありません。

ユーザーはたいてい、その場で解決しようとしている問題に関係するドキュメントの箇所を見つけるために、ざっと読み、拾い読みします。

自分に関係のあるキーワードや、道しるべになりそうな語を見つけると、ユーザーは文書化されている対象の前後の文脈を探し始めます。
クラスに質問: ドキュメントでは何を探しますか? ここでは、一般的にドキュメントに求める価値ではなく、その場その場の情報探索に注目してください。
キーワードは段落のなるべく冒頭で挙げる。

これはざっと読むことや拾い読みの助けになります。段落の最初の数語が最も目に入りやすいからです。

ざっと読むことや拾い読みは、ユーザーがテキスト内を素早く移動する助けになります。キーワードをできるだけ段落の冒頭近くに置くことで、関連情報を見つけたかどうかをより早く判断できます。
道しるべは示す。ただし説明しすぎない。

ユーザーが API 設計者と同じドメイン知識を持っているとは限りません。

本筋ではない専門用語や頭字語に触れる場合は、初心者がすぐに追加で調べられるだけの十分な文脈を持ち込むようにしてください。
道しるべの提示は自然に起こることもよくあります。たとえば、さまざまなプロトコルに言及するネットワーキングライブラリを考えてみてください。しかし、自然にそうならない場合は、何に触れるべきかを選ぶのが難しくなります。

経験則: API 開発者は「初心者が自分の文書化しているものに出会ったら、どの情報源を調べるだろうか。また、紛らわしい誤った手がかりを追ってしまう可能性はあるだろうか」と自問すべきです。

ユーザーには、自分で主題を調べられるだけの十分な情報を与えるべきです。
すでに扱った、命名規則を含む API の予測可能性も、道しるべの一形態です。

冗長さを避ける

名前と型シグネチャは多くの情報を伝えるため、それをコメントで繰り返さないでください。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 名前/型の情報を繰り返している。省略できる！
/// str から ipv4 を解析する。失敗モードには option を返す。
fn parse_ip_addr_v4(input: &str) -> Option<IpAddrV4> { ... }

// フィールド名から明らかな情報を繰り返している。省略できる！
struct BusinessAsset {
    /// 顧客 id。
    customer_id: u64,
}

// 最初に型名に言及している。こうしないこと！
/// `ServerSynchronizer` はローカルの編集を送信するオーケストレーターである [...]
struct ServerSynchronizer { ... }

// より良い！目的に焦点を当てている。
/// ローカルの編集を送信する [...]
struct ServerSynchronizer { ... }

// 最初に関数名に言及している。こうしないこと！
/// `sync_to_server` はローカルの編集を送信する [...]
fn sync_to_server(...)

// より良い！関数に焦点を当てている。
/// ローカルの編集を送信する [...]
fn sync_to_server(...)

動機: 名前/シグネチャの情報を単に繰り返すだけのドキュメントは、API 利用者に何も新しい情報を提供しません。

さらに、シグネチャの情報は時間とともに変わる可能性がありますが、それに合わせてドキュメントが更新されるとは限りません。
これは陥りやすいパターンです！

「常にコードをドキュメント化せよ」という助言に対する素朴なアプローチでは、この助言を文字どおりに受け取ってしまい、その意図には従えていません。

一部のツールはドキュメントの網羅率を強制することがありますが、この種のドキュメントは手軽な対処になりがちです。
ドキュメントの異なるモードの目的を意識してください。
- ライブラリコードは、それが何のために使われるのか、その範囲や、それを使おうとしている人々の幅広さを理解した形でドキュメント化する必要があります。
- アプリケーションコードは目的がより限定的であるため、もっと単純で直接的でも問題ありません。
アイテムの名前は、そのアイテムのドキュメントの一部です。

同様に、関数のシグネチャはその関数のドキュメントの一部です。

したがって、doc comment の記述を始める時点で、アイテムのいくつかの側面はすでにカバーされています。

項目を並べること自体を目的に、情報を繰り返さないでください。
標準ライブラリの多くの領域でドキュメントが最小限なのは、名前と型だけで十分な情報が得られるからです。

経験則: 利用者の視点から見て、何の情報が不足しているでしょうか。名前、シグネチャ、実装の無関係な詳細以外で考えてください。
Rust や標準ライブラリの基本事項を説明しないでください。読者は言語そのものについて中級程度の理解を持っていると想定してください。自分の API のドキュメント化に集中してください。

たとえば、関数が Result を返す場合、Result や疑問符演算子がどのように動作するかを説明する必要はありません。

さらに詳しく

#![warn(missing_docs)] lint は、doc comment の存在を強制するのに役立つことがありますが、開発者に大きな負担を課し、その結果としてこのような質の低いコメントを書くパターンに寄りかかる原因になり得ます。

この種の lint は、プロジェクトの保守担当者がその要求に継続して対応できる場合にのみ有効にすべきであり、通常はアプリケーションコードではなくライブラリスタイルの crate に対してのみ有効にすべきです。

名前とシグネチャは完全なドキュメントではない

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 悪い例
/// 操作が完了したときに解決される future を返します。  
fn sync_to_server() -> Future<Bool>;

// 良い例
/// ローカルの編集内容をサーバーに送信します。競合する編集があった場合は、  
/// それらを上書きします。  
fn sync_to_server() -> Future<Bool>;

// 悪い例
/// メールの送信に失敗した場合はエラーを返します。  
fn send(&self, email: Email) -> Result<(), Error>;

// 良い例
/// メールをバックグラウンド配信のためにキューに入れ、すぐに返ります。  
///
/// メールの形式が不正な場合は、即座にエラーを返します。  
fn send(&self, email: Email) -> Result<(), Error>;

動機: API 設計者は、関数名とシグネチャだけで十分なドキュメントになるという考えに過度にコミットしてしまうことがあります。
繰り返しになりますが、名前と型はドキュメントの一部です。常にそれだけで全体像を語れるわけではありません。
関数の名前、パラメータ名、またはその関数のシグネチャではカバーされない関数の振る舞いを考えてください。
- sync_to_server() が何かを上書きする可能性があること（データ損失につながる）は明白ではないため、それを文書化します。
- メールの例では、その関数が成功を返してもメールの配信には失敗する可能性があることは明白ではありません。
曖昧さをなくすためにコメントを使います。ニュアンスのある振る舞いや、API の利用者がつまずく可能性のある振る舞いは、文書化するべきです。

「How」と「Where」ではなく、「Why」と「What」

頻繁に変わりうる無関係な詳細をドキュメント化するのは避けてください。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 悪い例
/// `User` レコードを Postgres データベースに保存します。  
///  
/// この関数は新しい接続を開いてトランザクションを開始します。指定された  
/// ID を持つユーザーが存在するかを `SELECT` クエリで確認します。ユーザーが  
/// 見つからない場合は、`INSERT` を実行します。  
///  
/// # エラー  
///  
/// いずれかのデータベース操作が失敗した場合は、エラーを返します。  
pub fn save_user(user: &User) -> Result<(), db::Error> {
    // ...
}

// 良い例
/// ユーザーレコードをアトミックに保存します。  
///  
/// # エラー  
///  
/// ユーザー（キーは `user.username` フィールド）がすでに存在する場合は、  
/// `db::Error::DuplicateUsername` エラーを返します。  
pub fn save_user(user: &User) -> Result<(), db::Error> {
    // ...
}

動機: ユーザーが知りたいのは、実装の詳細ではなく API の契約（この関数について何が保証されるか）です。
動機: 実装の詳細を説明するドキュメントコメントは、契約を説明するコメントよりも早く古くなります。

内部情報は、ユーザーには関係ない可能性が高いです。関数のドキュメントコメントで、問題を解くために for ループを使っていると説明するとしたら、その情報に何の意味があるでしょうか。
実装を説明する必要がある場合もあるかもしれませんが、それはおそらく、その API の利用者が代わりに認識しておくべき効果や不変条件があるためです。

実装の詳細そのものではなく、それらの効果や不変条件に焦点を当ててください。

繰り返します。実装の詳細は変わりうるだけでなく実際に変わるため、これらの詳細は説明しないでください。
何がどこで使われているかについても触れないでください。これもまた、その情報がすぐに古くなりうる別の例です。

演習: 詳細をめぐる対話

不要な詳細が、ときには、実際には文書化が必要な何かを示していることがあります。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// スライスをソートします。再帰的クイックソートを使用して実装されています。
fn sort_quickly<T: Ord>(to_sort: &mut [T]) { ... }

受講者に尋ねる: このコメントはこの関数に必要でしょうか?
進行: PM やマネージャーなど、受講者と作者の間に立つ仲介役を演じながら、この関数の作者はこのコメントに難色を示していると受講者に伝えます。
受講者に尋ねる: この種のコメントの作者が難色を示すのはなぜでしょうか?

受講者が、なぜ作者が難色を示すのかを尋ねても、まだ詳細は伝えないでください。
受講者に尋ねる: 呼び出し側は、使われているソートアルゴリズムをなぜ知る必要があるのでしょうか?
進行: 元の作者との会議から「戻ってきた」ことにして、この関数は信頼できないデータに対して呼び出されるアプリケーションコードであり、そのデータはソート中に二次時間の挙動を引き起こすよう悪意を持って細工される可能性があると受講者に説明します。
受講者に尋ねる: ここまで詳細がわかった今、この関数にはどのようにコメントすべきでしょうか?

つまり、あることが実装の詳細かどうかは、その公開された契約が何か（たとえば、信頼できないデータを渡せるかどうか）に大きく依存し、慎重な判断が必要です。

コメントが for ループを使っていることを説明している場合（不要な詳細）と、内部で使われるアルゴリズムに既知の悪用手法が存在することを説明している場合（ドキュメントが注意を向ける先を誤っている）の違いを考えてください。

予測可能な API

命名規則に従い、一般的なトレイトを実装することで、API を予測可能に保ちましょう。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/* これはどのトレイトを実装すべきでしょうか？ */
pub struct ApiToken(String);

impl ApiToken {
    // このメソッドは何と呼ぶべきでしょうか？
    pub unsafe fn ____(String) -> ApiToken;
}

予測可能な API とは、名前、型、シグネチャといった表面的な詳細に基づいて、ユーザーが API の一部について推測できる API のことです。
ここでは、Rust における一般的な命名規則を見ていきます。これにより、ユーザーは自分のニーズに合うメソッドをすばやく探し、既存のコードもすばやく理解できるようになります。
また、型が実装する一般的なトレイトと、自分で定義する型に対してそれらをいつ実装すべきかも見ていきます。

命名規則

- 可読性と予測可能性の中核を成す要素の 1 つは、関数名の構成方法です。

正式で一貫して適用される命名規則があることで、開発者は名前をドメイン固有言語のように扱い、メソッドの機能やユースケースをすばやく理解できます。

Rust コミュニティは早い段階で命名規則を発展させたため、標準ライブラリのような場所でもその多くは一貫しています。

ここでは Rust のメソッド名を構成する一般的な要素を学び、標準ライブラリからの例と、それに伴ういくつかの文脈を示します。

`new`: コンストラクタ関数

Rust には new キーワードはありません。代わりに、new は一般的な接頭辞またはメソッド名そのものとして使われます。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> Vec<T> {
    fn new() -> Vec<T>;
}

impl<T> Box<T> {
    fn new(T) -> Box<T>;
}

Rust には新しい値を初期化するための new キーワードはなく、呼び出す関数か、直接値を設定する値しかありません。

new は、型に対する「デフォルト」のコンストラクタ関数として慣習的に使われます。これは構文上の特別な意味を持ちません。

これは接頭辞である場合もあり、引数を取る場合もあります。

`is_[condition]`: ブール値チェック

データ型に関する条件をチェックします。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> Vec<T> {
    fn is_empty(&self) -> bool;
}

impl f32 {
    fn is_nan(self) -> bool;
}

impl u32 {
    fn is_power_of_two(self) -> bool;
}

値に対するブール条件。
名前に not を含むメソッドよりも、is 接頭辞が推奨されます。標準ライブラリのメソッドに is_not_ の使用例はありません。単に !value.is_[condition] を使ってください。

`[method]_mut`: 可変参照アクセス

アクセス系メソッド用のサフィックス。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> Vec<T> {
    fn get(&self, index: usize) -> Option<&T>;
    fn get_mut(&mut self, index: usize) -> Option<&mut T>;
}

impl<T> [T] {
    fn iter(&self) -> impl Iterator<Item = &T>;
    fn iter_mut(&mut self) -> impl Iterator<Item = &mut T>;
}

メソッドが可変参照へのアクセスを提供することを示すサフィックス。
このメソッドを呼び出す対象の値に対する可変アクセスが必要です。
Rust では可変性を抽象化できないため、可変にも不変にも使えるメソッドを書く方法はありません。代わりに、関数を対で定義します。不変版にはより短い名前を付け、可変版には _mut サフィックスを付けます。

コンストラクターとしての `with`

コンストラクターとしての with は、型の構成要素のうち 1 つの値を設定し、残りにはデフォルト値を使用します。

with は「特定の設定を持つ <Type>」のような意味です。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> Vec<T> {
    // 少なくとも N 要素分のメモリを初期化します。len はまだ 0 のままです。
    fn with_capacity(capacity: usize) -> Vec<T>;
}

with はコンストラクターの接頭辞として使われることがあり、最も一般的なのは、コンテナー型向けのヒープメモリを初期化するときです。

この場合、new コンストラクターとは異なります。これは、通常 API 利用者が気にしないものの値を指定するためです。
クラスへの問い: なぜ from_capacity ではないのでしょうか？

答え: メソッド呼び出しとしての Vec::with_capacity は、「capacity を持つ Vec を作る」として自然に読めます。Vec::new_capacity や Vec::from_capacity を書いたときにどう読めるかを考えると、何が起きているのかをうまく伝えられません。

コピーして設定する `with`

値をコピーしつつ、特定の方法で変更も行う場合に with が使われます。

with は「<value> のようなものだが、何かが異なる」という意味です。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl Path {
    // 単純化した例です。 "/home/me/mortgage.pdf".with_extension("mov") =>
    // "/home/me/mortgage.mov"
    fn with_extension(&self, ext: &OsStr) -> PathBuf;
}

値をコピーし、その後でその値の特定の部分を変更するメソッドには with を使えます。

ここでの例では、with_extension は &Path のデータを新しい PathBuf にコピーしますが、拡張子は別のものに変更します。

元の Path は変更されません。

`with`: クロージャを扱う

with は、「X を行うが、計算にはこの特定の方法を使う」という意味です。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> Vec<T> {
    // 簡略化した例です。リサイズ後の長さが現在の vec のサイズより大きい場合は、
    // クロージャを使って要素を埋めます。
    pub fn resize_with(&mut self, new_len: usize, f: impl FnMut() -> T);
}

mod iter {
    // クロージャを使って、無限の遅延イテレータを作成します。
    pub fn repeat_with<A, F: FnMut() -> A>(repeater: F) -> RepeatWith<F>;
}

with は、計算において「妥当なデフォルト」の代わりに使用できる特定の関数またはクロージャがあることを伝えるために、接尾辞として使われることがあります。

by と似ています。

`try_[method]`: 特定のエラーを返す失敗しうるメソッド

Result を返す失敗しうるメソッドのプレフィックス。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl TryFrom<i32> for u32 {
    type Error = TryFromIntError;

    fn try_from(value: i32) -> Result<i64, TryFromIntError>;
}

impl<T> Receiver<T> {
    fn try_recv(&self) -> Result<T, TryRecvError>;
}

失敗する可能性があり、Result を返すメソッドに付けるプレフィックス。
TryFrom は、単一の値を受け取るコンストラクタが何らかの形で失敗しうる型のための、From に似たトレイトです。
疑問: なぜ Vec::get やその他の類似メソッドは try_get と呼ばれないのでしょうか？

既存の値への参照を返し、失敗モードが 1 つしかないため Result ではなく Option を返すメソッドは、get という名前になります。たとえば、Vec::get では「インデックスが範囲外」、 HashMap::get では「キーが存在しない」だけです。

`from`

「型変換」を強く示唆するコンストラクタ関数。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl Duration {
    fn from_days(days: u64) -> Duration;
}

impl i32 {
    fn from_ascii(src: &[u8]) -> Result<i32, ParseIntError>;
}

impl u32 {
    fn from_le_bytes(bytes: [u8; 4]) -> u32;
}

コンストラクタスタイルの、From トレイトスタイルの関数に対する接頭辞。
これらの関数は複数の引数を取ることができますが、通常は一般的なコンストラクタよりも、ユーザー自身がより多くの作業を行うことを示唆します。
ほとんどのコンストラクタスタイルの関数では、依然として new が推奨されます。from が示唆するのは、あるデータ型から別のデータ型への変換です。

`into`

self を別の型に変換するメソッドのためのプレフィックスです。self を消費し、所有権を持つ値を返します。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait IntoIterator {
    fn into_iter(self) -> Self::IntoIter;
}

impl str {
    fn into_string(self: Box<str>) -> String;
}

所有権を持つ値を消費し、それを別の型の値に変換する関数のためのプレフィックスです。
reinterpret cast ではありません。データは並べ替え、再配置、任意の形での変更が可能で、情報が失われることも含みます。
into_iter はコレクション（vec、btreeset、hashmap など）を消費し、所有権を持つ値に対するイテレータを生成します。これは、参照の値に対するイテレータを生成する iter や iter_mut とは異なります。

`to`: 値を消費しない変換

借用された値を受け取り、所有値を作成する関数に付ける接頭辞

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl str {
    fn to_owned(&self) -> String;

    fn to_uppercase(&self) -> String;
}

impl u32 {
    // `u32` は `Copy` を実装しているため、`self` を値で受け取る
    fn to_be(self) -> u32;
}

self を消費せずに新しい所有値を作成し、型変換を意味するメソッドは、to で始まる名前にします。
to で始まるメソッドは別の型を返し、非自明な型変換、あるいはデータ変換であることを強く示唆します。たとえば、str::to_uppercase です。
to メソッドは通常 &self を受け取ります。ただし、その型が Copy を実装している場合は、値として self を受け取ることもできます。これによって、その変換メソッド呼び出しで self が消費されないことも保証されます。
単に &self を受け取り、同じ型の所有値を返すメソッドを定義したいだけなら、Clone または ToOwned を実装します。
元の値を消費するメソッドを定義したい場合は、into という命名パターンを使います。
また、プリミティブ型のエンディアンを変換する関数や、newtype の値をコピーして公開する関数でも見られます。

さらに考えてみよう

クラスへの質問: to_owned と into_owned の違いは何でしょうか？

答え: to_owned は &str のような参照値に現れる一方で、into_owned は Cow （コピーオンライト）のように、参照型を保持する所有値に現れます。

Cow のような型は、借用されている参照を含んでいても、それ自体は所有されていることがあります。そのため、Cow の所有値は、それが保持していた参照型の所有値を作成するために消費されます。

`as_` と `_ref`: 参照変換

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> Rc<T> {
    // コンテナ型では非常によく見られます。Option にもあることに注目してください。
    fn as_ref(&self) -> &T;

    fn as_ptr(&self) -> *const T;
}

impl<T> Option<T> {
    fn as_ref(&self) -> Option<&T>;

    fn as_slice(&self) -> &[T];
}

含まれているデータの主要部分への借用を返すメソッド。
借用関係はたいてい単純です。戻り値は self を借用する参照です。
返される値が self を借用するのは、論理的な意味に限られる場合もあります。たとえば、as_ptr() メソッドは unsafe なポインタを返します。借用チェッカーはポインタに対する借用を追跡しません。
as メソッドを実装する型は、借用して取り出される 1 つの主要なデータを含んでいるべきです。
- データ型が、明確な主要部分を持たない多数のフィールドの集合体である場合、as という命名規則は機能しません。
- 区別する必要がある 2 つの参照ゲッターがある場合は、_ref 接尾辞を使います。

`by`: カスタム比較関数または射影

カスタムの射影関数または比較関数を受け取るメソッドに使う構成要素。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> [T] {
    fn sort(&mut self) where T: Ord;

    fn sort_by(&mut self, compare: impl FnMut(&T, &T) -> Ordering);

    fn sort_by_key<K, F>(&mut self, f: F)
    where
        F: FnMut(&T) -> K,
        K: Ord;
}

sort_by は、通常の Ord 比較ロジックを置き換えるカスタム比較関数を受け取ります。
sort_by_key は、元の要素を受け取り、ソートに使用する代替値を返す射影関数を受け取ります。これにより、構造体の特定のフィールドでソートするといったことができます。
ときには、前置詞 “by” が単に前置詞であるだけの場合もあります。
- Read::by_ref()
- Iterator::advance_by() イテレータメソッド（nightly 機能）

演習

これらの名前は、何をすると示唆していますか？
これらのシグネチャにはどのような名前を付けるべきですか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// これらのメソッドの型は何ですか？
Option::is_some // ?
slice::get // ?
slice::get_unchecked_mut // ?
Option::as_ref // ?
str::from_utf8_unchecked_mut // ?
Rc::get_mut // ?
Vec::dedup_by_key // ?

// これらの型を持つメソッドにはどのような名前を付けるべきですか？
fn ____(String) -> Self;
fn ____(&self) -> Option<&InnerType>; // InnerType の詳細は重要ではありません。
fn ____(self, String) -> Self;
fn ____(&mut self) -> Option<&mut InnerType>;

例のメソッドを順に見て、これらの関数の型がどうあるべきかを議論してください。
名前のないメソッドを順に見て、それらのメソッドにどのような名前を付けるべきかを考えてください。

不足している型の答え:
- Option::is_some(&self) -> bool
- slice::get(&self /* &[T] */, usize) -> Option<&T>
- slice::get_unchecked_mut(&self /* &[T] */, usize) -> &T（unsafe かつ簡略化したもの）
- Option::as_ref(&self /* &Option<T> */) -> Option<&T>
- str::from_utf8_unchecked_mut(v: &mut [u8]) -> &mut str（unsafe）
- Rc::get_mut(&mut self /* &mut Rc<T> */) -> Option<&mut T>（簡略化したもの）
- Vec::dedup_by_key<K: PartialEq>(&mut self /* &mut Vec<T> */, key: impl FnMut(&mut T) -> K) （簡略化したもの）不足している名前の答え:
- fn from_string(String) -> Self
- fn inner(&self) -> Option<&InnerType> または as_ref（文脈による）
- fn with_string(self, String) -> Self
- fn inner_mut(&mut self) -> Option<&mut InnerType> または as_ref_mut （文脈による）

実装すべき一般的なトレイト

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug, PartialEq, Eq, PartialOrd, Ord, Hash, Clone /* ... */)]
pub struct MyData {
    pub name: String,
    pub number: usize,
    pub data: [u8; 64],
}

トレイトは、Rust 言語における最も強力なツールの 1 つです。言語とエコシステムはそれらを使うことを前提としているため、予測可能性 の大きな部分は、ある型にどのトレイトが実装されているかにあります。
自分で作成した型にはトレイトを積極的に実装すべきですが、注意点もあります！
多くのトレイトは derive できる、つまりコンパイラプラグイン（マクロ）に実装を書かせることができる、という点を覚えておきましょう！
エコシステムのトレイト（De/Serialize など）の作者は、ユーザーが利用できる derive 実装を提供しているため、この種のトレイトを実装する際に開発者側で必要な負担はごくわずかです！

Debug

デバッグ用途の「文字列への書き込み」トレイト。

導出可能: ✅

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
pub struct Date {
    day: u8,
    month: u8,
    year: i64,
}

#[derive(Debug)]
pub struct User {
    name: String,
    date_of_birth: Date,
}

pub struct PlainTextPassword {
    password: String,
    hint: String,
}

impl std::fmt::Debug for PlainTextPassword {
    fn fmt(&self, f: &mut std::fmt::Formatter<'_>) -> std::fmt::Result {
        f.debug_struct("PlainTextPassword")
            .field("hint", &self.hint)
            .field("password", &"[omitted]")
            .finish()
    }
}

fn main() {
    let user = User {
        name: "Alice".to_string(),
        date_of_birth: Date { day: 31, month: 10, year: 2002 },
    };

    println!("{user:?}");
    println!(
        "{:?}",
        PlainTextPassword {
            password: "Password123".to_string(),
            hint: "Used it for years".to_string()
        }
    );
}

単純な「文字列への書き込み」機能を提供します。
開発中にプログラマー向けの_デバッグ情報_を整形するためのものであり、見た目やシリアライズのためのものではありません。
文字列フォーマットマクロで {:?} と {#?} の補間を使用できます。
derive/実装を行うべきでないケース: 構造体が機微なデータを保持している場合は、その型に Debug を実装すべきか検討してください。
- Debug が必要な場合は、derive するのではなく Debug を手動で実装することを検討してください。実装から機微なデータを除外してください。

Display

エンドユーザーにとっての読みやすさを優先する、「文字列へ書き込む」トレイト。

derive 可能: ❌（derive_more のようなクレートを使わない場合）

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
pub enum NetworkError {
    HttpCode(u16),
    WhaleBitTheUnderseaCable,
}

impl std::fmt::Display for NetworkError {
    fn fmt(&self, f: &mut std::fmt::Formatter<'_>) -> std::fmt::Result {
        match self {
            NetworkError::HttpCode(code) => write!(f, "HTTP Error code {code}"),
            NetworkError::WhaleBitTheUnderseaCable => {
                write!(f, "Whale attack detected – call Ishmael")
            }
        }
    }
}

fn main() {
    let http = NetworkError::HttpCode(404);
    let whale = NetworkError::WhaleBitTheUnderseaCable;

    println!("http debug: {:?}", http);
    println!("http display: {}", http);
    println!("whale debug: {:?}", whale);
    println!("whale display: {}", whale);
}

Debug に似たトレイトですが、エンドユーザーにとっての読みやすさに重点があります。
Error トレイトの前提条件です。エラー型に実装する場合は、自分以外のユーザーやプログラマーにとって説明的なエラーを提供することに重点を置いてください。
Debug と同じセキュリティ上の考慮事項があります。機密データが UI やログでどのように露出しうるかを検討してください。
Display を実装する型には、自動的に ToString も実装されます。
例のエラー型について、Debug と Display の振る舞いを比較してください。Debug の impl はコード上で現れるデータをより直接的に表す一方、Display は非プログラマーにより親しみやすいメッセージを提供することを示してください。

PartialEq と Eq

部分的等価性と完全な等価性。

導出可能: ✅

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(PartialEq, Eq)]
pub struct User { name: String, favorite_number: i32 }

fn main() {
    let alice = User { name: "alice".to_string(), favorite_number: 1_000_042 };
    let bob = User { name: "bob".to_string(), favorite_number: 42 };

    dbg!(alice == alice);
    dbg!(alice == bob);
}

等価性に関するメソッド。型が PartialEq を実装している場合、その型で ==/!= 演算子を使用できます。
型は PartialEq を実装せずに Eq を実装することはできません。
補足: Partial は「この関数に対して、この集合には妥当でない要素が存在する」ことを意味します。

これは、等価性の判定が panic することや、何らかの結果を返すことを意味するのではなく、単に、等価性が期待どおりに振る舞わない値が存在しうるということです。

たとえば浮動小数点値では、NaN は例外的な存在です。ビット単位では等しいにもかかわらず、NaN == NaN は false です。

PartialEq は、f32/f64 のような型を、完全な等価性を持つ型と区別するために存在します。
異なる型の間で PartialEq を実装することもできますが、これは主に参照/スマートポインタ型で有用です。

PartialOrd と Ord

半順序と全順序。

導出可能: ✅

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(PartialEq, PartialOrd)]
pub struct Partially(f32);

#[derive(PartialEq, Eq, PartialOrd, Ord)]
pub struct Totally {
    id: u32,
    name: String,
}

fn main() {
    let a = Totally { id: 0, name: "alice".into() };
    let b = Totally { id: 1, name: "alice".into() };
    let c = Totally { id: 0, name: "charlie".into() };

    dbg!(a.cmp(&b));
    dbg!(a.cmp(&c));
}

比較に関連するメソッドです。型が PartialOrd/Ord を実装していれば、その型に対して比較演算子（<, <=, >, >=）を使用できます。
Ord により、min、max、clamp メソッドを使用できます。
derive した場合は、定義された順序で比較されます。

enum では、これは各バリアントが、記述された順に前のものより「大きい」と見なされることを意味します。

struct では、これはフィールドが記述された順に比較されることを意味するため、Totally では name フィールドより前に id フィールドが比較されます。
前提条件: PartialOrd には PartialEq、Ord には Eq が必要です。

Ord を実装するには、型は PartialEq、Eq、PartialOrd も実装していなければなりません。
PartialEq と Eq の場合と同様に、型は PartialOrd を実装せずに Ord を実装することはできません。

それらの等価性トレイトと同様に、PartialOrd は、全順序ではない順序付けを持つ型（特に浮動小数点数）と全順序を持つ型を分けるために存在します。
ソート/検索アルゴリズムや、BTreeMap/BTreeSet スタイルのデータ型の順序を維持するために使用されます。

Hash

型に対してハッシュ化を行います。

derive 可能: ✅

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::collections::HashMap;

#[derive(PartialEq, Eq, Hash)]
pub struct User {
    id: u32,
    name: String,
}

fn main() {
    let user = User { id: 1, name: "Alice".into() };
    let mut map = HashMap::new();
    map.insert(user, "value");
}

型をハッシュアルゴリズムで使用できるようにします。最も一般的には、HashMap のようなデータ構造で使われます。
HashMap のキーとしてカスタム型を使うのが非常に簡単になります！
Hash 自体はハッシュ化ロジックを何も定義せず、代わりに型のデータを Hasher に渡すだけです。これにより、型の Hash impl を変更することなく、異なるハッシュアルゴリズムを使用できます。

Clone

型をディープコピーするか、共有可能なスマートポインタを複製します。

derive 可能: ✅

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::collections::BTreeSet;
use std::rc::Rc;

#[derive(Clone)]
pub struct LotsOfData {
    string: String,
    vec: Vec<u8>,
    set: BTreeSet<u8>,
}

fn main() {
    let lots_of_data = LotsOfData {
        string: "String".to_string(),
        vec: vec![1; 255],
        set: BTreeSet::from_iter([1, 2, 3, 4, 5, 6, 7, 8]),
    };

    // `lots_of_data` 内のすべてのデータをディープコピーする。
    let lots_of_data_cloned = lots_of_data.clone();

    let reference_counted = Rc::new(lots_of_data);

    // 値ではなく、参照カウント付きポインタをコピーする。
    let reference_copied = reference_counted.clone();
}

値を「ディープコピー」するか、Rc/Arc のような参照カウント付きポインタの場合は、そのポインタの新しいインスタンスを作成します。
実装/derive しないべき場合: 不変条件を維持するために、その値は複製されるべきではない型です。これについては、Idiomatic Rust の後の方で触れます。

Copy

Clone に似ていますが、型がビット単位でコピー可能であることを示します。

derive 可能: ✅

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug, Clone, Copy)]
pub struct Copyable(u8, u16, u32, u64);

fn main() {
    let copyable = Copyable(1, 2, 3, 4);
    let copy = copyable; // 暗黙的なコピー操作
    dbg!(copyable);
    dbg!(copy);
}

Clone は明示的な、ユーザー定義のコピー操作を表します。Copy は暗黙的なビット単位コピーを表します。
一般に、プリミティブ値のように振る舞うべき「プレーンデータ」型にのみ実装すべきです。たとえば、線形代数ライブラリにおけるプリミティブな数値型などです。
Clone と同じ注意点があります。値を複製すると不変条件が破れるなら、その型は Copy を実装すべきではありません。
Clone と Copy は必ず一緒に derive しましょう！ Copy を実装するときに Clone を手動で実装してはいけません。
- コピー操作では clone メソッドは呼び出されないため、独自の Clone 実装は暗黙的なコピー操作とは異なる振る舞いをする可能性があります。Clone と Copy を両方一緒に derive することで、clone を呼び出した結果がコピーを行った場合と同じになることが保証されます。
Drop または Copy でないフィールドを持つ型には実装できません。
- クラスに質問してみましょう: ヒープデータ（Vec、BTreeMap、Rc など）を持つ型は、なぜ Copy にできないのでしょうか？
  
  これらの型に対してビット単位コピーを行うと、ヒープデータを持つ型がポインタの排他的所有権を失い、Rust とそのエコシステムが通常保っている不変条件を壊すことになります。
  
  複数の Vec がメモリ内の同じデータを指すことになります。データの追加や削除は、それぞれの Vec の長さと容量の値しか更新しません。BTreeMap でも同様です。
  
  Rc をビット単位でコピーしても、ポインタ内の参照カウント値は更新されません。その結果、自分がそのポインタに対する唯一の Rc だと思っている Rc 値のインスタンスが 2 つ存在しうることになります。そのうち 1 つが破棄されると、もう 1 つの Rc がまだ生きているにもかかわらず、片方では参照カウントが 0 になり、内部の値がドロップされてしまいます。

From と Into

ある型から別の型への変換。

導出可能: ❌、derive_more のようなクレートなしでは不可。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct Wrapper(String);

impl From<&str> for Wrapper {
    fn from(value: &str) -> Self {
        Wrapper(value.to_owned())
    }
}

impl From<i32> for Wrapper {
    fn from(value: i32) -> Self {
        Wrapper(value.to_string())
    }
}

// トレイト境界として使う場合は `Into` のほうが自然です。
fn into_string<S: Into<String>>(s: S) {}
fn string_from<T>(t: T) where String: From<T> {}

fn main() {
    // `Wrapper` は `&str` と `i32` から構築できます。
    let a = Wrapper::from("Hello, obvious!");
    let b = Wrapper::from(-123);

    // From の実装があれば、Into の実装も含意されます。
    let c: Wrapper = "Hello, implementation!".into();
}

型変換の機能を提供します。
From はコンストラクタ風の関数を提供し、一方 Into は既存の値に対するメソッドを提供します。
自分が作成している型に対しては、Into<T> ではなく From<T> の実装を書くことを推奨します。

From を実装している任意の型に対しては、Into トレイトが自動的に実装されます。
関数の引数に対するトレイト境界としては、関数が受け取れるものの意図を明確にするため、 Into が推奨されます。T: Into<String> のほうが String: From<T> より意図が明確です。

TryFrom/TryInto

ある型から別の型への、失敗する可能性がある変換。

導出可能: ❌

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
pub struct InvalidNumber;

#[derive(Debug)]
pub struct DivisibleByTwo(usize);

impl TryFrom<usize> for DivisibleByTwo {
    type Error = InvalidNumber;

    fn try_from(value: usize) -> Result<Self, InvalidNumber> {
        if value.rem_euclid(2) == 0 {
            Ok(DivisibleByTwo(value))
        } else {
            Err(InvalidNumber)
        }
    }
}

fn main() {
    let success: Result<DivisibleByTwo, _> = 4.try_into();
    dbg!(success);
    let fail: Result<DivisibleByTwo, _> = 5.try_into();
    dbg!(fail);
}

失敗する可能性のある変換を提供し、結果型を返します。
From/Into と同様に、TryInto ではなく型に対して TryFrom を実装することを推奨します。
実装では、Result のエラー型を指定できます。

Serialize/Deserialize スタイルのトレイト

serde のようなクレートでは、シリアライズを自動的に実装できます。

導出可能: ✅

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Serialize, Deserialize)]
struct ExtraData {
    fav_color: String,
    name_of_dog: String,
}

#[derive(Serialize, Deserialize)]
struct Data {
    name: String,
    age: usize,
    extra_data: ExtraData,
}

型にシリアライズおよびデシリアライズ機能を提供し、Rust のデータ型を JSON のようなデータ形式に変換したり、そこから変換したりできるようにします。
標準ライブラリにはシリアライズ機能が組み込まれていませんが、 serde クレートはシリアライズを行うためのコミュニティ標準のインターフェースです。
実装すべきでない場合: 型に、誤ってディスクに保存されたりネットワーク越しに送信されたりすべきでない機密データが含まれる場合は、その型に Serialize/Deserialize を実装しないことを検討してください。

Debug と同様のセキュリティ上の懸念がありますが、シリアライズはしばしばネットワーク通信で使われるため、より重大な問題になり得ます。

型システムを活用する

Rust の型システムは 表現力が高く、型とトレイトを使ってコードを誤用しにくくする抽象化を構築できます。

場合によっては、実行時オーバーヘッドなしに、コンパイル時 に正しさを保証するところまで踏み込めます。

型とトレイトは、ビジネスドメインの概念や制約をモデル化できます。注意深く設計すれば、コードベース全体の明瞭さと保守性を向上させられます。

話者が追加で言及してもよい項目:

Rust の型システムは、関数型プログラミング言語から多くのアイデアを取り入れています。

たとえば、Rust の enum は、Haskell や OCaml のような言語では「代数的データ型」として知られています。型を使った設計の指針を探す際には、関数型言語向けの学習資料を参考にできます。 “Domain Modeling Made Functional” はこのテーマに関する優れた資料で、例は F# で書かれています。
Rust には関数型のルーツがありますが、すべての関数型設計パターンをそのまま Rust に簡単に持ち込めるわけではありません。

たとえば、Rust で高階関数や高カインド型を活用する API を設計するには、幅広い高度なトピックについて確かな理解が必要です。

ケースごとに、より命令的なアプローチのほうが実装しやすいかどうかを評価してください。Rust の借用チェッカーと型システムを活用して、何をどこで変更できるかを制御しつつ、インプレースな変更を使うことも検討してください。
同じ注意は、オブジェクト指向の設計パターンにも当てはまります。Rust は継承をサポートしておらず、オブジェクトの分解は借用チェッカーが導入する制約を考慮に入れる必要があります。
型レベルプログラミングはしばしば「ゼロコスト抽象化」を実現するために使えるものの、この表現は誤解を招くおそれがあることにも触れてください。コンパイル時間やコードの複雑さへの影響は大きい場合があります。

segment outline

Newtype パターン

newtype は既存の型（多くの場合はプリミティブ型）を包むラッパーです。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// `u64` を包む newtype として実装された、一意のユーザー識別子。
pub struct UserId(u64);

型エイリアスとは異なり、newtype は包んでいる型と相互に置き換えることはできません。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct UserId(u64);

fn needs_user(user: UserId) {
    // ...
}

fn main() {
    needs_user(1); // 🛠️❌
}

また、Rust コンパイラは、基になる型に定義されたメソッドや演算子を使うことも許可しません。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct UserId(u64);

fn main() {
    assert_ne!(UserId(1), UserId(2)); // 🛠️❌
}

受講者は、タプル構造体について学んだ「Fundamentals」コースで、newtype パターンに触れているはずです。
例を実行して、コンパイラからのエラーメッセージを受講者に示してください。
newtype の代わりに型エイリアスを使うように例を変更してください。たとえば type MessageId = u64 です。修正後の例はコンパイルできるはずで、それによって 2 つのアプローチの違いが明確になります。
newtype には、何もしなければ振る舞いが何も備わっていないことを強調してください。基になる型からどのメソッドや演算子を転送してよいかは、意図的に決める必要があります。この UserId の例では、UserId 同士の比較を許可するのは妥当ですが、加算や減算のような算術演算を許可するのは意味がありません。

意味上の混同

関数が同じ型の引数を複数受け取る場合、呼び出し箇所からは意図が分かりにくくなります:

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct LoginError;
fn login(username: &str, password: &str) -> Result<(), LoginError> {
    // [...]
    Ok(())
}

fn main() {
    let password = "password";
    let username = "username";

    // コードベースの別の箇所で、誤って引数を入れ替えてしまいます。
    // バグ（最善の場合）、セキュリティ脆弱性（最悪の場合）
    login(password, username);
}

newtype パターンを使うと、この種のエラーをコンパイル時に防げます:

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Username(String);
struct Password(String);
struct LoginError;

fn login(username: &Username, password: &Password) -> Result<(), LoginError> {
    // [...]
    Ok(())
}

fn main() {
    let password = Password("password".into());
    let username = Username("username".into());
    login(password, username); // 🛠️❌
}

両方の例を実行して、元の例は正常にコンパイルされ、変更後の例ではコンパイラエラーが返されることを受講者に示してください。
_意味上の_観点を強調してください。newtype パターンは、異なる概念には異なる型を使うために活用すべきであり、これによってこの種のエラーを完全に排除できます。

ただし、関数が同じ型の引数を複数受け取ることが正当なシナリオもある点には注意してください。そのようなシナリオで正しさが最重要であるなら、入力として名前付きフィールドを持つ struct の使用を検討してください:

#![allow(unused)]
fn main() {
// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct LoginArguments<'a> {
    pub username: &'a str,
    pub password: &'a str,
}
fn login(i: LoginArguments) {}
let password = "password";
let username = "username";

// 問題を見つけるために `login` 関数の定義を確認する必要はありません。
login(LoginArguments {
    username: password,
    password: username,
})
}

ユーザーは呼び出し箇所で各フィールドに値を割り当てることを強制されるため、バグに気づける可能性が高まります。

生成時に不変条件を強制する

newtype パターンを活用すると、不変条件 を強制できます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct Username(String);

impl Username {
    pub fn new(username: String) -> Result<Self, InvalidUsername> {
        if username.is_empty() {
            return Err(InvalidUsername::CannotBeEmpty)
        }
        if username.len() > 32 {
            return Err(InvalidUsername::TooLong { len: username.len() })
        }
        Ok(Self(username))
    }

    pub fn as_str(&self) -> &str {
        &self.0
    }
}
pub enum InvalidUsername {
    CannotBeEmpty,
    TooLong { len: usize },
}

newtype パターンは、Rust のモジュールシステムおよび可視性システムと組み合わせることで、ある型のインスタンスが一連の不変条件を満たすことを保証するために使用できます。

上の例では、Username 構造体の内部に格納されている生の String には、他のモジュールやクレートから直接アクセスできません。これは、それが pub や pub(in ...) としてマークされていないためです。Username 型の利用者は、インスタンスを作成するために new メソッドを使うことを強制されます。その結果、 new がバリデーションを実行し、Username のすべてのインスタンスがそれらのチェックを満たすことを保証します。
as_str メソッドにより、利用者は生の文字列表現にアクセスできます（たとえば、それをデータベースに保存するために）。ただし、戻り値の型である &str は読み取り専用のアクセスに制限するため、利用者は基になる値を変更できません。
型レベルの不変条件には、副次的な利点もあります。

入力は境界で一度だけ検証され、その後のプログラムの残りの部分は不変条件が維持されていることを前提にできます。これにより、プログラム全体にわたる冗長な検証や「防御的プログラミング」のチェックを避けられ、ノイズを減らしパフォーマンスを向上できます。

本当にカプセル化されているか？

newtype が公開する API サーフェス全体 を評価して、不変条件が本当に盤石かどうかを判断しなければなりません。ユーザーがバリデーションチェックを回避できてしまう可能性のある、トレイト実装を含むあらゆる相互作用を考慮することが重要です。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct Username(String);

impl Username {
    pub fn new(username: String) -> Result<Self, InvalidUsername> {
        // バリデーションチェック...
        Ok(Self(username))
    }
}

impl std::ops::DerefMut for Username { // ‼️
    fn deref_mut(&mut self) -> &mut Self::Target {
        &mut self.0
    }
}
impl std::ops::Deref for Username {
    type Target = str;

    fn deref(&self) -> &Self::Target {
        &self.0
    }
}
pub struct InvalidUsername;

DerefMut を使うと、ユーザーはラップされた値への可変参照を取得できます。

その可変参照は、Username::new が強制する不変条件に違反しうる形で、基になるデータを変更するために使えてしまいます！
newtype の API サーフェスを監査する際は、レビュー範囲を、基になるデータへの可変アクセスを提供するメソッドやトレイトに絞り込めます。
学生にプライバシー境界を思い出させてください。

特に、newtype と同じモジュール内で定義された関数やメソッドは、その基になるデータに直接アクセスできます。可能であれば、監査の対象範囲を狭めるために、newtype の定義をそれ専用の別モジュールに移してください。

RAII: `Drop` トレイト

RAII（Resource Acquisition Is Initialization）では、リソースのライフタイムを値のライフタイムに結び付けます。

Rust は RAII を使ってメモリを管理します。また、Drop トレイトを使うと、これをファイルディスクリプタやロックなどのほかのリソースにも拡張できます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct File(std::os::fd::RawFd);

impl File {
    pub fn open(path: &str) -> Result<Self, std::io::Error> {
        // [...]
        Ok(Self(0))
    }

    pub fn read_to_end(&mut self) -> Result<Vec<u8>, std::io::Error> {
        // [...]
        Ok(b"example".to_vec())
    }

    pub fn close(self) -> Result<(), std::io::Error> {
        // [...]
        Ok(())
    }
}

fn main() -> Result<(), std::io::Error> {
    let mut file = File::open("example.txt")?;
    println!("content: {:?}", file.read_to_end()?);
    Ok(())
}

見落としやすい点: file.close() は一度も呼び出されていません。受講者がそれに気付いたかを確認してください。
ファイルディスクリプタを正しく解放するには、最後の使用後に file.close() を呼び出さなければならず、さらにエラー時の早期 return 経路でも呼び出さなければなりません。

ユーザーが close() を呼ぶことに頼る代わりに、Drop トレイトを実装してリソースを自動的に解放できます。これにより、クリーンアップは File 値のライフタイムに結び付けられます。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl Drop for File {
    fn drop(&mut self) {
        // libc::close(...);
        println!("file descriptor was closed");
    }
}
}

Drop::drop() は Result を返せない点に注意してください。失敗はすべて内部で処理するか、無視しなければなりません。標準ライブラリでは、Drop 内で FD を閉じる際のエラーは黙って破棄されます。実装は次を参照してください: https://doc.rust-lang.org/src/std/os/fd/owned.rs.html#169-196
Drop::drop はいつ呼び出されるのでしょうか？

通常、main() の file 変数がスコープを抜けるとき（return 時でも panic による場合でも）、drop() は自動的に呼び出されます。

ファイルが別の関数にムーブされる場合（File::close() がこのケースです）、値がドロップされるのは main ではなく、その関数が return するときです。

対照的に、C++ ではムーブ元の値に対しても元のスコープでデストラクタが実行されます。
デモ: read_to_end() の先頭に panic!("oops") を挿入して実行してください。アンワインド中でも drop() は実行されます。

さらに調べる

Drop トレイトには、もう 1 つ重要な制約があります。async ではないことです。

これは、デストラクタの中で await できないことを意味します。これは、ソケットやデータベース接続、あるいは別のシステムに完了を通知しなければならないタスクのような非同期リソースをクリーンアップするときによく必要になります。

さらに詳しく: https://rust-lang.github.io/async-fundamentals-initiative/roadmap/async_drop.html
nightly では、実験的な AsyncDrop トレイトを利用できます: https://doc.rust-lang.org/nightly/std/future/trait.AsyncDrop.html

Drop はスキップされることがある

デストラクタが実行されない場合があります。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
struct OwnedFd(i32);

impl Drop for OwnedFd {
    fn drop(&mut self) {
        println!("OwnedFd::drop() called with raw fd: {:?}", self.0);
    }
}

impl Drop for TmpFile {
    fn drop(&mut self) {
        println!("TmpFile::drop() called with owned fd: {:?}", self.0);
        // libc::unlink("/tmp/file")
        // panic!("TmpFile::drop() panics");
    }
}

#[derive(Debug)]
struct TmpFile(OwnedFd);

impl TmpFile {
    fn open() -> Self {
        Self(OwnedFd(2))
    }

    fn close(&self) {
        panic!("TmpFile::close(): not implemented yet");
    }
}

fn main() {
    let owned_fd = OwnedFd(1);

    let file = TmpFile::open();

    std::process::exit(0);

    // std::mem::forget(file);

    // file.close();

    let _ = owned_fd;
}

Drop は必ず実行されるとは限りません。drop がスキップされるケースはいくつもあります。たとえば、プログラムがクラッシュしたり終了したり、Drop 実装を持つ値がリークされたりする場合です。
std::process::exit を呼び出すバージョンでは、exit() が drop() メソッドが呼ばれる機会を一切与えずにプロセスを即座に終了させるため、TmpFile::drop() は決して実行されません。
- clippy::exit lint を deny することで、exit の偶発的な使用を防げます。
std::process::exit(0) の行を削除すると、この単純なケースでは各 drop() メソッドが順番に実行されます。
std::mem::forget の呼び出しのコメントを外してみてください。何が起こると思いますか。

mem::forget() は所有権を受け取り、デストラクタ Drop::drop() を実行せずに値 file を「忘れ」ます。owned_fd のデストラクタは引き続き実行されます。
mem::forget() の呼び出しを削除し、その下の file.close() 呼び出しのコメントを外してください。今度は何が起こると思いますか。

デフォルトの panic = "unwind" 設定では、panic が main で始まった場合でも、スタックは引き続きアンワインドされ、デストラクタは実行されます。
- panic = "abort" では、デストラクタは一切実行されません。
最後のステップとして、TmpFile::drop() 内の panic! のコメントを外して実行してください。クラスに質問してみましょう: abort の前にどのデストラクタが実行されますか。

二重 panic の後は、Rust は残りのデストラクタが実行されることをもはや保証しません。
- すでに進行中だった一部のクリーンアップは完了することがあります（たとえば、現在 drop 中の値のフィールドデストラクタなど）。
- しかし、アンワインド経路の後続で予定されていたものは、完全にスキップされる可能性があります。
- これが、重要な外部クリーンアップを drop() だけに頼ることはできず、また二重 panic による abort でそれ以降のデストラクタがまったく実行されないとも仮定できない、と言う理由です。
一部の言語では、デストラクタ内での例外が禁止または制限されています。Rust は Drop::drop 内での panic を許可していますが、これはほとんどの場合よい考えではありません。アンワインドを妨げ、予測不能なクリーンアップにつながる可能性があるからです。drop bomb のような非常に特別な必要がある場合を除き、避けるのが最善です。
Drop はプロセスのスコープ内でリソースをクリーンアップするのには適していますが、プロセスの外部で何かが起こることを強く保証するための適切な手段ではありません（たとえば、ローカルディスク上や分散システム内の別のサービス上など）。
たとえば、drop() で一時ファイルを削除するのはおもちゃの例では問題ありませんが、実際のプログラムでは temp file reaper のような外部クリーンアップ機構が依然として必要になります。
対照的に、drop() による mutex のアンロックは信頼できます。これはプロセスローカルなリソースだからです。drop() がスキップされて mutex がロックされたままになっても、プロセスの外部に永続的な影響はありません。

Mutex と MutexGuard

以前の例では、RAII はファイルディスクリプターのような具体的なリソースを管理するために使われていました。Mutex では、「リソース」は値への可変アクセスです。値にアクセスするには lock を呼び出します。すると MutexGuard が返され、これがドロップされると Mutex のロックが自動的に解除されます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::Mutex;

fn main() {
    let m = Mutex::new(vec![1, 2, 3]);

    let mut guard = m.lock().unwrap();
    guard.push(4);
    guard.push(5);
    println!("{guard:?}");
}

Mutex は、ある値への排他的なアクセスを制御します。以前の RAII の例とは異なり、ここでのリソースは論理的なものであり、内部のデータへの一時的な排他的アクセスです。
この権利は MutexGuard によって表されます。この mutex に対するガードは、一度に 1 つしか存在できません。ガードが生存している間は、&mut T アクセスを提供します。
lock() は &self を受け取りますが、可変アクセスを持つ MutexGuard を返します。これは interior mutability によって実現されており、型が自身の借用規則を内部的に管理することで、&self を通じた変更を可能にします。
MutexGuard は Deref と DerefMut を実装しているため、自然にアクセスできます。mutex をロックし、ガードを &mut T のように使います。
mutex は MutexGuard::drop() によって解放されます。明示的なアンロック関数を呼び出すことはありません。

ドロップガード

Rust における ドロップガード とは、スコープを抜けるときに何らかのクリーンアップ処理を行う一時オブジェクトです。Mutex の場合、lock メソッドは drop 時にミューテックスを自動的にアンロックする MutexGuard を返します。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Mutex {
    is_locked: bool,
}

struct MutexGuard<'a> {
    mutex: &'a mut Mutex,
}

impl Mutex {
    fn new() -> Self {
        Self { is_locked: false }
    }

    fn lock(&mut self) -> MutexGuard<'_> {
        self.is_locked = true;
        MutexGuard { mutex: self }
    }
}

impl Drop for MutexGuard<'_> {
    fn drop(&mut self) {
        self.mutex.is_locked = false;
    }
}

上の例は、単純化した Mutex と、それに対応するガードを示しています。
これは実運用向けの実装ではありませんが、中核となる考え方を示しています。
- ガードは排他的アクセスを表し、
- その Drop 実装は、スコープを抜けるときにロックを解放します。

さらに掘り下げる

この例では、保護対象のデータを内部に保持しない C++ スタイルのミューテックスを示しています。これは Rust では慣用的ではありませんが、ここでの目的は適切な Rust のミューテックス設計を示すことではなく、ドロップガードの中核となる考え方を説明することだけです。

簡潔さのために、いくつかの機能は省かれています。

実際の Mutex<T> は、保護される値をミューテックス内部に保持します。
この簡易的な例では、ドロップガードの仕組みだけに焦点を当てるため、値そのものを完全に省いています。
MutexGuard に対する Deref と DerefMut による使いやすいアクセス（ガードを &T または &mut T のように扱えるようにすること）。
完全にブロッキングする .lock() メソッドと、非ブロッキングな try_lock バリアント。

実運用向けミューテックスの例として、 Rust の std ライブラリにある Mutex の実装を参照できます。また、 parking_lot クレートの Mutex も参考になります。

Drop Bomb: API の正しさを強制する

不変条件を強制し、API の誤った使い方を検出するには Drop を使います。「drop bomb」は、値が明示的にファイナライズされないままドロップされると panic します。

このパターンは、ファイナライズ操作（commit() や rollback() など）が Result を返す必要がある場合によく使われます。これは Drop からは行えません。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::{self, Write};

struct Transaction {
    active: bool,
}

impl Transaction {
    fn start() -> Self {
        Self { active: true }
    }

    fn commit(mut self) -> io::Result<()> {
        writeln!(io::stdout(), "COMMIT")?;
        self.active = false;
        Ok(())
    }
}

impl Drop for Transaction {
    fn drop(&mut self) {
        if self.active {
            panic!("Transaction dropped without commit!");
        }
    }
}

fn main() -> io::Result<()> {
    let tx = Transaction::start();
    // `tx` を使ってトランザクションを構築し、その後コミットします。
    // panic を確認するには、`commit` の呼び出しをコメントアウトしてください。
    tx.commit()?;
    Ok(())
}

一部のシステムでは、値はドロップされる前に特定の API によってファイナライズされなければなりません。

たとえば、Transaction はコミットまたはロールバックする必要がある場合があります。
drop bomb は、Transaction のような値が未完了の状態のまま黙ってドロップされないことを保証します。トランザクションが明示的にファイナライズされていない場合（たとえば commit() していない場合）、デストラクタは panic します。
ファイナライズ操作（commit() など）は通常、self を値で受け取ります。これにより、トランザクションがファイナライズされた後は、元のオブジェクトをもう使えなくなります。
このパターンを使う一般的な理由は、クリーンアップを Drop で行えない場合です。失敗する可能性がある、または非同期であることがその理由です。
このパターンは公開 API でも適切です。トランザクションオブジェクトを明示的にファイナライズし忘れたときに、ユーザーが早い段階でバグを見つける助けになります。
クリーンアップを Drop で安全に行えるなら、デバッグビルドでのみ panic することを選ぶ API もあります。これが適切かどうかは、API が強制しなければならない保証に依存します。
誤用が黙って見過ごされることで重大な正しさやセキュリティ上の問題が生じる場合、リリースビルドで panic するのは妥当です。
質問: なぜ Transaction の中に active フラグが必要なのでしょうか。なぜ drop() は無条件に panic してはいけないのでしょうか。

期待される答え: commit() は self を値で受け取り、その際に drop() が実行されるため、panic してしまいます。

さらに調べる

適切な後始末を強制したり、誤ってドロップしてしまうことを防いだりする関連パターンがいくつかあります。

drop_bomb crate: .defuse() で明示的に無効化しない限り、ドロップされると panic する小さなユーティリティです。デバッグビルドでのみ有効になる DebugDropBomb バリアントも付属しています。

ドロップボム: `std::mem::forget` を使う

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::io::{self, Write};

struct Transaction;

impl Transaction {
    fn start() -> Self {
        Transaction
    }

    fn commit(self) -> io::Result<()> {
        writeln!(io::stdout(), "COMMIT")?;

        // Drop が決して実行されないようにしてドロップボムを解除する。
        std::mem::forget(self);

        Ok(())
    }
}

impl Drop for Transaction {
    fn drop(&mut self) {
        // これが「ドロップボム」
        panic!("commit されずに Transaction がドロップされました!");
    }
}

fn main() -> io::Result<()> {
    let tx = Transaction::start();
    // `tx` を使ってトランザクションを構築し、その後 commit する。
    // パニックを確認するには `commit` の呼び出しをコメントアウトする。
    tx.commit()?;
    Ok(())
}

この例では前のスライドのフラグを取り除き、drop メソッドが無条件に panic するようにしています。成功した commit でその panic を避けるために、commit メソッドはトランザクションの所有権を受け取り、 std::mem::forget を呼び出すようになっています。これにより Drop::drop() メソッドは実行されません。

忘れられた値が、通常は drop() 実装で解放されるヒープ確保されたメモリを所有していた場合、その結果の 1 つはメモリリークです。上の例の Transaction では、ヒープメモリを一切所有していないため、その問題は起きません。

mem::forget() を戦術的に使うことで、実行時フラグを不要にできます。トランザクションの commit が成功したときは、その値に対して std::mem::forget を呼び出すことでドロップボムを解除でき、その Drop 実装は実行されなくなります。

forget 関数と drop 関数

以下は、drop() 関数と forget() 関数のシグネチャです:

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// std::mem::forget
fn forget<T>(t: T) {
    let _ = std::mem::ManuallyDrop::new(t);
}

// std::mem::drop
fn drop<T>(_x: T) {}

mem::forget() と mem::drop() はどちらも値 t の所有権を受け取ります。
同じ関数シグネチャを持っていますが、その効果は正反対です:
- forget() は ManuallyDrop を使用して、デストラクタ Drop::drop() が呼び出されるのを防ぎます。
  
  これは、drop bomb を実装する場合や、その他デストラクタの振る舞いを無効にしたい場合に有用です。
  
  ただし注意が必要です。ヒープに確保されたメモリやファイルハンドルなど、その値が排他的に所有しているリソースは、到達不能な状態のまま残るためです。
- drop() は、値を破棄するための便利関数です。t は関数にムーブされるため、自動的にドロップされ、呼び出し元の関数が返る前にその Drop::drop() 実装が呼び出されます。

スコープガード

スコープガードは Drop トレイトを使って、スコープを抜けるときに、アンワインド中であっても自動的にクリーンアップコードを実行します。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use scopeguard::{ScopeGuard, guard};
use std::fs::{self, File};
use std::io::Write;

fn download_successful() -> bool {
    // [...]
    true
}

fn main() {
    let path = "download.tmp";
    let mut file = File::create(path).expect("一時ファイルを作成できません");

    // ファイル作成の直後にクリーンアップを設定する
    let cleanup = guard(path, |path| {
        println!("ダウンロードに失敗したため削除します: {:?}", path);
        let _ = fs::remove_file(path);
    });

    writeln!(file, "partial data...").unwrap();

    if download_successful() {
        // ダウンロードに成功したら、ファイルを残す
        let path = ScopeGuard::into_inner(cleanup);
        println!("ダウンロード '{path}' が完了しました!");
    }
    // それ以外の場合は、ガードが実行されてファイルを削除する
}

この例はダウンロードのワークフローをモデル化したものです。最初に一時ファイルを作成し、その後、ダウンロードが失敗した場合にそのファイルが削除されるようスコープガードを使います。
scopeguard クレートを使うと、カスタムの Drop 実装を持つ独自の型を定義しなくても、単発の Drop ベースのクリーンアップを簡単に定義できます。
ガードはファイル作成の直後に作成されるため、writeln!() が失敗してもファイルは確実にクリーンアップされます。この順序は正しさのために不可欠です。
guard() は ScopeGuard インスタンスを作成します。これはユーザー定義の値（この場合は path）と、後でその値を受け取るクリーンアップ用クロージャを受け取ります。
ガードのクロージャは、ScopeGuard::into_inner で 無効化 されない限り、スコープ終了時に実行されます（値を取り出すことで、drop 時にガードが何もしなくなります）。成功パスでは into_inner を呼び出すため、ガードはファイルを削除しません。
スコープガードは Go の defer 機能に似ています。
このパターンは「失敗時のクリーンアップ」のシナリオに最適で、成功パスが明示的に選ばれない限り、デフォルトでクリーンアップを実行すべき場合に適しています。
このパターンは、リソースオブジェクトのクリーンアップ戦略を自分で制御できない場合にも有用です。この例では、File::drop() はファイルを閉じますが、削除はしません。
scopeguard クレートは、Strategy トレイトを介したクリーンアップ戦略もサポートしています。ガードをアンワインド時のみ、または成功時のみに実行するよう選べるため、単に常に実行するだけではありません。

Drop: Option

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct File(Option<Handle>);

impl File {
    fn open(path: &'static str) -> std::io::Result<Self> {
        Ok(Self(Some(Handle { path })))
    }

    fn write(&mut self, data: &str) -> std::io::Result<()> {
        // `Handle` を取得するには、`Option` を経由する必要があります。
        // そうして初めて使えるようになります。
        let handle = self.0.as_ref().unwrap();
        println!("write '{data}' to file '{}'", handle.path);
        Ok(())
    }
}

impl Drop for File {
    fn drop(&mut self) {
        let handle = self.0.take().unwrap();
        handle.close();
    }
}

struct Handle {
    path: &'static str,
}

impl Handle {
    fn close(self) {
        println!("Closing {}", self.path);
    }
}

fn main() -> std::io::Result<()> {
    let mut file = File::open("foo.txt")?;
    file.write("hello")?;
    Ok(())
}

この例では、Drop 実装の中で内部の Handle に対して close を呼び出したいのですが、 close は Handle の所有権を必要とします。通常はこれはできません。なぜなら、 drop では File オブジェクトの所有権を受け取れないため、フィールドから値をムーブできないからです。
Handle を Option で包むことで、可変参照を通してフィールドから値をムーブできるようになります。
主な欠点は使い勝手です。Option にすると、論理的には None が起こりえない場所でも、 Some と None の両方のケースを扱わなければなりません。Rust の型システムでは File とその Handle の間のその関係を表現できないため、両方のケースを手動で処理します。

さらに調べる

Option の代わりに ManuallyDrop を使うこともできます。これは、Rust が値に対して Drop を呼び出さないようにすることで自動破棄を抑制するもので、後始末は自分で処理しなければなりません。

前のスライドのscopeguard の例では、 ManuallyDrop で Option を置き換えることで、値が常に存在するはずの場所で None を扱わずに済む方法を示しています。

このような設計では通常、ManuallyDrop<Handle> の隣に別のフラグを置いて破棄状態を追跡し、それによってハンドルがすでに手動で消費されたかどうかを把握できます。

拡張トレイト

外部の型を新しいメソッドで拡張したいと便利な場合があります。たとえば、メソッド呼び出し構文 s.is_palindrome() を使って、文字列が回文かどうかをコードで判定できるようにしたい、といった場合です。

その場合、impl ブロックを使いたくなるかもしれません。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 🛠️❌
impl str {
    pub fn is_palindrome(&self) -> bool {
        self.chars().eq(self.chars().rev())
    }
}

しかし、Rust コンパイラはそれを許可しません。とはいえ、この制約は 拡張トレイトパターン を使うことで回避できます。

Rust のアイテム（トレイトでも型でも）は、次のように呼ばれます。
- 現在のクレートで定義されていない場合は foreign
- 現在のクレートで定義されている場合は local この区別は、コヒーレンスとオーファンルールに大きく関わります。この点は、コースのこのセクションで詳しく見ていきます。
この例をコンパイルして、出力されるコンパイラエラーを示してください。

コンパイラのエラーメッセージが、どのように拡張トレイトパターンへと導いてくれるのかを強調してください。
Rust における多くの型システム上の制約が、曖昧さ を防ぐことを目的としていることを説明してください。

もし外部の型に新しい固有メソッドを定義できるとしたら、どうなるでしょうか。依存関係ツリー内の異なるクレートが、同じ外部の型に対して同じ名前の異なるメソッドを定義してしまうかもしれません。

曖昧さが入り込む余地があるなら、それを解消する方法が必要になります。曖昧さの解消が暗黙的に行われると、驚くような、あるいは予期しない挙動につながる可能性があります。曖昧さの解消が明示的に行われる場合、コードを読む開発者の認知負荷が増える可能性があります。

さらに、あるクレートが外部の型に新しい固有メソッドを定義するたびに、明示的な曖昧さの解消を導入せざるを得なくなるため、あなたの コードでコンパイルエラーが発生する可能性があります。

Rust は、外部の型に新しい固有メソッドを定義すること自体を禁止することで、この問題そのものを避けることにしています。
他の言語（例: Kotlin、C#、Swift）では、既存の型にメソッドを追加できます。これはしばしば「拡張メソッド」と呼ばれます。これにより、潜在的な曖昧さや大域的な推論の必要性に関して、異なるトレードオフが生じます。

外部型の拡張

拡張トレイトとは、主な目的が外部型に新しいメソッドを追加することである、ローカルなトレイト定義です。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod ext {
    pub trait StrExt {
        fn is_palindrome(&self) -> bool;
    }

    impl StrExt for str {
        fn is_palindrome(&self) -> bool {
            self.chars().eq(self.chars().rev())
        }
    }
}

fn main() {
    // 拡張トレイトをスコープに導入し...
    pub use ext::StrExt as _;
    // ...その後、それらのメソッドをあたかも固有メソッドであるかのように呼び出す
    assert!("dad".is_palindrome());
    assert!(!"grandma".is_palindrome());
}

Ext 接尾辞は、慣例として拡張トレイトの名前に付けられます。

これは、そのトレイトが主に拡張の目的で使われること、したがってそれを定義している crate の外部で実装することを意図していないことを示します。

命名規則に関する権威ある情報源として、「Extension Trait」RFC を参照してください。
外部型に対する拡張トレイトの実装は、トレイト自体と同じ crate 内になければなりません。そうでないと、Rust の 孤児ルール に阻まれます。
拡張トレイトのメソッドを呼び出すときは、その拡張トレイトがスコープ内になければなりません。

対応する拡張トレイトがスコープ内にないまま拡張メソッドを呼び出そうとしたときに発生するコンパイラエラーを確認するには、例の use 文をコメントアウトしてください。
上の例では、ほかにインポートされたトレイトとの名前衝突の可能性を最小限に抑えるために、アンダースコアインポート（use ext::StringExt as _）を使っています。

アンダースコアインポートでは、そのトレイトはスコープ内にあるものと見なされ、そのトレイトを実装している型に対してそのメソッドを呼び出せます。一方、その シンボル 自体には直接アクセスできません。これにより、たとえばそのトレイトを where 句で使うことはできません。

拡張トレイトは where 句で使うことを意図していないため、慣例としてアンダースコアインポートでインポートされます。

メソッド解決の競合

固有メソッドと拡張メソッドの間で名前の競合があると、何が起こるでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod ext {
    pub trait CountOnesExt {
        fn count_ones(&self) -> u32;
    }

    impl CountOnesExt for i32 {
        fn count_ones(&self) -> u32 {
            let value = *self;
            (0..32).filter(|i| ((value >> i) & 1i32) == 1).count() as u32
        }
    }
}
fn main() {
    pub use ext::CountOnesExt;
    // どの `count_ones` メソッドが呼び出されるでしょうか？
    // `CountOnesExt` のものですか？ それとも `i32` の固有メソッドですか？
    assert_eq!((-1i32).count_ones(), 32);
}

外部の型に、新しいバージョンで、私たちの拡張メソッドと同じ名前の新しい固有メソッドが追加されることがあります。

質問: 上の例では何が起こるでしょうか？コンパイラエラーになるでしょうか？ 2 つのメソッドのいずれかに、より高い優先順位が与えられるでしょうか？それはどちらでしょうか？

CountOnesExt::count_ones の本体に panic!("Extension trait"); を追加して、どちらのメソッドが呼び出されているのかを明確にしてください。
Rust 言語のユーザーがあらゆる場合にどのメソッドを使うかを手動で指定しなくてもよいように、メソッドが最初にどのように「選ばれる」かには優先順位の仕組みがあります:
- 不変（&self）が先
  - 固有（型の impl ブロックで定義されたメソッド）がトレイト（trait の impl によって追加されたメソッド）より先。
- 可変（&mut self）が次
  - 固有がトレイトより先。同じ名前のすべてのメソッドがそれぞれ異なる可変性を持ち、かつ固有メソッドまたはトレイトメソッドのいずれかとして定義されていて、重複がなければ、コンパイラにとって判定は容易になります。ただし、これはユーザーにある程度の曖昧さをもたらします。依存しているメソッドがなぜ期待どおりの振る舞いをしないのか分からず、混乱するかもしれません。可能であれば、この仕組みに頼るのではなく名前の競合を避けてください。
実演: CountOnesExt::count_ones のシグネチャと実装を fn count_ones(&mut self) -> u32 に変更し、それに合わせて呼び出しも修正してください:
```
#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

assert_eq!((&mut -1i32).count_ones(), 32);
}
```
固有メソッドではなく CountOnesExt::count_ones が呼び出されます。これは、 &mut self のほうが、固有メソッドで使われる &self よりも優先順位が高いためです。

同じ型に対して不変の固有メソッドと可変のトレイトメソッドが存在する場合、呼び出し箇所でどちらを使うかを指定できます。(&<value>).count_ones() を使って不変の（より高い優先順位の）メソッドを取得するか、 (&mut <value>).count_ones()

学生には、メソッド解決の詳細について Rust リファレンスを参照するよう案内してください。
拡張トレイトのメソッドと固有メソッドの間で名前の競合が起きないようにしてください。Rust のメソッド解決アルゴリズムは複雑であり、あなたのコードのユーザーを驚かせる可能性があります。

さらに詳しく

Rust のメソッド解決アルゴリズムで使われる優先順位検索と、自動 Deref の相互作用は、主にマクロ生成コードの文脈において、stable ツールチェーン上で特殊化をエミュレートするために利用できます。具体的な詳細については “Autoref Specialization” を参照してください。

トレイトメソッドの衝突

同じ型に実装された 2 つの異なるトレイトメソッドの間で名前の衝突が起きると、どうなるでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod ext {
    pub trait Ext1 {
        fn is_palindrome(&self) -> bool;
    }

    pub trait Ext2 {
        fn is_palindrome(&self) -> bool;
    }

    impl Ext1 for str {
        fn is_palindrome(&self) -> bool {
            self.chars().eq(self.chars().rev())
        }
    }

    impl Ext2 for str {
        fn is_palindrome(&self) -> bool {
            self.chars().eq(self.chars().rev())
        }
    }
}

pub use ext::{Ext1, Ext2};

// どのメソッドが呼び出されるでしょうか？
// `Ext1` のもの？ それとも `Ext2` のもの？
fn main() {
    assert!("dad".is_palindrome());
}

拡張しているトレイトが、新しいバージョンで、あなたの拡張メソッドと同じ名前の新しいトレイトメソッドを追加する可能性があります。あるいは、同じ型に対する別の拡張トレイトが、あなた自身の拡張メソッドと名前が衝突するメソッドを定義する可能性があります。

問いかけ: 上の例では何が起こるでしょうか？コンパイラエラーになるでしょうか？ 2 つのメソッドのどちらかにより高い優先順位が与えられるでしょうか？それはどちらでしょうか？
コンパイラは、どのメソッドを呼び出すべきか判断できないため、このコードを拒否します。Ext1 にも Ext2 にも、もう一方より高い優先順位はありません。

この衝突を解決するには、どのトレイトを使いたいのかを明示する必要があります。

実演: "dad".is_palindrome() の代わりに、Ext1::is_palindrome("dad") または Ext2::is_palindrome("dad") を呼び出します。

シグネチャがより複雑なメソッドでは、より明示的な完全修飾構文を使う必要がある場合があります。
実演: "dad".is_palindrome() を <str as Ext1>::is_palindrome("dad") または <str as Ext2>::is_palindrome("dad") に置き換えます。

他のトレイトを拡張する

型と同様に、外部トレイトを拡張したい場合もあります。特に、あるトレイトを実装する すべて の型に新しいメソッドを追加したい場合です。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod ext {
    use std::fmt::Display;

    pub trait DisplayExt {
        fn quoted(&self) -> String;
    }

    impl<T: Display> DisplayExt for T {
        fn quoted(&self) -> String {
            format!("'{}'", self)
        }
    }
}

pub use ext::DisplayExt as _;

assert_eq!("dad".quoted(), "'dad'");
assert_eq!(4.quoted(), "'4'");
assert_eq!(true.quoted(), "'true'");

一度に複数の型へ新しい振る舞いを追加した点を強調してください。.quoted() は文字列スライス、数値、真偽値に対して呼び出せます。これらはすべて Display トレイトを実装しているからです。

この種の拡張トレイトパターンでは、 ブランケット実装 を使います。

ブランケット実装は、impl ブロックで指定されたトレイト境界を満たすすべての型 T に対してそのトレイトを実装するものです。この場合、唯一の要件は T が Display トレイトを実装していることです。
学生の注意を DisplayExt::quoted の実装に向けてください。T については、 Display を実装していること以外に何も仮定できません。ロジックはすべて、 Display のメソッドか、ほかのトレイトを必要としない関数/マクロのどちらかを使わなければなりません。

たとえば、T に対して format! は使えますが、.to_uppercase() は呼び出せません。必ずしも String とは限らないからです。

T に追加のトレイト境界を導入することもできますが、そうするとこの拡張トレイトを利用できる型の集合が制限されます。
慣例として、拡張トレイトの名前は、拡張対象のトレイト名の後ろに Ext 接尾辞を付けたものにします。上の例では DisplayExt です。
標準ライブラリのトレイトに新しい機能を追加するクレートもあります。
- itertools クレートは、Iterator を拡張する Itertools トレイトを提供します。これは interleave や unique など、多くのイテレータアダプタを追加します。メソッドチェーンで構築されたイテレータパイプラインに対して、新しいアルゴリズム上の構成要素を提供します。
- futures クレートは、Future トレイトを拡張する FutureExt トレイトを提供し、新しいコンビネータやヘルパーメソッドを追加します。

さらに掘り下げる

拡張トレイトは、安定版メソッドと実験的メソッドをライブラリが区別するためにも使えます。

安定版メソッドは、トレイト定義の一部です。

実験的メソッドは、より制約の少ない安定性ポリシーを持つ別のライブラリで定義された拡張トレイトを通じて提供されます。その後、一部のユーティリティメソッドは、有用性が実証され、設計が洗練されると、コアのトレイト定義へと「昇格」されます。
拡張トレイトは、dyn 互換でないトレイトを 2 つに分割するためにも使えます：
- dyn 互換なコア。dyn 互換性の要件を満たすメソッドだけに制限されます。
- 拡張トレイト。dyn 互換でない残りのメソッド（たとえば、ジェネリックなパラメータを持つメソッド）を含みます。
コアトレイトを実装する具象型は、拡張トレイトに対するブランケット実装のおかげで、すべてのメソッドを呼び出せます。トレイトオブジェクト（dyn CoreTrait）は、コアトレイト上のすべてのメソッドに加えて、 Self: Sized を必要としない拡張トレイト上のメソッドも呼び出せます。

拡張トレイトを定義すべきでしょうか？

どのような場面で、フリー関数よりも拡張トレイトを優先すべきでしょうか？

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait StrExt {
    fn is_palindrome(&self) -> bool;
}

impl StrExt for &str {
    fn is_palindrome(&self) -> bool {
        self.chars().eq(self.chars().rev())
    }
}

// 比較

fn is_palindrome(s: &str) -> bool {
    s.chars().eq(s.chars().rev())
}

拡張トレイトの主な利点は、見つけやすさです。

見つけやすさ: 拡張メソッドは、フリー関数よりも見つけやすくなります。言語サーバー（例: rust-analyzer）は、外部型のインスタンスの後に . を入力すると、それらを候補として提示します。
メソッドチェーン: 拡張トレイトの大きな使い勝手の向上として、メソッドチェーンがあります。これは Iterator トレイトの基盤であり、 data.iter().filter(...).map(...) のような流れるような呼び出しを可能にします。これをフリー関数で実現しようとすると、はるかに煩雑になります (map(filter(iter(data), ...), ...))。
ジェネリクスと dyn: トレイトは、ジェネリクスのトレイト境界として使ったり、dyn Trait の一部として使ったりできますが、フリー関数は必ずしもジェネリックな文脈で使えるとは限りません。
API の一体性: 拡張トレイトは、まとまりのある API を作るのに役立ちます。外部型に対して複数の関連関数（例: is_palindrome, word_count, to_kebab_case）がある場合、それらを 1 つの StrExt トレイトにまとめる方が、ユーザーがインポートする複数のフリー関数を用意するよりもすっきりしていることがよくあります。
トレードオフ: こうした利点がある一方で、単純な関数が 1 つだけの場合には、専用の拡張トレイトはやりすぎかもしれません。どちらのアプローチでも追加のインポートが必要であり、見慣れたメソッド構文という利点が、完全なトレイト定義のための定型コードに見合わないこともあります。

Typestateパターン: 問題

ある値に対して、その現在の状態に応じた有効な操作だけを許可するには、どうすればよいでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Write as _;

#[derive(Default)]
struct Serializer {
    output: String,
}

impl Serializer {
    fn serialize_struct_start(&mut self, name: &str) {
        let _ = writeln!(&mut self.output, "{name} {{");
    }

    fn serialize_struct_field(&mut self, key: &str, value: &str) {
        let _ = writeln!(&mut self.output, "  {key}={value};");
    }

    fn serialize_struct_end(&mut self) {
        self.output.push_str("}\n");
    }

    fn finish(self) -> String {
        self.output
    }
}

fn main() {
    let mut serializer = Serializer::default();
    serializer.serialize_struct_start("User");
    serializer.serialize_struct_field("id", "42");
    serializer.serialize_struct_field("name", "Alice");

    // serializer.serialize_struct_end(); // ← しまった、忘れていた

    println!("{}", serializer.finish());
}

この Serializer は、構造化された値を書き出すことを目的としています。
しかし、この例では finish() の前に serialize_struct_end() を呼ぶのを忘れています。その結果、シリアライズされた出力は不完全になったり、構文的に不正になったりします。
これを修正する 1 つの方法は、内部状態を手動で追跡し、現在の状態が不正であれば serialize_struct_field() や finish() のようなメソッドから Result を返すことです。
しかし、これには欠点があります:
- 実装者にとって間違えやすい方法です。Rust の型システムは、状態遷移の正しさを強制する助けになりません。
- また、実行時ではなくソースコード上で誤用されている操作に対してまで、ユーザーが Result 値を処理しなければならず、不要な負担も増えます。
よりよい解決策は、有効な状態遷移を型システム内に直接モデル化することです。

次のスライドでは、typestateパターン を適用してコンパイル時に正しい使用法を強制し、互換性のないメソッドを呼び出したり、必要な操作をし忘れたりすることを不可能にします。

Typestate パターン: 例

typestate パターンは、値の実行時状態の一部をその型にエンコードするものです。これにより、無効または適用できない操作をコンパイル時に防ぐことができます。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Write as _;

#[derive(Default)]
struct Serializer {
    output: String,
}

struct SerializeStruct {
    serializer: Serializer,
}

impl Serializer {
    fn serialize_struct(mut self, name: &str) -> SerializeStruct {
        writeln!(&mut self.output, "{name} {{").unwrap();
        SerializeStruct { serializer: self }
    }

    fn finish(self) -> String {
        self.output
    }
}

impl SerializeStruct {
    fn serialize_field(mut self, key: &str, value: &str) -> Self {
        writeln!(&mut self.serializer.output, "  {key}={value};").unwrap();
        self
    }

    fn finish_struct(mut self) -> Serializer {
        self.serializer.output.push_str("}\n");
        self.serializer
    }
}

fn main() {
    let serializer = Serializer::default()
        .serialize_struct("User")
        .serialize_field("id", "42")
        .serialize_field("name", "Alice")
        .finish_struct();

    println!("{}", serializer.finish());
}

Serializer の使用フローチャート:

この例は Serde の Serializer trait に着想を得ています。 Serde はシリアライズが妥当な構造に従うことを保証するために、内部で typestate を使用しています。詳しくは次を参照してください: https://serde.rs/impl-serializer.html
typestate の背後にある重要な考え方は、状態遷移が値を消費して新しい値を生成することで起こる、ということです。各ステップでは、その状態に対して有効な操作だけが利用できます。
この例では:
- Serializer から開始し、これは構造体のシリアライズを開始することだけを許可します。
- .serialize_struct(...) を呼び出すと、所有権は SerializeStruct の値へ移動します。その時点からは、構造体フィールドのシリアライズに関連するメソッドしか呼び出せません。
- 元の Serializer にはもうアクセスできません。これにより、モードの混在（たとえば、構造体 の途中で別の 構造体 を開始すること）や、 finish() を早すぎるタイミングで呼び出すことを防げます。
- .finish_struct() を呼び出した後にのみ、Serializer を受け取れます。その時点で、出力を確定したり再利用したりできます。
finish_struct() の呼び出しを忘れて SerializeStruct を早めにドロップすると、 Serializer も一緒にドロップされます。これにより、不完全な出力がシステムに漏れ出すことを防げます。
対照的に、前のスライドで見たように、すべてを Serializer に直接実装していた場合は、誰かが重要な手順を飛ばしたり、シリアライズのフローを混在させたりすることを防ぐものは何もありません。

単純な Typestate を超えて

可能な状態や遷移が数多くある、ますます複雑な構成フローを、互換性のない操作を防ぎつつどのように管理すればよいでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Serializer {/* [...] */}
struct SerializeStruct {/* [...] */}
struct SerializeStructProperty {/* [...] */}
struct SerializeList {/* [...] */}

impl Serializer {
    // TODO: 実装する
    //
    // fn serialize_struct(self, name: &str) -> SerializeStruct
    // fn finish(self) -> String
}

impl SerializeStruct {
    // TODO: 実装する
    //
    // fn serialize_property(mut self, name: &str) -> SerializeStructProperty

    // TODO:
    // この構造体はどのように完了すべきでしょうか？ これは、その構造体がどこに現れるかによって異なります:
    // - ルートレベル: `Serializer` を返す
    // - 別の構造体内のプロパティとして: `SerializeStruct` を返す
    // - リスト内の値として: `SerializeList` を返す
    //
    // fn finish(self) -> ???
}

impl SerializeStructProperty {
    // TODO: 実装する
    //
    // fn serialize_string(self, value: &str) -> SerializeStruct
    // fn serialize_struct(self, name: &str) -> SerializeStruct
    // fn serialize_list(self) -> SerializeList
    // fn finish(self) -> SerializeStruct
}

impl SerializeList {
    // TODO: 実装する
    //
    // fn serialize_string(mut self, value: &str) -> Self
    // fn serialize_struct(mut self, value: &str) -> SerializeStruct
    // fn serialize_list(mut self) -> SerializeList

    // TODO:
    // `SerializeStruct::finish` と同様に、戻り値の型はネストに依存します。
    //
    // fn finish(mut self) -> ???
}

有効な遷移の図:

これまでのシリアライザーを土台として、今度は ネストした構造体 と リスト をサポートしたいと考えます。
しかし、これによって重複と 構造的な複雑さ の両方が生じます。
さらに重大なのは、ここで 型システムの制約 に突き当たることです。ネストのコンテキストごと（例: ルート、構造体、リスト）にバリアントを複製しない限り、finish() が何を返すべきかをすっきり表現できません。
有効な遷移の図から、次のことが分かります:
- 遷移は再帰的である
- 戻り値の型は、サブ構造やリストが どこに 現れるかに依存する
- 各コンテキストは親へ戻るための経路を必要とする
具体型だけでは、これは管理不能になります。現在のアプローチでは、型が爆発的に増え、手動でつなぎ込む作業も必要になります。
次の章では、ジェネリクス によって、コンパイル時に有効な操作を強制しつつ、より少ないボイラープレートで再帰的なフローをモデル化できることを見ていきます。

ジェネリクスを使った Typestate パターン

typestate モデリングをジェネリクスと組み合わせることで、ロジックを重複させることなく、より幅広い有効な状態と遷移を表現できます。このアプローチは、状態数が増える場合や、複数の状態が振る舞いを共有しつつ構造が異なる場合に特に有用です。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Serializer<S> {
    // [...]
    indent: usize,
    buffer: String,
    state: S,
}

struct Root;
struct Struct<S>(S);
struct Property<S>(S);
struct List<S>(S);

これで、Serializer とその状態型定義のメソッドを実装するために必要な要素がすべてそろいました。これにより、次の図に示すように、API は有効な遷移のみを許可するようになります。

親コンテキストを追跡するためにジェネリクスを活用することで、struct、list、property の各状態間で有効な遷移を強制する、任意の深さにネストしたシリアライザーを構築できます。
これにより、再帰的な構造を構築しつつ、各状態でどのメソッドにアクセスできるかを厳密に制御できます。
すべての状態に共通するメソッドは、Serializer<S> における任意の S に対して定義できます。
マーカー型（例: List<S>）は、ゼロサイズ型である可能性のあるデータ以外を含まないため、メモリや実行時のオーバーヘッドを生じません。その唯一の役割は、型システムを通じて正しい API の使い方を強制することです。

Serializer: Root を実装する

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Write as _;
struct Serializer<S> {
    // [...]
    indent: usize,
    buffer: String,
    state: S,
}

struct Root;
struct Struct<S>(S);

impl Serializer<Root> {
    fn new() -> Self {
        // [...]
        Self { indent: 0, buffer: String::new(), state: Root }
    }

    fn serialize_struct(mut self, name: &str) -> Serializer<Struct<Root>> {
        // [...]
        writeln!(self.buffer, "{name} {{").unwrap();
        Serializer {
            indent: self.indent + 1,
            buffer: self.buffer,
            state: Struct(self.state),
        }
    }

    fn finish(self) -> String {
        // [...]
        self.buffer
    }
}

元の有効な遷移の図を振り返ると、実装の冒頭は次のように視覚化できます。

Serializer の「root」では、許可されるのは Struct だけです。
Serializer を String に最終化できるのは、この root レベルからのみです。

Serializer: `Struct` を実装する

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Write as _;
struct Serializer<S> {
    // [...]
    indent: usize,
    buffer: String,
    state: S,
}

struct Struct<S>(S);
struct Property<S>(S);

impl<S> Serializer<Struct<S>> {
    fn serialize_property(mut self, name: &str) -> Serializer<Property<Struct<S>>> {
        // [...]
        write!(self.buffer, "{}{name}: ", " ".repeat(self.indent * 2)).unwrap();
        Serializer {
            indent: self.indent,
            buffer: self.buffer,
            state: Property(self.state),
        }
    }

    fn finish_struct(mut self) -> Serializer<S> {
        // [...]
        self.indent -= 1;
        writeln!(self.buffer, "{}}}", " ".repeat(self.indent * 2)).unwrap();
        Serializer { indent: self.indent, buffer: self.buffer, state: self.state.0 }
    }
}

図は次のように拡張できます:

Struct は Property しか含められません;
Struct を終了すると、その親に制御が戻ります。前のスライドではその親を Root と仮定していましたが、実際には、ネストした “structs” の場合の Struct のように、別のものになることもあります。

Serializer: Property を実装する

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Write as _;
struct Serializer<S> {
    // [...]
    indent: usize,
    buffer: String,
    state: S,
}

struct Struct<S>(S);
struct Property<S>(S);
struct List<S>(S);

impl<S> Serializer<Property<Struct<S>>> {
    fn serialize_struct(mut self, name: &str) -> Serializer<Struct<Struct<S>>> {
        // [...]
        writeln!(self.buffer, "{name} {{").unwrap();
        Serializer {
            indent: self.indent + 1,
            buffer: self.buffer,
            state: Struct(self.state.0),
        }
    }

    fn serialize_list(mut self) -> Serializer<List<Struct<S>>> {
        // [...]
        writeln!(self.buffer, "[").unwrap();
        Serializer {
            indent: self.indent + 1,
            buffer: self.buffer,
            state: List(self.state.0),
        }
    }

    fn serialize_string(mut self, value: &str) -> Serializer<Struct<S>> {
        // [...]
        writeln!(self.buffer, "{value},").unwrap();
        Serializer { indent: self.indent, buffer: self.buffer, state: self.state.0 }
    }
}

Property 状態のメソッドが追加されたことで、図はほぼ完成です:

プロパティは String、Struct<S>、または List<S> として定義できるため、ネストした構造を表現できます。
これで段階的な実装は完了です。List<S> のサポートを含む完全な実装は、次のスライドで示します。

Serializer: 完全な実装

最初に目指していたフローを振り返ると、次のようになります。

これが、シリアライザーの型に直接反映されていることがわかります。

Serializer とそのすべての状態の完全な実装コードは、この Rust playground で確認できます。

このパターンは銀の弾丸ではありません。次のような問題は依然として許してしまいます。
- 空または無効なプロパティ名（これは newtype パターンを使って修正できます）
- 重複したプロパティ名（これは Struct<S> で追跡し、Result で処理できます）

検証の失敗が発生する場合は、メソッドシグネチャを変更して Result を返すようにし、回復を可能にすることもできます。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct PropertySerializeError<S> {
    kind: PropertyError,
    serializer: Serializer<Struct<S>>,
}

impl<S> Serializer<Struct<S>> {
    fn serialize_property(
        self,
        name: &str,
    ) -> Result<Serializer<Property<Struct<S>>>, PropertySerializeError<S>> {
        /* ... */
    }
}
}

この API は強力ですが、常に使いやすいとは限りません。本番環境のシリアライザーでは、通常はよりシンプルな API が好まれ、typestate パターンは重要な不変条件を強制するためにのみ使われます。
現実の優れた例の 1 つが rustls::ClientConfig で、これはジェネリクスと typestate を使って、ユーザーを安全で正しい設定手順へ導きます。

借用チェッカーを使って不変条件を強制する

借用チェッカーは、メモリの所有権を強制するために追加されたものですが、他の問題をモデル化し、API の誤用を防ぐこともできます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// ドアは開いているか閉じているかのどちらかで、施錠または解錠するには正しい鍵が必要です。
/// これは Shared な鍵と Owned なドアでモデル化されています。
pub struct DoorKey {
    pub key_shape: u32,
}
pub struct LockedDoor {
    lock_shape: u32,
}
pub struct OpenDoor {
    lock_shape: u32,
}

fn open_door(key: &DoorKey, door: LockedDoor) -> Result<OpenDoor, LockedDoor> {
    if door.lock_shape == key.key_shape {
        Ok(OpenDoor { lock_shape: door.lock_shape })
    } else {
        Err(door)
    }
}

fn close_door(key: &DoorKey, door: OpenDoor) -> Result<LockedDoor, OpenDoor> {
    if door.lock_shape == key.key_shape {
        Ok(LockedDoor { lock_shape: door.lock_shape })
    } else {
        Err(door)
    }
}

fn main() {
    let key = DoorKey { key_shape: 7 };
    let closed_door = LockedDoor { lock_shape: 7 };
    let opened_door = open_door(&key, closed_door);
    if let Ok(opened_door) = opened_door {
        println!("鍵の形状 '{}' でドアを開けました", key.key_shape);
    } else {
        eprintln!(
            "ドアは開きませんでした！あなたの鍵で開けられるのは形状 '{}' の錠前だけです",
            key.key_shape
        );
    }
}

借用チェッカーがメモリ安全性のバグ（解放後の使用、データ競合）を防ぐのは、すでに見てきました。
型を使って API を形作り、制限する方法も、 Typestate パターンですでに使っています。
言語機能は、しばしば特定の目的のために導入されます。

時間が経つにつれて、ユーザーは、導入時には予想されていなかった方法でその機能を使うやり方を生み出すことがあります。

Java 5 は 2004 年に Generics を導入しました。その主な公称目的は型安全なコレクションを可能にすることでした。

当初、採用はゆっくりでしたが、一部の新しいプロジェクトでは最初からジェネリクスを中心に API を設計し始めました。

それ以来、ユーザーと言語開発者は、ジェネリクスの用途を型安全な API 設計の他の領域へと広げてきました。
- クラス情報は、Java の Class<T> や Guava の TypeToken<T> を通じて保持できます。
- Builder パターンは、再帰的ジェネリクスを使って実装できます。ここで目指すのも似たようなことです。借用チェッカーは解放後の使用やデータ競合を防ぐために導入されましたが、ここではそれを API 設計のための別のツールの 1 つとして扱います。これは、メモリ安全性のバグを防ぐこととは関係のないプログラムの性質をモデル化するためにも使えます。
借用チェッカーを問題解決のツールとして使うには、その本来の目的が、解放後の使用やデータ競合を防ぐ文脈で可変エイリアスを防止することだという点を、いったん「忘れる」必要があります。

ルールは同じでも意味が少し異なる状況の中で作業していると考えるべきです。
この例では、所有権と借用を使って物理的なドアの状態をモデル化します。

open_door は LockedDoor を消費し、新しい OpenDoor を返します。古い LockedDoor の値はもう使えません。

間違った鍵が使われた場合、ドアは施錠されたままです。その場合、Result の Err として返されます。

すでに開けたドアを使おうとすると、コンパイル時エラーになります。
同様に、lock_door は OpenDoor を消費するため、ドアを 2 回閉じることをコンパイル時に防ぎます。
借用チェッカーのルールはメモリ安全性のバグを防ぐために存在しますが、その根底にある論理システムはメモリが何であるかを「知って」いるわけではありません。

借用チェッカーがしていることは、ユーザーが操作をどのような順序で行えるかについての特定のルール集合を強制することだけです。

これは、誤用しにくく、あるいは誤用不可能な API を設計するために、借用チェッカーのルールを活用する 1 つの例にすぎません。

ライフタイムと借用: 抽象的なルール

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 保持しておく何かを用意するための内部データ型。
pub struct Internal;
// 「外側」のデータ。
pub struct Data(Internal);

fn shared_use(value: &Data) -> &Internal {
    &value.0
}
fn exclusive_use(value: &mut Data) -> &mut Internal {
    &mut value.0
}
fn deny_future_use(value: Data) {}

fn demo_exclusive() {
    let mut value = Data(Internal);
    let shared = shared_use(&value);
    // let exclusive = exclusive_use(&mut value); // ❌🔨
    let shared_again = shared;
}

fn demo_denied() {
    let value = Data(Internal);
    deny_future_use(value);
    // let shared = shared_use(&value); // ❌🔨
}

fn main() {}

この例は、借用チェッカーのルールを参照から切り離し、メモリ安全性以外の文脈における意味論的な意味へと捉え直したものです。

何かが変更されているわけでも、何かがスレッド間で送られているわけでもありません。
Rust の借用チェッカーでは、値を「取得」する 3 つの異なる方法を利用できます。
- 所有値 T。別のスコープに返されない限り、スコープの終了時に値は破棄されます。
- 共有参照 &T。エイリアシングを許可しますが、共有参照が使用中である間は可変アクセスを禁止します。
- 可変参照 &mut T。ある時点で 1 つの値に対して存在できるのは 1 つだけですが、共有参照を作成するために使用できます。
問い: demo 関数内のコメントアウトされた 2 行は、なぜコンパイルエラーを引き起こすのでしょうか?

demo_exclusive: exclusive 参照が取得されたあとも shared 値が依然としてエイリアスされているためです。

demo_denied: &value から shared_again_again 参照が取得される 1 行前に、value が消費されているためです。
すべての &T と &mut T にはライフタイムがあることを覚えておいてください。多くの場合、ユーザーが注釈を付けたり意識したりしなくてよいだけです。

Rust コンパイラでは多くの場合ライフタイムを省略できるため、私たちがライフタイムを明示することはまれです。参照: ライフタイム省略

単回使用の値

ときには、_一度しか使えない_値が欲しいことがあります。その重要な例の 1 つが、暗号分野における「Nonce」です。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct Key(/* 詳細は省略 */);

/// 暗号用途に適した単回使用の数値。
pub struct Nonce(u32);

/// 暗号学的に安全な乱数生成関数。
pub fn new_nonce() -> Nonce {
    Nonce(4) // 公平なサイコロを振って選ばれました, https://xkcd.com/221/
}

/// nonce を消費しますが、key や data は消費しません。
pub fn encrypt(nonce: Nonce, key: &Key, data: &[u8]) {}

fn main() {
    let nonce = new_nonce();
    let data_1: [u8; 4] = [1, 2, 3, 4];
    let data_2: [u8; 4] = [4, 3, 2, 1];
    let key = Key(/* 詳細は省略 */);

    // key と data は再利用したり、コピーしたりできますが、nonce はできません。
    encrypt(nonce, &key, &data_1);
    // encrypt(nonce, &key, &data_2); // 🛠️❌
}

問題: 値が一度しか使われないことを、どうすれば保証できるでしょうか？
動機: nonce は、リプレイ攻撃を防ぐために暗号プロトコルで使用される、ランダムで一意なデータです。

背景: 実際には、誤って nonce を再利用してしまった事例があります。最も一般的には、その結果として暗号プロトコルが完全に破綻し、本来の役割を果たせなくなります。

nonce の再利用のされ方や対象の暗号方式によっては、秘密鍵まで攻撃者に計算されてしまうこともあります。
Rust には、「これを一度使ったら、もう二度と使えない」という不変条件を実現するための分かりやすい手段があります。値を 所有権を受け取る引数 として渡すことです。
注目点: encrypt 関数は nonce を値渡し（所有権を受け取る引数）で受け取りますが、key と data は参照で受け取ります。
単回使用の値に対するテクニックは次のとおりです。
- コンストラクターを非公開にして、同じ内部値を持つ値をユーザーが 2 回構築できないようにする。
- 一意に保ちたいデータをユーザーが複製できないように、Clone/Copy トレイトや同等のメソッドを実装しない。
- 内部の型を不透明にし（newtype パターンのように）、ユーザーが既存の値を自分で変更できないようにする。
問い: スライドのコードにある newtype パターンには、何が欠けているでしょうか？

期待する答え: モジュール境界。

実演: モジュール境界がないと、ユーザーは nonce を自分で構築できてしまいます。

修正: Key、Nonce、new_nonce をモジュールの内側に置きます。

さらに探る

暗号における注意点: nonce は、実際のランダム性がない疑似乱数過程で生成された場合、依然として 2 回使われる可能性があります。これはこの方法では防げません。この API 設計は 1 つの nonce を複製することは防ぎますが、すべてのロジックバグを防ぐわけではありません。

相互排他的な参照 / 「Aliasing XOR Mutability」

&T 参照と &mut T 参照の相互排他性を利用すると、準備が整う前にデータが使われるのを防げます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct QueryResult;
pub struct DatabaseConnection {/* フィールドは省略 */}

impl DatabaseConnection {
    pub fn new() -> Self {
        Self {}
    }
    pub fn results(&self) -> &[QueryResult] {
        &[] // ダミーの結果
    }
}

pub struct Transaction<'a> {
    connection: &'a mut DatabaseConnection,
}

impl<'a> Transaction<'a> {
    pub fn new(connection: &'a mut DatabaseConnection) -> Self {
        Self { connection }
    }
    pub fn query(&mut self, _query: &str) {
        // クエリを送信するが、結果は待たない。
    }
    pub fn commit(self) {
        // トランザクションの実行を完了し、結果を取得する。
    }
}

fn main() {
    let mut db = DatabaseConnection::new();

    // トランザクション `tx` は `db` を可変借用する。
    let mut tx = Transaction::new(&mut db);
    tx.query("SELECT * FROM users");

    // `db` はすでに `tx` によって可変借用されているため、これはコンパイルされない。
    // let results = db.results(); // ❌🔨

    // `tx` が `commit()` によって消費されると、`db` の借用は終了する。
    tx.commit();

    // これで `db` を再び借用できる。
    let results = db.results();
}

動機: このデータベース API では、クエリは非同期実行に向けて開始され、結果が利用可能になるのはトランザクション全体が完了してからです。

ユーザーはクエリが即座に実行されると考えて、利用可能になる前に結果を読み取ろうとするかもしれません。この API の誤用により、アプリが不完全または不正確なデータを読み取ってしまう可能性があります。

一見すると明らかな誤解ですが、このような状況は実際に起こりえます。

問いかけ: 適切な使い方についてドキュメントを読まなかったために、API を誤解したことはありますか？

想定: キャリア初期や大学在学中にしたミスや誤解の例。

API の規模とユーザー数が増えるにつれて、その API が表現するシステムについて深い知識を持つユーザーの割合は小さくなります。
この例は、この種の誤用を防ぐために Aliasing XOR Mutability をどのように利用できるかを示しています。
プログラマーが、クエリは非同期実行として開始されるのではなく即座に実行されると考えてしまうと、このコードは結果の準備が整う前に読み取ってしまう可能性があります。
Transaction 型のコンストラクターはデータベース接続への可変参照を受け取り、それを返される Transaction 値の中に保存します。

ここで明示されているライフタイムに気後れする必要はなく、この場合は単に「Transaction よりも、それに渡された DatabaseConnection のほうが長生きする」ことを意味します。

この参照が可変なのは、さらにトランザクションを開始したり結果を読み取ったりするといったほかの用途で DatabaseConnection を使えないようにするためです。
Transaction が存在している間は、その Transaction の作成元となった DatabaseConnection 変数には触れられません。

実演: db.results() の行をコメント解除してください。そうすると、db はすでに可変借用されているため、コンパイルエラーになります。
注: クエリ結果を公開せず、ゲッター関数の背後に置くことで、「アクティブなトランザクションが存在しない場合にのみ、ユーザーはクエリ結果を確認できる」という不変条件を強制できます。

クエリ結果が構造体の公開フィールドに置かれていた場合、この不変条件は破られうるでしょう。

PhantomData 1/4: 同じデータとセマンティクスの重複をなくす

newtype パターンは、ときに DRY 原則に反することがあります。これをどう解決すればよいでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct UserId(u64);
impl ChatUser for UserId { /* ... */ }

pub struct PatronId(u64);
impl ChatUser for PatronId { /* ... */ }

pub struct ModeratorId(u64);
impl ChatUser for ModeratorId { /* ... */ }
impl ChatModerator for ModeratorId { /* ... */ }

pub struct AdminId(u64);
impl ChatUser for AdminId { /* ... */ }
impl ChatModerator for AdminId { /* ... */ }
impl ChatAdmin for AdminId { /* ... */ }

// 以下同様 ...
fn main() {}

問題: 権限を区別するために newtype パターンを使いたいのですが、同じデータに対して同じトレイトを何度も実装しなければなりません。
問い: ここでの各実装の詳細が型ごとに同じだと仮定すると、繰り返しを避けるにはどのような方法があるでしょうか？

期待する回答:
- これを別々のデータ型ではなく enum にする。
- ユーザー ID を、struct Admin(u64, UserPermission, ModeratorPermission, AdminPermission); のような権限トークンとひとまとめにする。
- 権限をエンコードする型パラメータを追加する。
- 先取りして PhantomData に言及する（タイトルにあります）。

PhantomData 2/4: 型レベルのタグ付け

型パラメータを追加して、前のスライドの問題を解決しましょう。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// use std::marker::PhantomData;

pub struct ChatId<T> { id: u64, tag: T }

pub struct UserTag;
pub struct AdminTag;

pub trait ChatUser {/* ... */}
pub trait ChatAdmin {/* ... */}

impl ChatUser for UserTag {/* ... */}
impl ChatUser for AdminTag {/* ... */} // 管理者はユーザーです
impl ChatAdmin for AdminTag {/* ... */}

// impl <T> Debug for UserTag<T> {/* ... */}
// impl <T> PartialEq for UserTag<T> {/* ... */}
// impl <T> Eq for UserTag<T> {/* ... */}
// 以下同様 ...

impl <T: ChatUser> ChatId<T> {/* ユーザー以上のすべての機能 */}
impl <T: ChatAdmin> ChatId<T> {/* 管理者専用のすべての機能 */}

fn main() {}

ここでは型パラメータを使い、異なる権限トレイトを実装する「タグ」型によって権限を制御しています。

タグ型、あるいはマーカー型は、利用者や API 設計者にとって何らかの意味を持つゼロサイズ型です。
問い: これをその型の実際のインスタンスにすると、どのような問題が生じますか？

答え: それがゼロサイズ型（() や struct MyTag; など）でない場合、私たちが必要としているのはコンパイル時にのみ関係する型情報だけなのに、必要以上のメモリを割り当てることになります。
実演: tag の値を完全に削除してから、コンパイルしてみましょう！

これはコンパイルできません。未使用の（phantom）型パラメータがあるためです。

ここで PhantomData の出番です！

実演: PhantomData の import のコメントを外し、ChatId<T> を次のようにします。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct ChatId<T> {
    id: u64,
    tag: PhantomData<T>,
}
}

PhantomData<T> は、型パラメータを持つゼロサイズ型です。これの値は、他の ZST と同様に let phantom: PhantomData<UserTag> = PhantomData; のように、あるいは PhantomData::default() を使って構築できます。

実演: ChatId<T> に対して From<u64> を実装し、PhantomData の構築を強調します。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl<T> From<u64> for ChatId<T> {
    fn from(value: u64) -> Self {
        ChatId {
            id: value,
            // または `PhantomData::default()`
            tag: PhantomData,
        }
    }
}
}

PhantomData は Typestate パターンの一部として使用でき、同じ構造を持ちながら異なるメソッドを持つデータを表現できます。たとえば、TaggedData<Start> には、TaggedData<End> にはないメソッドやトレイト実装を持たせることができます。

PhantomData 3/4: 外部リソースのライフタイム

外部リソースの不変条件は、多くの場合、ライフタイム規則で表現できることと一致します。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// use std::marker::PhantomData;

/// C のデータベースライブラリへの直接的な FFI。
/// この API はそのまま提供されたものであり、こちらからは変更できません。
mod ffi {
    pub type DatabaseHandle = u8; // 同時に開けるデータベースは最大 255 個

    fn database_open(name: *const std::os::raw::c_char) -> DatabaseHandle {
        unimplemented!()
    }
    // ... など。
}

struct DatabaseConnection(ffi::DatabaseHandle);

struct Transaction<'a>(&'a mut DatabaseConnection);

impl DatabaseConnection {
    fn new_transaction(&mut self) -> Transaction<'_> {
        Transaction(self)
    }
}

fn main() {}

Aliasing XOR Mutability の例にあったトランザクション API を思い出してください。

トランザクションがアクティブな間データベースをロックするため、トランザクション型の中でデータベース接続への可変参照を保持していました。

この例では、外部の非 Rust API の上に Transaction API を実装したいと考えています。

まず、&mut DatabaseConnection を保持する Transaction 型を定義するところから始めます。
質問: この実装の限界は何でしょうか。u8 は実装上正確であり、外部 API を使うための情報として十分であると仮定してください。

想定:
- 64 ビットプラットフォームでは、間接参照のために必要以上に 7 バイト多く使い、実行時にはポインタのデリファレンスのコストもかかります。
問題: トランザクションには、それを作成したデータベース接続を借用させたい一方で、 Transaction オブジェクトには実際の参照を格納したくありません。
質問: ライフタイムパラメータを残したまま、 Transaction から可変参照を取り除くとどうなるでしょうか。

想定: 未使用のライフタイムパラメータになります。
前のスライドの型タグ付けと同様に、この未使用のライフタイムパラメータを表すために PhantomData を使うことができます。

違いは、このライフタイムを別の型と一緒に使う必要があることですが、その別の型自体はそれほど重要ではないという点です。

実演: Transaction を次のように変更します。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Transaction<'a> {
    connection: DatabaseConnection,
    _phantom: PhantomData<&'a mut DatabaseConnection>,
}
}

DatabaseConnection::new_transaction() メソッドを更新します。

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl DatabaseConnection {
    fn new_transaction<'a>(&'a mut self) -> Transaction<'a> {
        Transaction { connection: DatabaseConnection(self.0), _phantom: PhantomData }
    }
}
}

これにより、それを作成した DatabaseConnection に結び付けられた所有されたデータベース接続を得られますが、参照を格納する版よりも実行時のメモリフットプリントを小さくできます。

PhantomData はゼロサイズ型（() や struct MyZeroSizedType; のようなもの）なので、 Transaction のサイズは теперь u8 と同じになります。

代わりに参照を保持していた実装は、usize と同じ大きさでした。

さらに探る

型と値の間の関係をこのようにエンコードする方法は、unsafe と組み合わせると非常に強力です。というのも、ライフタイムを操作する方法がほとんど任意になるからです。これは危険でもありますが、外部の機械検証済み証明のようなツールと組み合わせることで、関連するデータ型にライフタイムと安全性に関する期待をエンコードしつつ、循環/自己参照型を安全にエンコードできます。
GhostCell (2021) の論文と、その関連実装は、この種の取り組みを示しています。borrow checker には制約がありますが、それでも抜け道を使う方法はあり、そのうえで そうした抜け道の使い方が一貫していて安全であることを示す ことができます。

PhantomData 4/4: OwnedFd と BorrowedFd

BorrowedFd は、PhantomData が実際に活用されている代表的な例です。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::marker::PhantomData;
use std::os::raw::c_int;

mod libc_ffi {
    use std::os::raw::{c_char, c_int};
    pub unsafe fn open(path: *const c_char, oflag: c_int) -> c_int {
        3
    }
    pub unsafe fn close(fd: c_int) {}
}

struct OwnedFd {
    fd: c_int,
}

impl OwnedFd {
    fn try_from_fd(fd: c_int) -> Option<Self> {
        if fd < 0 {
            return None;
        }
        Some(OwnedFd { fd })
    }

    fn as_fd<'a>(&'a self) -> BorrowedFd<'a> {
        BorrowedFd { fd: self.fd, _phantom: PhantomData }
    }
}

impl Drop for OwnedFd {
    fn drop(&mut self) {
        unsafe { libc_ffi::close(self.fd) };
    }
}

struct BorrowedFd<'a> {
    fd: c_int,
    _phantom: PhantomData<&'a ()>,
}

fn main() {
    // 書き込み専用と作成権限を指定した生の syscall でファイルを作成します。
    let fd = unsafe { libc_ffi::open(c"c_str.txt".as_ptr(), 065) };
    // 整数のファイルディスクリプタの所有権を `OwnedFd` に渡します。
    // `OwnedFd::drop()` はファイルディスクリプタを閉じます。
    let owned_fd =
        OwnedFd::try_from_fd(fd).expect("syscall でファイルを開けませんでした！");

    // `OwnedFd` から `BorrowedFd` を作成します。
    // `BorrowedFd::drop()` はファイルを所有していないため、ファイルを閉じません！
    let borrowed_fd: BorrowedFd<'_> = owned_fd.as_fd();
    // std::mem::drop(owned_fd); // ❌🔨
    std::mem::drop(borrowed_fd);
    let second_borrowed = owned_fd.as_fd();
    // owned_fd はここで drop され、ファイルは閉じられます。
}

ファイルディスクリプタは、特定のプロセスによるファイルへのアクセスを表します。

補足: デバイスや OS 固有の機能は、unix 系システムではファイルであるかのように公開されます。
OwnedFd は、ファイルディスクリプタの所有権を持つラッパー型です。これはファイルディスクリプタを_所有_し、 drop されるとそれを閉じます。

注: ここでは独自実装を使っているので、明示的な Drop 実装に注目してください。

BorrowedFd はその借用版にあたる型であり、drop されてもファイルを閉じる必要はありません。

注: BorrowedFd には Drop を明示的に実装していません。
BorrowedFd は、PhantomData で捉えたライフタイムを使って、「このファイルディスクリプタが存在するなら、それを閉じる責任を負っていなくても、 OS のファイルディスクリプタは依然として開いている」という不変条件を強制します。

BorrowedFd のライフタイムパラメータは、プログラム内に、その特定の BorrowedFd と同じだけ長く生存するか、あるいはそれより長く生存する別の値が存在することを要求します（この場合は OwnedFd です）。

実演: std::mem::drop(owned_fd) の行をコメント解除してコンパイルしてみると、 borrowed_fd が owned_fd のライフタイムに依存していることを示せます。

これは API 設計者によって、「その別の値こそがファイルへのアクセスを開いたままにしている」という意味になるよう API にエンコードされています。

Rust の borrow checker は、一方の値がもう一方の値と少なくとも同じだけ長く生存しなければならないというこの関係を強制するため、この API の利用者は、正しいファイルディスクリプタのエイリアシングやクローズのロジックを自分で扱う必要がありません。

トークン型

プライベートなコンストラクタを持つ型は、不変条件の証明として利用できます。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub mod token {
    // モジュール境界の内側にある、プライベートフィールドを持つ公開型。
    pub struct Token { proof: () }

    pub fn get_token() -> Option<Token> {
        Some(Token { proof: () })
    }
}

pub fn protected_work(token: token::Token) {
    println!("We have a token, so we can make assumptions.")
}

fn main() {
    if let Some(token) = token::get_token() {
        // トークンがあるので、この作業を実行できます。
        protected_work(token);
    } else {
        // トークンを取得できなかったので、`protected_work` を呼び出せません。
    }
}

動機: ユーザーが特定のタスクを実行するまで、機能へのアクセスを制限できるようにしたい。

これは、struct と module のプライバシールールを通じて、API の利用者が自分では構築できない型を定義することで実現できます。

Newtypes も同様の方法でプライバシールールを使い、値が実行時に不変条件を満たすことが保証されない限り、構築を制限します。
問い: ここでの proof: () フィールドの目的は何ですか？

proof: () がなければ、Token にはプライベートフィールドがなくなり、ユーザーは Token の値を任意に構築できるようになります。

実演: main でトークンを手動で構築してみて、コンパイルエラーを示してください。実演: Token から proof フィールドを削除して、プライベートフィールドがなければユーザーが Token を構築できることを示してください。
Token 型をモジュール境界 (token) の内側に置くことで、そのモジュールの外側のユーザーは proof フィールドにアクセスする権限がないため、自分でその値を構築できません。

API 開発者は、これらのトークンを生成するメソッドや関数を定義できます。ユーザーにはできません。

そのトークンは、API 開発者がそのトークンへのアクセスに対して定めた条件を満たしたことの証明になります。
問い: API 開発者が、これを回避する手段を誤って持ち込んでしまうのはどのような場合でしょうか？

「シリアライズ実装」、ほかのパーサー / 「from string」実装、または Default の実装といった答えを期待します。

権限トークン

トークン型は、確認済みの権限の証明としてうまく機能します。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

mod admin {
    pub struct AdminToken(());

    pub fn get_admin(password: &str) -> Option<AdminToken> {
        if password == "Password123" { Some(AdminToken(())) } else { None }
    }
}

// 権限があることを確認する必要はありません。
// `AdminToken` 引数が、そのような確認と同等だからです。
pub fn add_moderator(_: &admin::AdminToken, user: &str) {}

fn main() {
    if let Some(token) = admin::get_admin("Password123") {
        add_moderator(&token, "CoolUser");
    } else {
        eprintln!("パスワードが正しくありません。権限を証明できませんでした。")
    }
}

この例では、パスワードによってチャットクライアントの管理者権限を取得し、それらの権限を取得した後にユーザーへモデレーター権限を与えることをモデル化しています。 AdminToken 型は、「ユーザーが正しい権限を持っていることの証明」として機能します。

コード内でユーザーにパスワードの入力を求め、パスワードが正しければ、特定の環境（ここではチャットクライアント）内で管理者アクションを実行するための AdminToken を取得します。

権限を取得したら、add_moderator 関数を呼び出せます。

このトークン型なしではその関数を呼び出せないため、そもそも呼び出せるということ自体から、権限を持っているとみなせます。
実演: main でもう一度 AdminToken を構築しようとしてみてください。これは、有用なトークンの基盤が、それらを任意に構築できないようにすることにあると改めて示すためです。

データを持つトークン型: MutexGuard

トークン型が追加のデータを必要とすることもあります。MutexGuard は、権限 + データを表すトークンの一例です。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::sync::{Arc, Mutex, MutexGuard};

fn main() {
    let mutex = Arc::new(Mutex::new(42));
    let try_mutex_guard: Result<MutexGuard<'_, _>, _> = mutex.lock();
    if let Ok(mut guarded) = try_mutex_guard {
        // 取得した MutexGuard は、排他的アクセスの証明です。
        *guarded = 451;
    }
}

Mutex は、値への読み取り/書き込みアクセスに対して相互排他を強制します。すでにこのコースの前半で Mutex は扱いましたが（参照: RAII/Mutex）、ここでは特に MutexGuard を見ていきます。
MutexGuard は、ある時点で読み取り/書き込みアクセス権があることを証明する、 Mutex によって生成される値です。

MutexGuard はさらに、それを生成した Mutex への参照も保持しており、 Deref と DerefMut の実装によって、基盤となる Mutex がそのデータをユーザーから非公開のまま、Mutex のデータにアクセスできます。
mutex.lock() が MutexGuard を返さない場合、mutex 内の値を変更する権限はありません。

権限がないだけでなく、MutexGuard を得ない限り、mutex のデータにアクセスする手段もありません。

これは C++ と対照的です。C++ では、mutex と lock guard はデータ自体へのアクセスを制御せず、単に、データを読むときや操作するときに毎回ユーザーが確認することを覚えておかなければならないフラグとして機能するだけです。
実演: mutex 変数を可変にしてから、それをデリファレンスして値を変更しようとしてみてください。これには Deref 実装がなく、mutex guard を取得する以外に、それが保持しているデータへ到達する方法がないことを示してください。

変数固有のトークン（ブランディング 1/4）

トークンを特定の変数に結び付けたい場合はどうすればよいでしょうか？

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct Bytes {
    bytes: Vec<u8>,
}
struct ProvenIndex(usize);

impl Bytes {
    fn get_index(&self, ix: usize) -> Option<ProvenIndex> {
        if ix < self.bytes.len() { Some(ProvenIndex(ix)) } else { None }
    }
    fn get_proven(&self, token: &ProvenIndex) -> u8 {
        unsafe { *self.bytes.get_unchecked(token.0) }
    }
}

fn main() {
    let data_1 = Bytes { bytes: vec![0, 1, 2] };
    if let Some(token_1) = data_1.get_index(2) {
        data_1.get_proven(&token_1); // 問題なく動作します！

        // let data_2 = Bytes { bytes: vec![0, 1] };
        // data_2.get_proven(&token_1); // panic します！ これを防げるでしょうか？
    }
}

コード内の_特定の変数_にトークンを結び付けたい場合はどうでしょうか？ Rust の型システムでこれを実現できるでしょうか？
動機: バイト配列に対する、既知で有効なインデックスを表すトークン型を持ちたいのです。

これらの証明済みインデックスがあれば、トークンが_存在するインデックスの証明_として機能するため、境界チェックを完全に回避できます。

インデックスが有効であることは分かっているので、get_proven() は境界チェックを省略できます。
この例では、ある配列の証明済みインデックスが別の配列で使われるのを防ぐ仕組みがありません。この場合にインデックスが範囲外であれば、それは未定義動作になります。
実演: data_2.get_proven(&token_1); の行のコメントアウトを外します。

ここでコードは panic します！インデックス用トークン型におけるこの「クロスオーバー」をコンパイル時に防ぎたいのです。
問いかけ: これを実現するには、どのような方法が考えられるでしょうか？

受講者がここから良い実装にたどり着けないことは想定されますが、実験したり、提案に沿って試し進めたりすることには前向きでいてください。
問いかけ: 代替案には何があり、なぜそれでは十分でないのでしょうか？

特に Vec::get と Bytes::get_index のどちらもすでに実行時チェックを使っているため、インデックス境界の実行時チェックという案が出てくるはずです。

実行時の境界チェックでは、そもそもこの誤ったクロスオーバーを防げず、 panic が起きることが保証されるだけです。
ここで行うこの種のトークン関連付けは、ブランディングと呼ばれます。これは、より多くの API 設計にトークン型を適用できるようにする高度なテクニックです。
GhostCell はこの手法の著名な利用例であり、後のスライドで触れます。

`PhantomData` とライフタイムのサブタイピング（ブランディング 2/4）

アイデア:

各トークンに対してライフタイムを一意のブランドとして使う。
ライフタイム同士が暗黙に相互変換されないよう、十分に区別できるようにする。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::marker::PhantomData;

#[derive(Default)]
struct InvariantLifetime<'id>(PhantomData<&'id ()>); // 主なポイント

struct Wrapper<'a> { value: u8, invariant: InvariantLifetime<'a> }

fn lifetime_separator<T>(value: u8, f: impl for<'a> FnOnce(Wrapper<'a>) -> T) -> T {
    f(Wrapper { value, invariant: InvariantLifetime::default() })
}

fn try_coerce_lifetimes<'a>(left: Wrapper<'a>, right: Wrapper<'a>) {}

fn main() {
    lifetime_separator(1, |wrapped_1| {
        lifetime_separator(2, |wrapped_2| {
            // これはコンパイルされないようにしたい
            try_coerce_lifetimes(wrapped_1, wrapped_2);
        });
    });
}

Rust では、ライフタイム同士にサブタイプ関係が成り立つことがあります。

この種の関係により、あるライフタイムが別のライフタイムより長く存続するかどうかをコンパイラが判断できます。

あるライフタイムが別のライフタイムより長く存続するかを判断できるということは、最も短い共通ライフタイムは最初に終わるものだ と言えることでもあります。

これは多くの場合に有用です。というのも、2 つの異なるライフタイムが重なっている領域では、それらを同じものとして扱えるからです。

通常、これは望ましい挙動です。しかしここでは、ライフタイムを値の区別に使いたいので、宣言する変数ごとに毎回 newtype を作らなくても、トークンが 1 つの変数にしか適用されないようにしたいのです。
目標: Rust コンパイラが、一方が他方より長く存続するかどうかを判断できない 2 つのライフタイムがほしい。

ここでは try_coerce_lifetimes をコンパイル時チェックとして使い、ライフタイムに共通のより短いライフタイムが存在するかどうか（つまりサブタイプ化されるかどうか）を見ています。
注: このスライドは現時点ではコンパイルできますが、このスライドの終わりまでには、try_coerce_lifetimes をコメントアウトしたときにのみコンパイルできるようになるはずです。
このコードには重要な部分が 2 つあります:
- lifetime_separator に渡しているクロージャの impl for<'a> 制約。
- PhantomData のパラメータでライフタイムを使っている方法。

クロージャに対する `for<'a>` 制約

ここでは for<'a> を、関数型にライフタイムのジェネリックパラメータを導入し、その関数本体が可能なすべてのライフタイムで動作することを要求する手段として使っています。

これによって、関数引数のその特定のライフタイムについてコンパイラが立てられる仮定も一部取り除かれます。というのも、引数が実際にはどのライフタイムを持つことになるとしても、Rust の borrow checking ルールを満たさなければならないからです。実際のライフタイムを代入するのは呼び出し側であり、関数自身ではありません。

これは数学における全称量化子（Ɐ）や、型変数として <T> を導入するやり方に似ていますが、トレイト境界におけるライフタイムに対してだけ適用されます。

型 T に対してジェネリックな関数を書くとき、関数の内部からその型を判断することはできません。たとえば、同じ型の 2 つの引数で関数 fn foo<T, U>(first: T, second: U) を呼び出したとしても、この関数の本体から T と U が同じ型かどうかは判断できません。

これにより、API の利用者 が自分でライフタイムを定義して、こちらが課したい制約を回避できてしまうことも防げます。

`PhantomData` とライフタイム変性

PhantomData はすでに知っています。これは、そうでなければ未使用になる型やライフタイムパラメータを、形式上だけ使用していることにできます。
質問: PhantomData で何ができますか？

想定される回答: Typestate パターン、所有される値同士のライフタイムを結び付けること。
質問: 他の言語におけるサブタイピングとは何ですか？

想定される回答: 継承、B が A の「サブタイプ」なので、型 A の値が求められる場所で型 B の値を使えること。
Rust にもサブタイピングはあります！ただしライフタイムに対してだけです。

質問: あるライフタイムが別のライフタイムのサブタイプだとしたら、それは何を意味するでしょうか？

あるライフタイムが別のライフタイムの「サブタイプ」であるのは、そのライフタイムが相手のライフタイムより 長く存続するとき です。
PhantomData で使われるライフタイムの振る舞いは、そのライフタイムがどこから「来る」かだけでなく、参照がどのように定義されているかにも依存します。

これがコンパイルできてしまう理由は、InvariantLifetime の中にあるライフタイムの変性が緩すぎるからです。

注: ここで受講者に変性を完全に理解してもらえるとは期待しないこと。ここでは、ライフタイムがサブタイプ関係を確立できる度合いに対する、制約の強さのはしごのようなものとして扱ってください。
質問: これをもっと制約の強いものにするにはどうすればよいでしょうか？ Rust では参照型をどうすればより制約的にできますか？

想定される回答または実演: &'id mut () にすること。ただし、これだけでは十分ではありません！

必要なのは、ライフタイムについて、同一のライフタイム である場合を除いてサブタイピングを推論できない変性を使うことです。つまり、コンパイラが 'a のサブタイプとして認識できるのは 'a 自身だけです。

注: 繰り返しますが、クラス全体に変性を理解させようとはしないでください。今のところは、これも制約の強さのはしごとして扱ってください。

実演: &'id ()（ライフタイムと型の両方で共変）、&'id mut ()（ライフタイムでは共変、型では不変）、*mut &'id mut ()（ライフタイムと型の両方で不変）、最後に *mut &'id ()（ライフタイムでは不変だが、型については不変ではない）へと変えていく。

最後の 2 つはコンパイルできないはずであり、これによって、この文脈では互いに比較できないようライフタイムを PhantomData に結び付ける候補をついに見つけたことになります。

理由: *mut は可変生ポインタを意味します。Rust には可変ポインタがあります！しかし safe Rust ではそれについて推論できません。ライフタイムを持つ参照への可変生ポインタにすることで、borrow checker の中では可変生ポインタについて推論できないため、コンパイラがサブタイプ関係を判断するのが難しくなります。
まとめ: コンパイラがライフタイムを「十分似ている」と判断しないようにする方法を導入しました。具体的には、このスライドがコンパイルできないようにするのに十分制約の強い、PhantomData におけるライフタイムの変性を選ぶということです。

つまり、同じスコープ内に同時に存在できる変数を、あまり多くのボイラープレートなしに、変数ごとに自動的に互いに異なる型にできるようになったのです。

さらに探ること

for<'a> 量化子は関数型のためだけのものではありません。これは 高階トレイト境界 です。

ブランド付き型の実装 (ブランド化 3/4)

ブランド付き型の構築方法は、ブランドなしの型の構築方法とは異なります。

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::marker::PhantomData;

#[derive(Default)]
struct InvariantLifetime<'id>(PhantomData<*mut &'id ()>);
struct ProvenIndex<'id>(usize, InvariantLifetime<'id>);

struct Bytes<'id>(Vec<u8>, InvariantLifetime<'id>);

impl<'id> Bytes<'id> {
    fn new<T>(
        // このコンテキストで変更したいデータ。
        bytes: Vec<u8>,
        // `Bytes` のライフタイムに一意のブランドを付与する関数
        f: impl for<'a> FnOnce(Bytes<'a>) -> T,
    ) -> T {
        f(Bytes(bytes, InvariantLifetime::default()),)
    }

    fn get_index(&self, ix: usize) -> Option<ProvenIndex<'id>> {
        if ix < self.0.len() { Some(ProvenIndex(ix, InvariantLifetime::default())) }
        else { None }
    }

    fn get_proven(&self, ix: &ProvenIndex<'id>) -> u8 {
        debug_assert!(ix.0 < self.0.len());
        unsafe { *self.0.get_unchecked(ix.0) }
    }
}

動機: ある型に対して「証明済みインデックス」を持たせたい一方で、それらのインデックスが同じ型の別の変数で使えてしまってほしくありません。また、それらのインデックスがスコープの外へ逃げてしまうことも避けたいです。

今回のブランド付き型は Bytes: バイト配列です。

今回のブランド付きトークンは ProvenIndex: 範囲内であることが分かっているインデックスです。
この実装には注目すべき点がいくつかあります:
- new は Bytes を返さず、代わりに「開始データ」と、一度だけ使われ、呼び出されたときに Bytes が渡されるクロージャを受け取ります。
- その new 関数は、トレイト境界に for<'a> を持っています。
- インデックスを取得する getter と、証明済みインデックスで値を取得する getter の両方があります。
問い: なぜ new は Bytes を返さないのでしょうか?

答え: Bytes には API が制御する一意なライフタイムを持たせる必要があるからです。
問い: では、new() が Bytes を返したらどうなるのでしょうか? 具体的にはどのような問題が生じますか?

答え: 仮にその new() メソッドがあるとして、そのシグネチャを考えてみてください:

fn new<'a>() -> Bytes<'a> { ... }

これでは API の利用者がライフタイム 'a を何にするか選べてしまい、異なる Bytes のインスタンス間のライフタイムが一意であり、互いにサブタイプ化できないことを保証する能力が失われます。
問い: なぜ get_index と get_proven の両方が必要なのでしょうか?

想定される答え: 「あるインデックスが有効かどうかはコンパイル時には分からないから」

問い: では、証明済みインデックスにはどんな意味があるのでしょうか?

答え: 境界チェックを避けつつ、どのインデックスが有効かという知識を個々の変数ごとに保持し、誤って別の変数に対して使えないようにするためです。

注: 焦点は境界チェックの過剰な使用を避けることだけではなく、インデックスが別の変数へ「またがって」使われるのを防ぐことにもあります。

実際の Branded Types（Branding 4/4）

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::marker::PhantomData;

#[derive(Default)]
struct InvariantLifetime<'id>(PhantomData<*mut &'id ()>);
struct ProvenIndex<'id>(usize, InvariantLifetime<'id>);

struct Bytes<'id>(Vec<u8>, InvariantLifetime<'id>);

impl<'id> Bytes<'id> {
    fn new<T>(
        // このコンテキストで変更したいデータ。
        bytes: Vec<u8>,
        // `Bytes` のライフタイムを一意にブランド化する関数
        f: impl for<'a> FnOnce(Bytes<'a>) -> T,
    ) -> T {
        f(Bytes(bytes, InvariantLifetime::default()))
    }

    fn get_index(&self, ix: usize) -> Option<ProvenIndex<'id>> {
        if ix < self.0.len() {
            Some(ProvenIndex(ix, InvariantLifetime::default()))
        } else {
            None
        }
    }

    fn get_proven(&self, ix: &ProvenIndex<'id>) -> u8 {
        self.0[ix.0]
    }
}

fn main() {
    let result = Bytes::new(vec![4, 5, 1], |mut bytes_1| {
        Bytes::new(vec![4, 2], |mut bytes_2| {
            let index_1 = bytes_1.get_index(2).unwrap();
            let index_2 = bytes_2.get_index(1).unwrap();
            bytes_1.get_proven(&index_1);
            bytes_2.get_proven(&index_2);
            // bytes_2.get_proven(&index_1); // ❌🔨
            "計算が完了しました！"
        })
    });
    println!("{result}");
}

これで実装の準備が整ったので、既存のインデックスの証明であるトークン型を変数間で共有できないプログラムを書けるようになりました。
デモ: bytes_2.get_proven(&index_1); の行のコメントを外し、異なる変数のインデックスを使用するとコンパイルできないことを示してください。

問い: 証明済みインデックスを生成することが保証できる操作には、どのようなものがあるでしょうか。

push の実装が期待されます。デモ案:

#![allow(unused)]
fn main() {
// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn push(&mut self, value: u8) -> ProvenIndex<'id> {
    self.0.push(value);
    ProvenIndex(self.0.len() - 1, InvariantLifetime::default())
}
}

問い: これを単なるバイト配列ではなく、Vec<T> の一般的なラッパーにできるでしょうか。

簡単です: できます！

デモ案: Bytes<'id> を BrandedVec<'id, T> に一般化する
問い: このようなものは、ほかにどのような領域で使えるでしょうか。
この結果得られるトークン API は 非常に制約が強い ものですが、Rust の型システム内で安全であると証明可能になる事柄には、十分に意味があります。

さらに探る

GhostCell は、Rust において安全な循環データ構造（や、これまで表現が難しかったほかのデータ構造）を可能にする構造であり、この種のトークン型を使って、これらの例で示した操作に似た処理が安全であると分かっているコンテキストからセルが「逃げ出す」ことがないようにしています。

この「Branded Types」スライド連作は、論文中の BrandedVec 実装に基づいており、このユースケースの実装詳細の多くを、GhostCell 自体が実際にどのように実装・利用されるかを理解するための穏やかな導入として、より深く扱っています。

GhostCell はまた、この種のコンテキスト（ライフタイムのブランド化）で許可されることが安全であることを証明するために、Rust の型システムの外側でも形式的な検証を利用しています。

ポリモーフィズム

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Trait {}

pub struct HasGeneric<T>(T);

pub enum Either<A, B> {
    Left(A),
    Right(B),
}

fn takes_generic<T: Trait>(value: &T) {}

fn takes_dyn(value: &dyn Trait) {}

Rust にはポリモーフィックなコードを記述して利用するための仕組みが豊富にありますが、それらは他の一般的な言語とはやや異なります。
この章では、Rust のポリモーフィズムの詳細と、それが他の言語とどのように似ているのか、あるいはどのように異なるのかを説明します。

おさらい

Rust のジェネリクスとポリモーフィズムの基本的な機能。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct HasGenerics<T>(...);

pub fn uses_traits<T: Debug>(input: T) {...}

pub trait TraitBounds: Clone {...}

このセクションでは、Rust のポリモーフィズムに対するアプローチの中核となる概念、つまり日常的な使用で最もよく遭遇するものを見ていきます。

トレイト、プロトコル、インターフェース

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

trait Receiver {
    fn send(&self, message: &str);
}

struct EmailAddress(String);

impl Receiver for EmailAddress {
    fn send(&self, message: &str) {
        println!("Email to {}: {}", self.0, message);
    }
}

struct ChatId {
    uuid: [u8; 16],
}

impl Receiver for ChatId {
    fn send(&self, message: &str) {
        println!("Chat message sent to {:?}: {}", self.uuid, message);
    }
}

Rust における多相性とジェネリクスの概念は、トレイトを中心に大きく構築されています。
トレイトは、ジェネリックな文脈で型に対して課される要件です。
要件は、コンパイル時に検査されるダックタイピングによく似たものとして機能します。

ダックタイピングは、Python のような動的で型なしの言語の実践に由来する概念で、「アヒルのように歩き、アヒルのように鳴くなら、それはアヒルだ」というものです。

つまり、関数が期待するメソッドやフィールドを持つ型は、どれもその関数にとって有効な入力です。ある型がメソッドを実装していれば、ダックタイピングの文脈ではその型として扱われます。

トレイトは静的なダックタイピングの仕組みのように振る舞い、型ではなく振る舞いを指定します。ただし、その振る舞いが本当に存在するかどうかをコンパイル時に検査できます。
別の見方をすると、トレイトは命題の集まりのようなものであり、ある型に対してトレイトを実装することは、そのトレイトが要求されるあらゆる場所でその型を使用できることの証明です。

トレイトには必須メソッドがあり、それらのメソッドを実装することが、ある型が必要な振る舞いを備えていることの証明になります。

参考:

https://doc.rust-lang.org/reference/items/traits.html

ジェネリクスに対するトレイト境界

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Display;

fn print_with_length<T: Display>(item: T) {
    println!("Item: {}", item);
    println!("Length: {}", item.to_string().len());
}

fn main() {
    let number = 42;
    let text = "Hello, Rust!";

    print_with_length(number); // 整数でも動作します
    print_with_length(text); // 文字列でも動作します
}

トレイトは、関数やメソッドのジェネリック型パラメータに対する境界として使われることが最も一般的です。

ジェネリック型パラメータにトレイト境界がないと、関数やメソッドを記述するために利用できる振る舞いにアクセスできません。

トレイト境界を使うと、型がジェネリックなコードで機能するために必要な最小限の振る舞いを指定できます。

参照:

https://doc.rust-lang.org/reference/trait-bounds.html

トレイトの導出

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug, PartialEq, Eq, PartialOrd, Ord)]
struct BufferId([u8; 16]);

#[derive(Debug, PartialEq, Eq, PartialOrd, Ord)]
struct DrawingBuffer {
    target: [u8; 16],
    commands: Vec<String>,
}

多くのトレイト、プロトコル、インターフェースには、自明な実装があり、それらは機械的に簡単に書けます。
型の定義（その構文木）は手続きマクロ（コンパイラプラグイン）に渡して、トレイト実装を自動生成できます。

これらのマクロは誰かが作成しなければならず、コンパイラがすべてを自力で理解できるわけではありません。
多くのトレイトには、素朴で明白な実装があります。ほとんどは、すべてのフィールドまたはバリアントがすでにそのトレイトを実装していることに依存する実装です。

PartialEq/Eq は、そのすべてのフィールド / バリアントがそれらのトレイトを実装している型であれば、かなり簡単に導出できます。フィールド / バリアントを対応させて並べ、どれか 1 つでも一致しなければ、等価性チェックは false を返します。
derive を使うと、機械的かつ予測可能な形でボイラープレートを避けられます。derive 実装の作者は、そのトレイトの作者であるか、少なくともトレイトの適切な意味論を念頭に置いて derive を実装している可能性が高いです。
クラスに質問する: ほとんどのコードが自明なボイラープレートであるコードベースを、学生が扱ったことはありますか？
これは Haskell の deriving システムに似ています。

参考資料:

https://doc.rust-lang.org/reference/attributes/derive.html#r-attributes.derive

デフォルトのメソッド実装

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait CollectLeaves {
    type Leaf;

    // 必須メソッド
    fn collect_leaves_buffered(&self, buf: &mut Vec<Self::Leaf>);

    // デフォルト実装
    fn collect_leaves(&self) -> Vec<Self::Leaf> {
        let mut buf = vec![];
        self.collect_leaves_buffered(&mut buf);
        buf
    }
}

トレイトには、必要なメソッドを実装すると、すでに実装済みのメソッドを利用できるものがよくあります。
トレイトメソッドは、関数本体が存在する場合、デフォルト実装を持ちます。この実装は、そのトレイト内の他のメソッドやスーパートレイトのメソッドなど、利用可能な他のメソッドを用いて記述できます。
多くの場合、実装に必要な大まかな機能を提供するメソッド（Ord の compare など）に対して、それらのメソッドを用いて実装できる関数（Ord の max/min/clamp など）のデフォルト実装が用意されています。
derive マクロは実装内に任意の AST を生成するため、デフォルトメソッドは derive マクロによってオーバーライドできます。

参照:

https://doc.rust-lang.org/reference/items/traits.html#r-items.traits.associated-item-decls

スーパートレイト / トレイトの依存関係

トレイトは新しいトレイトによって拡張できます。

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Animal {
    /* すべての動物に共通のメソッド */
}

pub trait Mammal: Animal {
    /* 哺乳類専用のメソッド */
}

// stdlib より

pub trait Ord: Eq + PartialOrd {
    /* Ord 用のメソッド */
}

トレイトを作成するときは、型があわせて実装しなければならないトレイトを指定できます。これらは スーパートレイト と呼ばれます。

上の例では、Mammal を実装する型はすべて Animal も実装しなければなりません。
このようなトレイトの階層により、複雑な現実世界の分類体系（動物相、マシンハードウェア、オペレーティングシステム固有の事項など）の振る舞いを中心にシステムを設計できます。
これはオブジェクト継承とは別物です！ただし、見た目は似ています。
- オブジェクト継承ではオーバーライドが可能で、継承した型の振る舞いがデフォルトで取り込まれます。
- トレイトがスーパートレイトを持っていても、そのトレイトがメソッド実装をデフォルト実装としてオーバーライドできることを意味するわけではありません。

参考:

https://doc.rust-lang.org/reference/items/traits.html?highlight=supertrait#r-items.traits.supertraits

ブランケットトレイト実装

トレイトがローカルであれば、好きなだけ多くの型に対して実装できます。これをどこまで進められるでしょうか？

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait PrettyPrint {
    fn pretty_print(&self);
}

// ブランケット実装です！ 何かが Display を実装していれば、
// PrettyPrint も実装していることになります。
impl<T> PrettyPrint for T
where
    T: std::fmt::Display,
{
    fn pretty_print(&self) {
        println!("{self}")
    }
}

トレイトの定義箇所では、トレイト実装の対象は何でもかまわず、境界のない T も含まれます。

何も分からない T に対しては何もできないため、これは一般的ではありません。
条件付きブランケット実装は、はるかに有用で、見かけたり自分で書いたりする機会も多いでしょう。

こうした実装では、impl <T: Display> ToString for T {...} のように、トレイトに境界が付きます。

上の例では、Display を実装するすべての型に対するブランケット実装があります。この実装がトレイト境界から利用できる情報は 1 つで、Display::fmt を実装していることです。

これは、コンソールに整形表示する実装を書くには十分です。
ただし、この種の実装には注意してください。結果として、下流のユーザーがより意味のある実装を行えなくなる可能性があります。

上の例を Debug 向けに書いていないのは、そうするとほとんどすべての型が PrettyPrint を実装することになってしまうからです。また、Debug は意味的に Display と似ていません。Debug は、より人間が読みやすいものではなく、デバッグ出力を目的としています。

参照:

https://doc.rust-lang.org/reference/glossary.html#blanket-implementation

条件付きメソッド実装

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 型定義にはトレイト境界を付けません。
pub struct Value<T>(T);

// 代わりに、境界はその型の実装に付けます。
impl<T: std::fmt::Display> Value<T> {
    fn log(&self) {
        println!("{}", self.0);
    }
}

// あるいは
impl<T> Value<T> {
    // where 句でトレイト境界を指定します
    fn log_error(&self)
    where
        T: std::error::Error,
    {
        eprintln!("{}", self.0);
    }
}

ジェネリックパラメータを持つ型を作成するときは、そのパラメータが何であるか、またはどのトレイトを実装しているかに応じて、その型の実装を書くことができます。
これらのメソッドは、その型がそれらの条件を満たす場合にのみ利用できます。
順序付き集合のように、内部の型を常に Ord にしたい場合には、これが型のパラメータにトレイト境界を付けるための推奨される方法です。

これを型自体の定義には付けません。そうすると、ジェネリックパラメータ付きでその型が言及されるあらゆる利用側の箇所で問題を引き起こすためです。

条件付きメソッド実装でも、不変条件は十分に維持できます。

孤児ルール

何が、ユーザーが任意の型に対して任意のトレイト実装を書けないようにしているのでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// クレート `postgresql-bindings`

pub struct PostgresqlConn(/* 詳細 */);

// `postgresql-bindings` に依存するクレート `database-traits`

pub trait DbConnection {
    /* メソッド */
}

impl DbConnection for PostgresqlConn {} // ✅, `DbConnection` はローカルです。

// `database-traits` に依存するクレート `mycoolnewdb`

pub struct MyCoolNewDbConn(/* 詳細 */);

impl DbConnection for MyCoolNewDbConn {} // ✅, `MyCoolNewDbConn` はローカルです。

// `PostgresqlConn` と `DbConnection` はどちらも `mycoolnewdb` に対してローカルではありません。
// これでは `PostgresqlConn` に対する `DbConnection` の実装が 2 つになってしまいます！
impl DbConnection for PostgresqlConn {} // ❌🔨

Rust のエコシステムでは、トレイトが二重に実装可能であってはなりません。同じ型に対する同じトレイトの 2 つの実装は、解決策のない競合です。
1 つのクレート内であれば、複数の定義を検出して禁止することでこれを防げます。しかし、Rust エコシステム全体にまたがるクレート間ではどうでしょうか？
型は、そのクレート内で定義されている、つまりクレートに対して ローカル であるか、そうでないかのどちらかです。

この例の「クレート」では、PostgresqlConn は postgresql-bindings に対してローカルであり、MyCoolNewDbConn は mycoolnewdb に対してローカルです。
トレイトも同様に、そのクレート内で定義されている、つまりクレートに対して ローカル であるか、そうでないかのどちらかです。

同じくこの例では、DbConnection トレイトは database-traits に対してローカルです。
何かがローカルであれば、それに対するトレイト実装を書けます。

トレイトがローカルであれば、そのトレイトの実装を任意の型に対して書けます。

型がローカルであれば、その型に対する任意のトレイト実装を書けます。
これらの境界の外では、トレイト実装を書くことはできません。

これにより実装の「コヒーレンス」が保たれます。つまり、ある型に対するあるトレイトの実装は、クレートをまたいでも 1 つしか存在できません。

参考:

https://doc.rust-lang.org/stable/reference/items/implementations.html#r-items.impl.trait.orphan-rule

静的にサイズが決まる型と動的にサイズが決まる型

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Debug;

pub struct AlwaysSized<T /* : Sized */>(T);

pub struct OptionallySized<T: ?Sized>(T);

type Dyn1 = OptionallySized<dyn Debug>;

動機: サイズがコンパイル時にわかる型と、サイズが実行時にわかる型を区別して指定できることは、次の点で有用です
Sized トレイトは、サイズがコンパイル時にわかる型に対して自動的に実装されます。

このトレイトは、Sized であることをオプトアウトしていないすべての型パラメータにも自動的に追加されます。
ほとんどの型は Sized を実装しています。つまり、それらのサイズはコンパイル時にわかります。

[T]、str、dyn Trait のような型は、いずれも動的サイズ型です。それらのサイズは、その型の値への参照の一部として格納されます。
型パラメータは、特に指定しない限り自動的に Sized を実装します。

参考:

https://doc.rust-lang.org/stable/reference/dynamically-sized-types.html#r-dynamic-sized

単相化とバイナリサイズ

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn print_vec<T: std::fmt::Debug>(debug_vec: &Vec<T>) {
    for item in debug_vec {
        println!("{:?}", item);
    }
}

fn main() {
    let ints = vec![1u32, 2, 3];
    let floats = vec![1.1f32, 2.2, 3.3];

    // 1つ目のインスタンス、&Vec<u32> -> ()
    print_vec(&ints);
    // 2つ目のインスタンス、&Vec<f32> -> ()
    print_vec(&floats);
}

ジェネリクスを持つ関数や型の各インスタンスは、コンパイル時に一意で具体的なバージョンへと変換されます。ジェネリクスは実行時には存在せず、あるのは具体的な型だけです。
これにより、高い基本性能と最適化のしやすさが得られますが、その代償としてバイナリサイズとコンパイル時間が増加します。
バイナリサイズやコンパイル時間を削減する方法は数多くありますが、ここではそれらは扱いません。
使った分だけ支払う: 単相化によるバイナリサイズの増加が発生するのは、最終的なプログラムまたは動的ライブラリで使われる型のインスタンス化や、その型に対する関数についてのみです。
気にすべき場面: 単相化はコンパイル時間とバイナリサイズに影響します。ブラウザ内で動く WebAssembly や組み込みシステム開発のような状況では、ジェネリクスを前提にした設計を意識したほうがよいかもしれません。

OOP から Rust へ: 継承ではなくコンポジション

継承は、パラダイムとしての OOP の成功の鍵です。ビジネスロジックの中核として継承を用いた、成功したソフトウェアエンジニアリングが何十年にもわたって行われてきました。
では、なぜ Rust は継承を避けたのでしょうか？
継承ベースの問題解決から Rust のアプローチへ、どのように移行すればよいのでしょうか？
Rust では異種コレクションをどのように表現するのでしょうか？

このセクションでは、java や C++ などの OOP 言語における、型を使った多態的な問題解決の考え方から、Polymorphism に対する Rust のトレイトベースのアプローチへどのように移行するかを見ていきます。
違いはありますが、共通する点も数多くあります。特に、OOP 開発のモダンな標準とは多くを共有しています。オープンな気持ちを保つことを忘れないでください。

OOP言語における継承

// 基底クラス
class Vehicle {
public:
    void accelerate() { }
    void brake() { }
};

// 継承するクラス
class Car : public Vehicle {
public:
    void honk() { }
};

int main() {
    Car myCar;                  // Car オブジェクトを作成
    myCar.accelerate();         // 継承したメソッド
    myCar.honk();               // Car 独自のメソッド
    myCar.brake();              // 継承したメソッド
    return 0;
}

これは、他の言語における継承とは何かについて、学生向けの短いリマインダーにする必要があります。
継承は、「子」型が継承元である「親」型のフィールドとメソッドを獲得する仕組みです。
メソッドは、必要に応じて継承する型がオーバーライドできます。
super を使うと、継承元クラスのメソッドを呼び出せます。

Rust に継承がないのはなぜですか？

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct Id {
    pub id: u32
}

impl Id {
    // メソッド
}

// 🔨❌、Rust には継承がありません！
pub struct Data: Id {
    // 継承された "id" フィールド
    pub name: String,
}

impl Data {
    // メソッドですが、Id のメソッドも含まれるか、
    // あるいはそれらのメソッドをオーバーライドする可能性もあります。
}

// ✅
pub struct Data {
    pub id: Id,
    pub name: String,
}

impl Data {
    // トレイト由来ではない Data のすべてのメソッド。
}

impl SomeTrait for Data {
    // トレイトの実装は別個の impl ブロックに記述します。
}

継承にはいくつもの欠点があります。
デフォルトで異種の型を混在させられる:

クラス継承では、異なるクラスの型を暗黙的に相互交換可能なものとして扱えますが、具体的な型や、ある型が別の型と同一であるかどうかを指定できません。

これにより、等値判定や比較のような操作で、エラーを投げたり別の形でパニックしたりする比較や等値判定が許されてしまいます。
データ構造の構成要素とその振る舞いを決める正となる情報源が複数ある:

型のフィールドは継承階層によって見えにくくなります。

型のメソッドは親型をオーバーライドしているかもしれず、あるいは子型によってオーバーライドされるかもしれないため、複数の当事者によって保守される複雑なコードベースでは、その型の振る舞いを把握するのが困難です。
デフォルトの動的ディスパッチでは、vtable のルックアップによるオーバーヘッドが加わる:

動的ディスパッチを機能させるには、呼び出すべきメソッドや、その型について実行時にのみ分かるその他の情報を格納する場所が必要です。

この格納先が、その値に対する vtable です。メソッド呼び出しでは、コンパイル時に型が分かっている場合のメソッド呼び出しよりも多くの間接参照が必要になります。

Rust の視点から見た継承

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// データ
pub struct Data {
    id: usize,
    name: String,
}

// 具体的な振る舞い
impl Data {
    fn new(id: usize, name: impl Into<String>) -> Self {
        Self { id, name: name.into() }
    }
}

// 抽象的な振る舞い
trait Named {
    fn name(&self) -> &str;
}

// 実装された振る舞い
impl Named for Data {
    fn name(&self) -> &str {
        &self.name
    }
}

Rust の視点、つまり継承というものがこれまで存在しなかった視点からすると、継承を導入することは、型とトレイトの境界を曖昧にするように見えます。
型は、具体的なデータと、それに関連付けられた振る舞いです。

トレイトは、型によって実装されなければならない抽象的な振る舞いです。

クラスは、データ、振る舞い、そしてその振る舞いに対するオーバーライドを組み合わせたものです。
Rust から来た立場では、継承可能なクラスは、型でもありトレイトでもあるもののように見えます。
これは利点ではありません。なぜなら、具体的な型について推論できなくなるからです。
この 2 つを分離できないと、ジェネリックな振る舞いと具体的な詳細について考えるのが難しくなります。なぜなら、OOP ではこれら 2 つの概念が互いに結び付けられているからです。
フラットなフィールドアクセスや型定義における DRY の利便性は、振る舞いとデータを区別して書くコードが持つ明確さを失う代償に見合うものではありません。

Rust における「継承」: スーパートレイト

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait SuperTrait {}

pub trait Trait: SuperTrait {}

Rust では、トレイトはほかのトレイトに依存できます。トレイトがスーパートレイトを持てることは、すでによく知られています。
これは表面的には継承に似ています。
これは継承に似た仕組みですが、データと振る舞いを分離します。
振る舞いを把握しやすい状態に保ちます。
「多重継承」で実現したいことも、より簡単に実現できます:

ある型がどのような振る舞いを行えるかだけを、私たちはその振る舞いを必要とすることを明確にする時点で気にすれば十分です（ジェネリックをトレイトで境界付けするとき）。

ジェネリックに複数のトレイトを指定すれば、その型がそれらすべてのトレイトのメソッドを持つことがわかります。
フィールドの継承は関係しません。トレイトはフィールドを公開せず、メソッドと関連型 / 定数だけを公開します。

継承よりコンポジション

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct Uuid([u8; 16]);

pub struct Address {
    street: String,
    city_or_province: String,
    code: String,
    country: String,
}

pub struct User {
    id: Uuid,
    address: Address,
}

ミックスインや継承ではなく、異なる型のフィールドを作成することで型を組み合わせます。

これには欠点もあり、主にフィールドアクセスの使い勝手に関するものですが、その一方で、型が何を行い、何にアクセスできるのかについて、開発者に大きな制御性と明確さをもたらします。
trait を derive する際は、struct のすべてのフィールド型、または enum のすべてのバリアント型がその trait を実装していることを確認してください。derive マクロは、新しい型を構成するすべての型がその trait をすでに実装していることを前提としていることがよくあります。

Rust で動的ディスパッチを行うための `dyn Trait`

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Trait {}

impl Trait for i32 {}
impl Trait for String {}

fn main() {
    let int: &dyn Trait = &42i32;
    let string: &dyn Trait = &String::from("Hello dyn!");;
}

動的ディスパッチはオブジェクト指向プログラミングにおける手法であり、型が何であるかよりも、その型の振る舞いをより重視する必要がある場面でよく使われます。

OOP 言語では、動的ディスパッチは多くの場合 暗黙的な プロセスであり、それを使わないという選択はできません。

Rust では dyn Trait を使います。これは動的ディスパッチに明示的に参加する形式です。
dyn 互換 な任意のトレイトについて、そのトレイトを実装する値への参照を dyn Trait 値へ型強制できます。
これらを トレイトオブジェクト と呼びます。その型はコンパイル時には分かりませんが、その振る舞い、つまりトレイト自体によって定義されるものは分かっています。
OOP スタイルの異種データ構造が 必要な 場合は、Box<dyn Trait> を使えますが、まずは同種でジェネリクスベースに保つことを試してください！

dyn互換のトレイト

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub trait Trait {
    // dyn互換
    fn takes_self(&self);

    // dyn互換だが、dyn の場合はこのメソッドを使えない
    fn takes_self_and_param<T>(&self, input: &T);

    // dyn互換ではなくなる
    const ASSOC_CONST: i32;

    // dyn互換ではなくなる
    fn clone(&self) -> Self;
}

すべてのトレイトがトレイトオブジェクトとして呼び出せるわけではありません。呼び出せるトレイトは dyn互換 トレイトと呼ばれます。
以前はこれを object safe traits または object safety と呼んでいました。
動的ディスパッチでは、コンパイル時の型情報の多くが実行時の vtable 情報へと移されます。

ある概念が、vtable に意味のある形で格納できるものと両立しない場合、そのトレイトは dyn互換ではなくなるか、あるいはそのメソッドは dyn コンテキストで使えないように除外されます。
あるトレイトが dyn互換であるのは、すべてのスーパートレイトが dyn互換であり、関連定数や関連型を持たず、ジェネリクスに依存するメソッドを持たない場合です。
dyn非互換なトレイトに最もよく遭遇するのは、それらが関連型/関連定数を持っている場合や、Self を返す場合です（つまり Clone トレイトは dyn互換ではありません）。

これは、関連するデータを vtable に格納する必要があり、そのぶん追加のメモリを消費するためです。

clone のようなメソッドでは、出力型が self の具体的な型に依存するため、これにより dyn互換ではなくなります。

参照:

https://doc.rust-lang.org/1.91.1/reference/items/traits.html#r-items.traits.dyn-compatible

ジェネリック関数パラメータ vs dyn Trait

多相的な関数を書くには 2 つの方法がありますが、それらはどのように比較できるでしょうか？

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn print_display<T: std::fmt::Display>(t: &T) {
    println!("{}", t);
}

fn print_display_dyn(t: &dyn std::fmt::Display) {
    println!("{}", t);
}

fn main() {
    let int = 42i32;
    // i32 入力用の固有の関数に単相化される。
    print_display(&int);
    // 各型につき 1 つ
    print_display_dyn(&int);
}

ジェネリクスまたはトレイトオブジェクトを使って、多相的な関数を書けます。
ジェネリックパラメータを持つ関数を書く場合、パラメータに代入される型ごとに、その関数の新しいバージョンが生成されます。

これは単相化で見たとおりです。バイナリサイズと引き換えに、より高い最適化の余地が得られます。
トレイトオブジェクトを受け取る関数を書く場合、その関数のバージョンは最終的なバイナリには 1 つしか存在しません（インライン化は除きます）。
ジェネリックパラメータは、バイナリサイズを除けばゼロコストです。型は均質でなければなりません（T のすべてのインスタンスは同じ型でしかありえません）。

トレイトオブジェクトの制限

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::any::Any;

pub trait Trait: Any {}

impl Trait for i32 {}

fn main() {
    dbg!(size_of::<i32>()); // 4 バイト、所有値
    dbg!(size_of::<&i32>()); // 8 バイト、参照
    dbg!(size_of::<&dyn Trait>()); // 16 バイト、ワイドポインタ
}

トレイトオブジェクトは、問題を解決するための限定的な方法です。
トレイトオブジェクトから具象型へダウンキャストしたい場合は、対象のトレイトが Any をスーパートレイトとして持つこと、またはトレイトオブジェクトがメインのトレイトと Any の両方に対するものであることを指定する必要があります。

それでもなお、dyn MyTrait を dyn Any にキャストする必要があります。
トレイトオブジェクトにはメモリ上のオーバーヘッドがあります。これは「ワイドポインタ」であり、データそのものへのポインタだけでなく、vtable 用の別のポインタも保持する必要があります。
トレイトオブジェクトは動的サイズ付き型であるため、実用上は参照型またはポインタ型を介してしか使用できません。

トレイトオブジェクトを使用する際には、値のデリファレンスと関連するトレイトメソッドの呼び出しに関する基本的なオーバーヘッドがあります。

`dyn trait` を使った異種データ

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::fmt::Display;

pub struct Lambda;

impl Display for Lambda {
    fn fmt(&self, f: &mut std::fmt::Formatter<'_>) -> std::fmt::Result {
        write!(f, "λ")
    }
}

fn main() {
    let heterogeneous: Vec<Box<dyn Display>> = vec![
        Box::new(42u32),
        Box::new(String::from("Woah")),
        Box::new(Lambda),
    ];
    for item in heterogeneous {
        // "item" が Display を実装していることは分かっていますが、それ以外は何も分かりません！
        println!("Display output: {}", item);
    }
}

dyn Trait は動的ディスパッチのためのツールであり、コレクションに異種データを格納できます。
この例では、すべて std::fmt::Display を実装する型を格納し、そのコレクション内のすべての要素を画面に出力しています。

Any トレイトとダウンキャスト

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::any::Any;

#[derive(Debug)]
pub struct ThisImplementsAny;

fn take_any<T: Any>(t: &T) {}

fn main() {
    let is_an_any = ThisImplementsAny;
    take_any(&is_an_any);

    let dyn_any: &dyn Any = &is_an_any;
    dbg!(dyn_any.type_id());
    dbg!(dyn_any.is::<ThisImplementsAny>());
    let is_downcast: Option<&ThisImplementsAny> = dyn_any.downcast_ref();
    dbg!(is_downcast);
}

Any トレイトを使うと、値を dyn 値から具象値へダウンキャストし直すことができます。
これは auto trait です。Send/Sync/Sized と同様に、特定の条件を満たすすべての型に対して自動的に実装されます。
Any の条件は、型が 'static であることです。つまり、その型の内部に非 'static なライフタイムを一切含まないということです。
Any は、関連する 2 つの振る舞いを提供します。ダウンキャストと、型が同一であるかどうかの実行時チェックです。

上の例では、Any から ThisImplementsAny へ自動的にダウンキャストできることがわかります。

また、値がどの型であるかを確認するために Any::is が使われていることもわかります。
Any は型に対するリフレクションを実装するものではなく、Any でできるのはこれだけです。

落とし穴: すぐに `dyn Trait` に飛びついてしまうこと

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::any::Any;

pub trait AddDyn: Any {
    fn add_dyn(&self, rhs: &dyn AddDyn) -> Box<dyn AddDyn>;
}

impl AddDyn for i32 {
    fn add_dyn(&self, rhs: &dyn AddDyn) -> Box<dyn AddDyn> {
        if let Some(downcast) = (rhs as &dyn Any).downcast_ref::<Self>() {
            Box::new(self + downcast)
        } else {
            Box::new(*self)
        }
    }
}

fn main() {
    let i: &dyn AddDyn = &42;
    let j: &dyn AddDyn = &64;
    let k: Box<dyn AddDyn> = i.add_dyn(j);
    dbg!((k.as_ref() as &dyn Any).is::<i32>());
    dbg!((k.as_ref() as &dyn Any).downcast_ref::<i32>());
}

OOP のバックグラウンドから来ると、この動的ディスパッチという道具にできるだけ早く頼ろうとするのは理解できます。
これは推奨されるやり方ではありません。トレイトオブジェクトを使うと、開発者とコンパイラの双方が持っている型に関する知識を、柔軟性と引き換えに手放す状況になります。
上の例はこれを極端なところまで押し進めています。数値の加算が動的ディスパッチのプロセスに縛られていたら、ほとんど何もできなくなってしまうでしょう。

しかし、動的ディスパッチは多くのプログラミング言語ではしばしば隠されています。ここではそれがより明示的になっています。

AddDyn の i32 実装では、まず rhs 引数を i32 と同じ型へダウンキャストできるか試す必要があり、そうでない場合は黙って失敗します。

次に、新しい値をヒープに確保する必要があります。これを動的ディスパッチの世界にとどめておくなら、それが必要になるからです。

2 つの値を足し合わせたあと、それを見たい場合は、ここまでの操作で課されたトレイト境界のため、そのままでは出力できないので、再び出力可能な “実際の” 型へダウンキャストしなければなりません。
クラスに質問してみましょう: なぜ main に Display 境界を追加するだけでは、そのまま表示できないのでしょうか？

答え: add_dyn が返すのは dyn AddDyn だけなので、引数の型から戻り値の型に至るまでの間に、その型が何を実装しているかという情報を失ってしまいます。入力が Display を実装していても、戻り値の型はそうではありません。
この結果、パフォーマンスが低く、理解もしにくいコードになります

ユーザーが拡張できない、ポリモーフィズムのための sealed trait

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// クレートは "sealed" モジュールとそのトレイトにアクセスできますが、それに
// 依存するプロジェクトはアクセスできません。
mod sealed {
    pub trait Sealed {}
    impl Sealed for String {}
    impl Sealed for Vec<u8> {}
    //...
}

pub trait APITrait: sealed::Sealed {
    /* メソッド */
}
impl APITrait for String {}
impl APITrait for Vec<u8> {}

動機: クレート内ではトレイト駆動のコードを使いたい一方で、このクレートに依存するプロジェクトがそのトレイトを実装できないようにしたい場合があります。

なぜでしょうか？

現時点では、そのトレイトはダウンストリームでの実装に対して不安定だと見なされる可能性があります。

別の理由としては、トレイトの安易な実装に対してドメインのリスクが高い場合（たとえば暗号分野）が挙げられます。

これを実現するために使う仕組みは、スーパートレイトへのアクセスを制限することで、ダウンストリームのユーザーが自分の型に対してそのトレイトを実装できないようにするものです。
なぜ単に enum を使わないのでしょうか？
- enum は実装の詳細、つまり「これはこれらの型に対して動作する」を露出します。
- ユーザーは API を使うために enum のバリアントコンストラクターを使う必要があります。
- ユーザーは自分のコード内でその enum を型として使うことができ、enum が変更されたときには、その変更に合わせて自分のコードも更新する必要があります。
- enum ではバリアントごとの分岐が必要ですが、sealed trait ではコンパイラが各型に対して単相化された関数を指定できます。

enum によるシーリング

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::collections::BTreeMap;
pub enum GetSource {
    WebUrl(String),
    BytesMap(BTreeMap<String, Vec<u8>>),
}

impl GetSource {
    fn get(&self, url: &str) -> Option<&Vec<u8>> {
        match self {
            Self::WebUrl(source) => unimplemented!(),
            Self::BytesMap(map) => map.get(url),
        }
    }
}

動機: API は、それに対して有効な型の特定の一覧を前提として設計されており、 API の利用者がそれを拡張することは想定されていません。
Rust の enum は 代数的データ型 であり、各バリアントごとに異なる構造を定義できます。

分野によっては、これで問題に対して十分な多態性になる場合があります。実際に試し、何がうまく機能するか、どの解決策がより理にかなっているかを確かめてください。
API のユーザー向け部分で enum を参照するようにすると、ユーザーはどの型が有効な入力なのかを把握でき、用意されたメソッドを使ってそれらの型を構築できます。
- enum を構成する型に API が内部的に維持する不変条件があり、かつユーザーがそれらの型を構築できる唯一の方法が、その不変条件を構築して維持するコンストラクターを通すことだけであるなら、ジェネリックメソッドへの入力がその不変条件を満たしていると確信できます。
- 一方で、enum を構成する型がユーザーが自由に構築できる型である場合は、サニタイズや解釈を考慮する必要があるかもしれません。

ユーザーが拡張できる多相性のためのトレイト

// Copyright 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// クレート A

pub trait Trait {
    fn use_trait(&self) {}
}

// クレート B、A に依存

pub struct Data(u8);

impl Trait for Data {}

fn main() {
    let data = Data(7u8);
    data.use_trait();
}

通常のトレイトについてはすでに詳しく説明しましたが、enum や sealed trait と比べると、トレイトでは API がユーザーに求める振る舞いを実装することで、ユーザーが API を拡張できます。

このユーザーによる拡張能力は、シリアライズからハードウェアの抽象表現、型安全な線形代数に至るまで、多くの分野で強力です。

トレイトがクレートで公開されていれば、そのクレートに依存するユーザーは、自分で定義した型に対してそのトレイトを実装できます。

問題解決: 問題を分解する

// 著作権 2025 Google LLC
// SPDX-License-Identifier: Apache-2.0

// 問題: GUI API を実装する

// 問い: 描画 API にとって有用な最小限の振る舞いは何でしょうか？
pub trait DrawApi {
    fn arc(&self, center: [f32; 2], radius: f32, start_angle: f32, end_angle: f32);
    fn line(&self, start: [f32; 2], end: [f32; 2]);
}

pub struct TextDraw;

impl DrawApi for TextDraw {
    fn arc(&self, center: [f32; 2], radius: f32, start_angle: f32, end_angle: f32) {
        println!("arc of radius ")
    }

    fn line(&self, start: [f32; 2], end: [f32; 2]) { /* ... */
    }
}

// 問い: ユーザーにとって良い API とは何でしょうか？

pub trait Draw {
    fn draw<T: DrawApi>(&self, surface: &mut T);
}

pub struct Rect {
    start: [f32; 2],
    end: [f32; 2],
}

impl Draw for Rect {
    fn draw<T: DrawApi>(&self, surface: &mut T) {
        surface.line([self.start[0], self.start[1]], [self.end[0], self.start[1]]);
        surface.line([self.end[0], self.start[1]], [self.end[0], self.end[1]]);
        surface.line([self.end[0], self.end[1]], [self.start[0], self.end[1]]);
        surface.line([self.start[0], self.end[1]], [self.start[0], self.start[1]]);
    }
}

問題を分解することにはすでに長けているはずですが、おそらく OOP スタイルの手法に慣れているでしょう。

これは大きな変化ではなく、物事へのアプローチの順序を入れ替える必要があるだけです。

まずはジェネリクスとトレイト、または enum のいずれかで問題を解いてみましょう。

問題に特定の型の集合が必要ですか？その場合、この問題を解く最もクリーンな方法は enum かもしれません。

問題は本当に関与する型の詳細を気にしていますか、それとも振る舞いに注目できますか？
何かを実装するための実用最小限の知識を見つけることを軸に問題解決を組み立てましょう。

このユースケースに対して、すでにトレイトは存在しますか？あるなら、それを使いましょう！
本当に異種コレクションが必要なら、使いましょう！ Rust にそれが存在するのには理由があります。

XY 問題に注意してください: ある問題は 1 つの解決策で最も簡単に対処できるように見えるかもしれませんが、それでは根本原因に対処できず、新たな難しい問題が将来現れる原因になるかもしれません。

つまり、トレイトオブジェクトによる動的ディスパッチが本当に必要なものだと確信してから、それを使うと決めてください。

トレイトが本当に必要なものだと確信してから、それを使うと決めてください。

重要: このモジュールは開発の初期段階にあります

Comprehensive Rust のこのモジュールは、まだ完成しているとは考えないでください。
その点を踏まえたうえで、フィードバック、コメント、そして特に懸念点をぜひお寄せください。

このモジュールの開発についてコメントするには、 GitHub issue tracker を使用してください。

Unsafe Rust Deep Dive へようこそ

この deep dive は、Unsafe Rust を生産的に扱えるようになることを目的としています。

ここでは、次の 3 つの領域に取り組みます。

Unsafe Rust のメンタルモデルを確立する
Unsafe Rust の読み書きを練習する
Unsafe Rust のコードレビューを練習する

このクラスの目標は、簡単なケースであれば自分でレビューできるだけの Unsafe Rust を学び、より経験豊富な Unsafe Rust エンジニアによるレビューが必要な難しいケースを見分けられるようになることです。

Unsafe Rust のメンタルモデルを確立する
- unsafe キーワードの意味
- 安全性について話すための共通の語彙
- メモリがどのように動作するかについてのメンタルモデル
- 一般的なパターン
- unsafe を使用するコードに対する期待事項
unsafe を扱う練習をする
- コードとドキュメントの両方を読むことと書くこと
- unsafe API を使うこと
- それらを設計し実装すること
コードをレビューする
- 簡単なケースを自分でレビューできる自信
- 難しいケースを検出するための知識

「ここでは、スパイラル型の教授法を使います。これは、同じトピックを深さを増しながら何度も取り上げるという意味です。」

特にクラスの参加者同士がお互いをよく知らない場合は、自己紹介の時間を設けると有益です。各自に自己紹介してもらい、このクラスに対する特別な目標があれば書き留めておきましょう。

あなたは誰ですか？
何に取り組んでいますか？
このクラスでの目標は何ですか？

セットアップ

ローカルの Rust インストール

言語の 2024 エディションをサポートする Rust コンパイラをインストールしておく必要があります。これは、1.84 より新しい任意のバージョンの rustc です。

$ rustc --version 
rustc 1.87

（任意）コースのローカルインスタンスを作成する

$ git clone --depth=1 https://github.com/google/comprehensive-rust.git
Cloning into 'comprehensive-rust'...
...
$ cd comprehensive-rust
$ cargo install-tools
...
$ cargo serve # その後、ブラウザで http://127.0.0.1:3000/ を開く

全員に、1.87 より新しいバージョンの rustc を実行できることを確認してもらってください。

できない人には、休憩中にそれを解決すると伝えてください。

はじめに

このコースではまず、Unsafe Rust とは何か、そして unsafe キーワードが何をするのかについて共通認識を築くことから始めます。

概要

segment outline

Unsafe Rust の定義

「Unsafe Rust は Safe Rust のスーパーセットです。」

「Unsafe Rust では、生ポインタをデリファレンスしたり、誤って呼び出すと Rust の安全性保証を破る可能性がある関数を呼び出したりできるなど、追加の機能が加わります。」

「これらの追加機能は、unsafe 操作 と呼ばれます。」

「unsafe 操作は、Rust 標準ライブラリが成り立つ基盤を提供します。たとえば、生ポインタをデリファレンスする機能がなければ、Vec や Box を実装することは不可能です。」

「Unsafe Rust を書いている間も、コンパイラは引き続き支援してくれます。借用チェックと型安全性は依然として適用されます。unsafe 操作には独自のルールがあり、このクラスでそれを学びます。」

Rust Reference にある unsafe 操作（ここにあまり時間をかけすぎないでください）:

次の言語レベルの機能は、Rust の安全なサブセットでは使用できません:

生ポインタをデリファレンスすること。

可変または unsafe な外部 static 変数を読み書きすること。

代入する場合を除き、union のフィールドにアクセスすること。

unsafe 関数を呼び出すこと。

同じ機能を有効にする <target_feature> 属性を持たない関数から、 <target_feature> が付いた安全な関数を呼び出すこと。

unsafe trait を実装すること。

extern ブロックを宣言すること。

項目に unsafe 属性を適用すること。

unsafe キーワードが存在する理由

Rust は安全性を保証します
しかし、コンパイラにできることには限界があります
unsafe キーワードにより、プログラマーは Rust のルールに対する責任を負うことができます

「Rust の根本的な目標の 1 つは、メモリ安全性を確保することです。」

「しかし、限界があります。安全性に関する考慮事項の中には、プログラミング言語では表現できないものがあります。たとえ表現できたとしても、Rust コンパイラが制御できることには限界があります。」

「unsafe キーワードは、Rust のルールを守る責任をコンパイラからプログラマーへ移します。」

「unsafe キーワードを目にしたとき、それは責任がコンパイラからプログラマーへ移ることを意味します。

unsafe キーワードには 2 つの役割があります

安全性に関する配慮が必要な API を 作成する
- unsafe 関数: unsafe fn get_unchecked(&self) { ... }
- unsafe トレイト: unsafe trait Send {}
安全性に関する配慮が必要な API を 使用する
- 組み込みの unsafe 演算子を呼び出す: unsafe { *ptr }
- unsafe 関数を呼び出す: unsafe { x.get_unchecked() }
- unsafe トレイトを実装する: unsafe impl Send for Counter {}

2 つの役割:

安全性に関する配慮が必要な API を作成し、何に配慮する必要があるかを定義する
安全性に関する配慮が必要な API を使用し、その配慮がなされていることを確認する

安全性に関する配慮が必要な API を作成する

「まず、unsafe キーワードを使うと、Rust の安全性保証を破る可能性がある API を作成できます。具体的には、unsafe 関数と unsafe トレイトを定義するときに、 unsafe キーワードを使う必要があります。

「この役割で使う場合、API の利用者に対して注意が必要であることを伝えています。」

「API の作成者は、どのような注意が必要かを伝えるべきです。unsafe API は、安全性要件に関するドキュメントがなければ不完全です。呼び出し側は、必要な要件を満たしていることを知る必要がありますが、それらが書き留められていなければ、それは不可能です。」

安全性に関する配慮が必要な API を使用する

「unsafe キーワードがもう一方の役割、つまり API の使用を担うのは、中かっこの近くで使われるときです。

「この役割で使われる場合、unsafe キーワードは、作者が必要な注意を払ったことを意味します。作者はコードが安全であることを検証しており、他の人に対してその保証を与えています。」

「最も一般的なのは unsafe ブロックです。これにより、最初の役割を使って定義された unsafe 関数を呼び出せます。

「unsafe ブロックでは、raw ポインタをデリファレンスすることのように、コンパイラが unsafe だと認識している操作を行うこともできます。」

「unsafe キーワードが unsafe トレイトの実装に使われているのを目にすることもあるでしょう。

ウォームアップの例

次を示す例:

unsafe ブロック (unsafe { ... }) を使用すること
unsafe 関数 (unsafe fn) を定義すること
unsafe トレイトを実装すること (unsafe impl { ... })
unsafe トレイト (unsafe trait) を定義すること

unsafe ブロックを使用する

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let numbers = vec![0, 1, 2, 3, 4];
    let i = numbers.len() / 2;

    let x = *numbers.get_unchecked(i);
    assert_eq!(i, x);
}

コードを順に確認してください。受講者がデリファレンス演算子に慣れていることを確認してください。

コードのコンパイルを試みて、コンパイラエラーを発生させてください。

unsafe ブロックを追加します:

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let numbers = vec![0, 1, 2, 3, 4];
    let i = numbers.len() / 2;

 let x = unsafe { *numbers.get_unchecked(i) };
    assert_eq!(i, x);
}

受講者にコードレビューを促してください。学習者が安全性コメントを追加する方向へ導いてください。

安全性コメントを追加します:

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

// SAFETY: `i` は 0..numbers.len() の範囲内でなければならない
}

解答例

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let numbers = vec![0, 1, 2, 3, 4];
    let i = numbers.len() / 2;

    let x = unsafe { *numbers.get_unchecked(i) };
    assert_eq!(i, x);
}

unsafe 関数の定義

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0
/// null になりうるポインタを参照に変換します。
///
/// `p` が null の場合は `None` を返し、そうでない場合は `val` を `Some` でラップして返します。
fn ptr_to_ref<'a, T>(ptr: *mut T) -> Option<&'a mut T> {
    if ptr.is_null() {
        None
    } else {
        // SAFETY: `ptr` は null ではない
        unsafe { Some(&mut *ptr) }
    }
}

「これは安全なコードのように見えますが、実際には unsafe ブロックが必要です。」

逆参照操作、つまり unsafe ブロック内の *p を強調してください。

「呼び出し側は、ptr が null であるか、または参照に変換できることを保証しなければなりません。

「直感に反するかもしれませんが、多くのポインタは参照に変換できません。

「たとえば、有効な値ではなく任意のビット列を指すポインタが作られる可能性があります。これは Rust が許容しないことであり、この関数はそのような事態から自身を守る必要があります。

「そのため、API 設計者としては 2 つの道があります。無効な入力を防ぐ責任を自分たちで負うようにするか、unsafe キーワードによってその責任を呼び出し側に移すかです。」

「1 つ目の道は困難です。受け入れているのはジェネリック型 T、つまり Sized を実装するあらゆる型だからです。これは非常に多くの型です！

「したがって、2 つ目の道のほうが理にかなっています。

追加コンテンツ（時間があれば）

「ちなみに、ポインタの詳細や、それらを参照に変換する際のルールに興味があるなら、標準ライブラリには有用なドキュメントがたくさんあります。さらに、std::pointer にある多くのメソッドのソースコードも確認するとよいでしょう。

「たとえば、このスライドの ptr_to_ref 関数は、実際には標準ライブラリでポインタの as_mut メソッドとして存在します。」

std::pointer.as_mut のドキュメントを開いて、Safety セクションを強調してください。

unsafe トレイトを実装する

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct LogicalClock {
    inner: std::sync::Arc<std::sync::atomic::AtomicUsize>,
}

// ...

impl Send for LogicalClock {}
impl Sync for LogicalClock {}

「コードを見る前に、全員がトレイトとは何かを知っているか、もう一度確認しておきましょう。クラスのほかのみなさんに向けて、トレイトを説明できる人はいますか。

「トレイトは、共有の振る舞いを作る方法として説明されることがよくあります。トレイトを共有の振る舞いとして捉えると、メソッドの構文やそのシグネチャに注目することになります。
「トレイトには、さらに深い捉え方もあります。要件の集合として捉える方法です。これは、実装する型に共通するセマンティクスを強調します。

「Send トレイトと Sync トレイトが何か、説明できる人はいますか。

いない場合
- 「Send と Sync は並行性に関係します。細かな点はたくさんありますが、大まかに言うと、Send 型は値としてスレッド間で共有できます。Sync 型は参照によって共有されなければなりません。
- データをスレッド境界を越えて安全に共有するには、従うべきルールがたくさんあります。こうしたルールはコンパイラでは検査できないため、それらを守る責任はコードの作者が負わなければなりません。
- Arc は Send と Sync を実装しているため、このクロックも同様に安全です。
- _atomic_ という語は、現代英語における『小さな粒子』という意味ではなく、古代ギリシャ語に由来する『不可分』や『全体』という意味を持つことを指摘すると役に立つかもしれません。

unsafe トレイトを定義する

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// この型が 32 ビットのメモリを使用することを示します。
pub trait Size32 {}

「では、自分たち独自の unsafe トレイトを定義してみましょう。」

unsafe キーワードを追加し、コードをコンパイルしてください。

「トレイトの要件が意味的なものである場合、そのトレイトにはメソッドがまったく不要なこともあります。ただし、ドキュメントは不可欠です。」

「メソッドを持たないトレイトはマーカートレイトと呼ばれます。これらを型に対して実装するとき、型システムに情報を追加していることになります。これによりコンパイラは、ドキュメントに記述された要件を満たす型について扱えるようになります。」

unsafe の特性

unsafe は危険です

「Use-after-free（UAF）、整数オーバーフロー、境界外（OOB）の読み取り/書き込みは、脆弱性の 90% を占めており、この中で最も一般的なのは OOB です。」

— Jeff Vander Stoep と Chong Zang、Google。 “Queue the Hardening Enhancements”

「ソフトウェア業界は、unsafe コードを正しく書くことが難しく、非常に深刻な問題を引き起こすことを示す数多くの証拠を蓄積してきました。」

「このリストの問題は Rust によって排除されます。unsafe キーワードは、それらをあなたのソースコードに再び持ち込みます。」

「注意してください。」

unsafe は必要になることもあります

Rust コンパイラは、自身がコンパイルしたコードに対してしか、そのルールを適用できません。

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let pid = unsafe { libc::getpid() };
    println!("{pid}");
}

「unsafe を 必要とする 操作もあります。

「Rust コンパイラは、外部関数が Rust のメモリ保証に従っていることを検証できません。したがって、外部関数の呼び出しには unsafe ブロックが必要です。」

任意:

「外部環境とのやり取りでは、しばしばメモリの共有が伴います。コンピューターが提供するインターフェースはメモリアドレス（ポインタ）です。」

「これは、Linux カーネルに、私たちが管理するメモリへ書き込むよう求める例です:

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut buf = [0u8; 8];
    let ptr = buf.as_mut_ptr() as *mut libc::c_void;

    let status = unsafe { libc::getrandom(ptr, buf.len(), 0) };
    if status > 0 {
        println!("{buf:?}");
    }
}

「この FFI 呼び出しは、オペレーティングシステムに働きかけて、私たちのバッファー (buf) を埋めます。外部関数を呼び出すことに加えて、OS がそのメモリにどのようにアクセスするかをコンパイラが検証できないため、その境界を unsafe として明示しなければなりません。」

Unsafe はときどき有用です

コードをより高速にできます！

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn iter_sum(xs: &[u64]) -> u64 {
    xs.iter().sum()
}

fn fast_sum(xs: &[u64]) -> u64 {
    let mut acc = 0;
    let mut i = 0;
    unsafe {
        while i < xs.len() {
            acc += *xs.get_unchecked(i);
            i += 1;
        }
    }
    acc
}

fn main() {
    let data: Vec<_> = (0..1_000_000).collect();

    let baseline = iter_sum(&data);
    let unchecked = fast_sum(&data);

    assert_eq!(baseline, unchecked);
}

unsafe を使ったコードは、より高速になる かもしれません。

fast_sum() は境界チェックを省略します。ただし、性能に関する主張を検証するにはベンチマークが必要です。このようなケースでは、Rust のイテレータでも通常は境界チェックを省略できます。

オプション: 2 つの関数について生成されたアセンブリが同一であることを表示します。

unsafeキーワードは責任を移す

	メモリ安全か	メモリ安全性の責任
Safe Rust	はい	コンパイラ
Unsafe Rust	はい	プログラマー

メモリ安全性に責任を持つのは誰ですか？

Safe Rust → コンパイラ
Unsafe Rust → プログラマー

“safe Rustを書いている間は、メモリ安全性の問題を引き起こすことはできません。コンパイラは、誤りのあるプログラムがビルドされないことを保証します。”

“unsafeキーワードは、メモリ安全性を維持する責任をコンパイラからプログラマーへ移します。これは、満たさなければならない前提条件があることを示しています。

“その責任を果たすために、プログラマーは、その前提条件が何であるかを理解し、自分のコードが常にそれを満たすことを保証しなければなりません。

“このコース全体を通して、この状況を表すために 安全性の前提条件 という用語を使います。”

ワークフローへの影響

コードを書く際

あらゆる unsafe 関数/トレイトの前提条件を理解していることを確認する
前提条件が満たされていることを確認する
safetyコメントに自分の根拠を記録する

コードレビューの強化

自己レビュー → ピアレビュアー → unsafe Rust の専門家（必要に応じて）
コードとその根拠を十分に理解できる人にエスカレーションする

「unsafe キーワードはプログラマーにより大きな責任を課す。したがって、より強固な開発ワークフローが必要になる。

「このクラスでは、コードレビューが必須であり、作成者と主レビュアーが unsafe Rust の専門家にアクセスできる、特定のソフトウェア開発ワークフローを前提としている。」

「作成者と主レビュアーは、単純な unsafe Rust コードは自分たちで検証し、必要な場合には unsafe の専門家に委ねる。」

「unsafe Rust の専門家はごく少数しかおらず、しかも非常に多忙なので、その時間を最適に使う必要がある。」

例: may_overflow 関数

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0
/// 負の数に 2^31 - 1 を加えます。
unsafe fn may_overflow(a: i32) -> i32 {
    a + i32::MAX
}

fn main() {
    let x = unsafe { may_overflow(123) };
    println!("{x}");
}

「unsafe キーワードは、一部の人が想定しているものとは微妙に異なる意味を持つことがあります。」

「コードの作者は、そのコードが正しいと考えています。原則として、そのコードは安全です。」

「このおもちゃの例では、may_overflow 関数は負の数に対してのみ呼び出されることを意図しています。」

学習者に、なぜ may_overflow に unsafe キーワードが必要なのか説明できるか尋ねてください。

「何が問題なのかよくわからない場合は、ここで少し立ち止まって説明しましょう。i32 では、正の数に使えるのは 31 ビットだけです。演算によって 31 ビットを超える結果が生成されると、プログラムは不正な状態に置かれます。そして、これは単なる数値上の問題ではありません。コンパイラは、不正な状態は起こりえないという前提でコードを最適化します。その結果、コードパスが削除され、実行時の挙動が不安定になるだけでなく、セキュリティ脆弱性も導入されます。」

コードをコンパイルして実行し、panic が発生することを確認してください。次に、playground でこの例を --release モードで実行し、未定義動作を引き起こしてください。

「このコードは正しく使用できますが、不適切な使用は非常に危険です。」

「そして、その使用が正しいことをコンパイラが検証するのは不可能です。」

これが、unsafe キーワードがメモリ安全性の責任がコンパイラからプログラマへ移る場所を示す、と私たちが言うときの意味です。

安全性の前提条件

安全性の前提条件とは、ある操作を安全に行うために、その前に満たされていなければならない条件です。

“安全性の前提条件とは、Rust の安全性保証を維持するために満たさなければならないコードに関する条件です

“安全性の前提条件と Safe Rust のルールとの間には、強い親和性があると感じるでしょう。”

Q: いくつか挙げられますか？

(より完全なリストは次のスライドにあります)

一般的な安全性の前提条件

エイリアシングと可変性
アラインメント
配列アクセスが境界内であること
初期化
ライフタイム
ポインタの来歴
妥当性
メモリ

各前提条件の説明にあまり時間をかけすぎないでください。コースの中で詳細を見ていくことになります。意図は、そのような前提条件がいくつもあることを示すことです。

「不完全なリストですが、考え始めるための主要な安全性の前提条件をいくつか挙げています。」

妥当性。値は、それが表す型にとって妥当な値でなければなりません。Rust の参照は null であってはなりません。unsafe でそれを作成すると、
アラインメント。値への参照は適切にアラインされていなければならず、これは
エイリアシング。すべての Rust コードは Rust の借用規則を守らなければなりません。ポインタから可変参照 (&mut T) を手動で作成している場合は、作成できるのは 1 つだけです
初期化。Rust の型のすべてのインスタンスは完全に初期化されていなければなりません。生メモリから値を作成するには、書き込んであることを確認する必要があり
ポインタの来歴。ポインタの起源は重要です。usize を生ポインタにキャストすることは、もはや許可されていません。
ライフタイム。参照は、その参照先より長生きしてはいけません。

一見した以上に微妙な条件もあります。

「境界内の配列アクセス」を考えてみましょう。メモリ位置から読み取ること、すなわちデリファレンスは、プログラムを壊すために必須ではありません。境界外の参照を作成した時点で、すでにコンパイラの前提が破られ、不安定な挙動につながります。

Rust は LLVM に、その getelementptr inbounds の前提を使うよう伝えます。その前提はコンパイラ内の後続の最適化パスを誤った動作に導きます（境界外のメモリアクセスは起こりえないためです）。

任意: 以下のコードが表示される the playground を開いてください。これは本質的には Rust 構文で書かれた C 関数で、配列から要素を取得するものだと説明してください。Show LLVM IR ボタンで LLVM IR を生成します。次を強調表示してください。 getelementptr inbounds i32, ptr %array, i64 %offset.

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[unsafe(no_mangle)]
pub unsafe fn get(array: *const i32, offset: isize) -> i32 {
    unsafe { *array.offset(offset) }
}

期待される出力（強調表示する行は %_3 で始まります）:

define noundef i32 @get(ptr noundef readonly captures(none) %array, i64 noundef %offset) unnamed_addr #0 {
start:
  %_3 = getelementptr inbounds i32, ptr %array, i64 %offset
  %_0 = load i32, ptr %_3, align 4, !noundef !3
  ret i32 %_0
}

境界: デリファレンスしなくても、LLVM の inbounds の前提により、境界外のポインタ（「末尾の 1 つ先」ルールを超えるもの）を作成することは UB になると、あなたは正しく指摘しました。

ゲッターの例

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// `arr` から `index` 番目の要素を返す
unsafe fn get(arr: *const i32, index: usize) -> i32 {
    unsafe { *arr.add(index) }
}

“安全性の事前条件とは、Rust の安全性保証を維持するために満たされなければならないコード上の条件です

“安全性の事前条件と Safe Rust のルールの間には、密接な対応関係があることに気づくでしょう。”

質問: “get の安全性の事前条件は何ですか？”

ポインタ arr は null ではなく、正しくアラインされており、i32 の配列を指している
index は範囲内にある

安全性コメントを追加します:

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// `arr` から `index` 番目の要素を返す
///
/// # Safety
///
/// - `arr` は null ではなく、正しくアラインされており、有効な `i32` を指している
/// - `index` は配列の範囲内にある
unsafe fn get(arr: *const i32, index: usize) -> i32 {
    // SAFETY: 呼び出し元が index が範囲内であることを保証する
    unsafe { *arr.add(index) }
}

任意: さらに堅牢にするため、デバッグビルドではランタイムチェックを追加できます。

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

debug_assert!(!arr.is_null());
debug_assert_eq!(arr as usize % std::mem::align_of::<i32>(), 0);

意味論的前提条件

例: u8 から bool へ

事前条件を特定する

安全性の事前条件はどこで見つけますか？

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let b: *mut i32 = std::ptr::null_mut();
    println!("{:?}", b.as_mut());
}

プログラムをコンパイルして、コンパイラエラー（“error[E0133]: call to unsafe function …”）を発生させてください。

質問します: 「関数の事前条件を知りたい場合、どこを見ますか？ここでは、null ポインタから可変参照への変換がいつ安全なのかを理解する必要があります。」

確認する場所:

関数の API ドキュメント、特に安全性セクション
ソースコードとその内部の安全性コメント
モジュールドキュメント
Rust Reference

as_mut メソッドについては the documentation を参照してください。

Safety セクションを強調します。

Safety

このメソッドを呼び出すときは、ポインタが null であるか、またはそのポインタを参照に変換可能であることを保証しなければなりません。

「convertible to a reference」ハイパーリンクをクリックして、「Pointer to reference conversion」に進みます

ポインタを参照に変換するためのルール、つまりそれが「dereferenceable」であるかどうかを突き止めます。

この抜粋（Rust 1.90.0）「Rust のエイリアシング規則を強制しなければなりません。正確なエイリアシング規則はまだ決まっていません。…」の含意を考えます。

例: 参照

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut boxed = Box::new(123);
    let a: *mut i32 = &mut *boxed as *mut i32;
    let b: *mut i32 = std::ptr::null_mut();

    println!("{:?}", *a);
    println!("{:?}", b.as_mut());
}

構文の理解を確認する

Box<i32> 型は、box が所有する、ヒープ上の整数への参照です。
*mut i32 型は、いわゆる整数への生ポインタであり、その所有権をコンパイラは把握していません。プログラマーは、コンパイラの助けなしにルールが守られることを保証する必要があります。
- 注: 生ポインタは所有権の情報を Rust に提供しません。ポインタは、意味的にはデータを所有していることも、意味的には借用していることもありますが、その情報はプログラマーの頭の中にしか存在しません。
&mut *boxed as *mut _ 式:
- *boxed は …
- &mut *boxed は …
- 最後に、as *mut i32 はその参照をポインタにキャストします。
&mut i32 のような参照は、その参照先を「借用」します。これが Rust の所有権システムです。

所有権の理解を確認する

コードを順に追う:
- (3 行目) box をデリファレンスして 123 への生ポインタを作成し、新しい参照を作って、その新しい参照をポインタとしてキャストします。
- (4 行目) NULL 値を持つ生ポインタを作成します
- (7 行目) .as_mut() で生ポインタを Option に変換します
Rust ではポインタが null を取り得ることを強調する（参照とは異なります）。
コンパイルしてエラーメッセージを確認する。
議論する
- (6 行目) println!("{:?}", *a);
  - 先頭の * は生ポインタをデリファレンスします。
  - これは明示的な操作です。一方、通常の参照では、Deref トレイトのおかげでほとんどの場合は暗黙にデリファレンスされます。これは “auto-deref” と呼ばれます。
  - 生ポインタのデリファレンスは unsafe な操作です。
  - unsafe ブロックが必要です。
- (7 行目) println!("{:?}", b.as_mut());
  - as_mut() は unsafe 関数です。
  - unsafe 関数を呼び出すには unsafe ブロックが必要です。
実演: コードを修正し（unsafe ブロックを追加し）、再度コンパイルして、動作するプログラムを示す。
実演: as *mut i32 を as *mut _ に置き換え、コンパイルできることを示す。
- このキャストでは、対象の型を部分的に省略できます。Rust コンパイラは、キャスト元が &mut i32 であることを知っています。この参照型を変換できるポインタ型は *mut i32 の 1 つだけです。
安全性コメントを追加する:
- unsafe コードは、責任がコンパイラからプログラマーへ移ることを示す、と説明しました。
- unsafe コードを書く際に、この特別な責任について考慮したことをどう伝えるのでしょうか。安全性コメントです。
- 安全性コメントは、unsafe コードがなぜ正しいのかを説明します。
- 安全性コメントがなければ、unsafe コードは安全ではありません。
議論する: 1 つの大きな unsafe ブロックを使うか、2 つの小さなブロックを使うか:
- 複数ではなく、1 つの unsafe ブロックを使うことも可能です。
- ブロックを分けると、安全性コメントをできるだけ具体的にできます。

推奨される解答

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let mut boxed = Box::new(123);
    let a: *mut i32 = &mut *boxed as *mut i32;
    let b: *mut i32 = std::ptr::null_mut();

    // SAFETY: `a` は i32 への null ではないポインタであり、初期化済みで、
    // 依然として割り当てられています。
    println!("{:?}", unsafe { *a });

    // SAFETY: `b` は null ポインタであり、`as_mut()` はこれを `None` に変換します。
    println!("{:?}", unsafe { b.as_mut() });
}

独自の前提条件を定義する

ユーザー定義型は、独自の安全性の前提条件を持つことができます
後からそれらを判断して満たせるように、ドキュメントを含めてください

例: ASCII 型

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// 7 ビット ASCII でエンコードされていることが保証されたテキスト。
pub struct Ascii<'a>(&'a mut [u8]);

impl<'a> Ascii<'a> {
    pub fn new(bytes: &'a mut [u8]) -> Option<Self> {
        bytes.iter().all(|&b| b.is_ascii()).then(|| Ascii(bytes))
    }

    /// ASCII の妥当性を検査せずに、バイトスライスから新しい `Ascii` を
    /// 作成します。
    ///
    /// # 安全性
    ///
    /// 非 ASCII バイトを与えると未定義動作になります。
    pub unsafe fn new_unchecked(bytes: &'a mut [u8]) -> Self {
        Ascii(bytes)
    }
}

“Ascii 型はバイトスライスを包む最小限のラッパーです。内部的には、両者は同じ表現を共有しています。ただし、Ascii では最上位ビットを使用してはなりません。”

任意: リリースビルドに影響を与えることなく、テスト中に事前条件を debug_assert! で検証できることを、この例に追記してください。

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

unsafe fn new_unchecked(bytes: &mut [u8]) -> Self {
    debug_assert!(bytes.iter().all(|&b| b.is_ascii()))
    Ascii(bytes)
}

ゲームのルール

「この講義では問題のあるコードの例を数多く見てきましたが、一貫した用語が不足しています。

「次のセクションの目的は、これまで考えてきた概念の多くを説明するいくつかの用語を導入することです。

未定義動作
健全
非健全

「多くの安全性の前提条件は構文的というより意味論的なものなので、共通の語彙を使うことが重要です。そうすることで意味論に合意できます。

「包括的な目標は、健全性とは何かについての思考の枠組みを築き、 unsafe を含む Rust コードが健全なままであることを確保することです。」

Rust は健全です

健全性は Rust の根幹です
健全性 ≈ メモリ安全性の問題を引き起こすことが不可能
健全な関数には共通の「形」があります

“Rust コードの基本原則は、それが健全であるということです。

“まもなく、健全性という用語の正式な定義を示します。それまでのあいだは、健全なコードとは、メモリ安全性の問題を引き起こせないコードだと考えてください。

“健全なコードは、健全な関数 と 健全な操作 で構成されます。

“健全な関数とは、考えられるどの入力も健全性の問題を引き起こしえない関数のことです。

健全な関数には共通の形があります。

今から見ていくのは、その形です。

“まずは Safe Rust で実装されているものから始め、その後、さまざまな部分に unsafe を導入すると何が起こりうるかを見ていきます。

メモリのコピー - はじめに

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// `source` からバイトを読み取り、`dest` に書き込む
pub fn copy(dest: &mut [u8], source: &[u8]) { ... }

「これが最初の関数プロトタイプです。」

「copy は 2 つのスライスを引数として受け取ります。dest（宛先）は可変ですが、source は可変ではありません。」

「健全な Rust コードの形を見ていきましょう。」

Safe Rust

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub fn copy(dest: &mut [u8], source: &[u8]) {
    for (dest, src) in dest.iter_mut().zip(source) {
        *dest = *src;
    }
}

fn main() {
    let a = &[114, 117, 115, 116];
    let b = &mut [82, 85, 83, 84];

    println!("{}", String::from_utf8_lossy(b));
    copy(b, a);
    println!("{}", String::from_utf8_lossy(b));
}

「この実装では Safe Rust しか使用していません。

ここから何が分かるでしょうか？

「copy は、Safe Rust で実装されている限り、メモリ安全性の問題を引き起こすことは不可能です。これは、考え得るすべての入力引数に対して成り立ちます。」

「たとえば、Rust のイテレータを使うことで、ヌルポインタチェックや境界チェックが必要になるといった、ポインタを直接扱うことに関わるエラーを決して引き起こさないようにできます。」

質問: 「ほかに何か思いつきますか？」

エイリアシングの問題はない
ダングリングポインタは起こり得ない
アラインメントは正しい
初期化されていないメモリを誤って読み取ることはできない

「Rust が安全性の前提条件がすべて満たされることを保証しているため、copy 関数は健全だと言えます。」

「プログラマの観点からは、この関数は Safe Rust で実装されているため、安全性の前提条件はないものと考えられます。」

「ただし、これは copy が常に呼び出し側の望むことを行うという意味ではありません。dest スライスに利用可能な領域が十分でない場合、データ全体はコピーされません。」

カプセル化された Unsafe Rust

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub fn copy(dest: &mut [u8], source: &[u8]) {
    let len = dest.len().min(source.len());
    let mut i = 0;
    while i < len {
        // SAFETY: `i` は source.len() から得られたため、境界内でなければなりません
        let new = unsafe { source.get_unchecked(i) };

        // SAFETY: `i` は dest.len() から得られたため、境界内でなければなりません
        let old = unsafe { dest.get_unchecked_mut(i) };

        *old = *new;
        i += 1;
    }

    for (dest, src) in dest.iter_mut().zip(source) {
        *dest = *src;
    }
}

fn main() {
    let a = &[114, 117, 115, 116];
    let b = &mut [82, 85, 83, 84];

    println!("{}", String::from_utf8_lossy(b));
    copy(b, a);
    println!("{}", String::from_utf8_lossy(b));
}

“ここでは、内部で使用される unsafe ブロックをカプセル化した安全な関数があります。

“この実装ではイテレータを避けています。代わりに、実装者がメモリに手動でアクセスしています。”

“これは正しいでしょうか？” “何か問題はあるでしょうか？”

“その正しさを保証する責任を負うのは誰でしょうか？関数の作者です。

“unsafe ブロックを含む Safe Rust 関数は、入力によってメモリ安全性の問題が発生しえないなら、依然として健全です。

露出した Unsafe Rust

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub fn copy(dest: &mut [u8], source: *const u8) {
    let source = {
        let mut len = 0;

        let mut end = source;
        while unsafe { *end != 0 } {
            len += 1;
            end = unsafe { end.add(1) };
        }

        unsafe { std::slice::from_raw_parts(source, len + 1) }
    };

    for (dest, src) in dest.iter_mut().zip(source) {
        *dest = *src;
    }
}

fn main() {
    let a = [114, 117, 115, 116].as_ptr();
    let b = &mut [82, 85, 83, 84, 0];

    println!("{}", String::from_utf8_lossy(b));
    copy(b, a);
    println!("{}", String::from_utf8_lossy(b));
}

ある場所から別の場所へバイトをコピーするという機能自体は同じままです。

「ただし、スライスを手動で作成する必要があります。そのためには、まずデータの終端を見つける必要があります。」

「今回はテキストを扱っているので、C の慣習であるヌル終端文字列を使います。」

コードをコンパイルしてください。出力が同じままであることを確認してください。

「健全でない関数でも、入力によっては正しく動作することがあります。テストが通るからといって、その関数が健全であるとは限りません。」

「何か問題点に気づく人はいますか？」

可読性: コードをすばやく見て把握しにくい
source ポインタが null かもしれない
source ポインタがダングリングしているかもしれない。つまり、解放済みまたは未初期化のメモリを指している可能性がある
source がヌル終端されていないかもしれない

「関数シグネチャを変更できないと仮定した場合、これらの問題に対処するためにコードへどのような改善を加えられるでしょうか？」

null ポインタ: null チェックを追加し、早期リターンする (if source.is_null() { return; })
可読性: 「最初の null バイトを見つける」処理を自前で実装するのではなく、十分にテストされたライブラリを使う

「ただし、一部の安全要件は防御的にチェックすることが不可能です。たとえば:」

ダングリングポインタ
ヌル終端バイトが存在しないこと

「この関数をどのように健全にできるでしょうか？」

次のいずれか
- source 入力引数の型を、長さが既知のものに変更する。つまり、前の例のようにスライスを使う。
または
- 関数を unsafe としてマークする
- 安全性の事前条件を文書化する

文書化された安全性の前提条件

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0
#///
/// ...
///
/// # 安全性
///
/// この関数は簡単に未定義動作を引き起こす可能性があります。以下を満たすことを確認してください:
///
///  - `source` ポインタが null ではなく、ダングリングしていない
///  - `source` データは、そのメモリ割り当て内でヌルバイトで終端している
///  - `source` データは解放されない（そのライフタイム不変条件が保たれる）
///  - `source` データは `isize::MAX` バイト未満である
pub unsafe fn copy(dest: &mut [u8], source: *const u8) {
    let source = {
        let mut len = 0;

        let mut end = source;
        // SAFETY: 呼び出し元が null ではないポインタを提供している
        while unsafe { *end != 0 } {
            len += 1;
            // SAFETY: 呼び出し元が長さ < isize:MAX のデータを提供している
            end = unsafe { end.add(1) };
        }

        // SAFETY: 呼び出し元がライフタイムとエイリアシングの要件を維持している
        unsafe { std::slice::from_raw_parts(source, len + 1) }
    };

    for (dest, src) in dest.iter_mut().zip(source) {
        *dest = *src;
    }
}

fn main() {
    let a = [114, 117, 115, 116].as_ptr();
    let b = &mut [82, 85, 83, 84, 0];

    println!("{}", String::from_utf8_lossy(b));
    unsafe {
        copy(b, a);
    }
    println!("{}", String::from_utf8_lossy(b));
}

以前の反復からの変更点:

copy を unsafe としてマーク
安全性の前提条件を文書化
インラインの安全性コメント

unsafe 関数は、その安全性の前提条件と内部の unsafe ブロックの両方が文書化されているときに健全です。

main に修正が必要です。

a は copy の前提条件の 1 つを満たしていません（source` データは、そのメモリ割り当て内でヌルバイトで終端している）
SAFETY コメントが必要

オオカミ少年

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub unsafe fn copy(dest: &mut [u8], source: &[u8]) {
    for (dest, src) in dest.iter_mut().zip(source) {
        *dest = *src;
    }
}

fn main() {
    let a = &[114, 117, 115, 116];
    let b = &mut [82, 85, 83, 84];

    println!("{}", String::from_utf8_lossy(b));
    unsafe { copy(b, a) };
    println!("{}", String::from_utf8_lossy(b));
}

「いわゆるオオカミ少年関数を作ることもできます。

「これは unsafe としてマークされているものの、プログラマーが確認する必要のある安全性の事前条件を持たない関数です。

健全な Rust の 3 つの形

Safe Rust のみで書かれた関数
誤用が不可能な unsafe ブロックを含む関数
安全性の事前条件が文書化された unsafe 関数

私たちは健全なコードを書きたいと考えています。
健全なコードが取りうる形は、次のものだけです。
- unsafe ブロックを含まない安全な関数
- unsafe ブロックを完全にカプセル化する安全な関数。つまり、呼び出し元がそれらについて知っている必要がないもの
- unsafe ブロックを含むものの、それらをカプセル化せず、証明の責任を呼び出し元に渡す unsafe 関数
証明責任
- Safe Rust のみからなる安全な関数 -> コンパイラ
- unsafe ブロックを含む安全な関数 -> 関数の作者
- unsafe 関数 -> 関数の呼び出し元

健全性の証明

健全性

健全な関数とは、その安全性の事前条件が満たされている場合に UB を引き起こさない関数です。

健全な関数の定義を読む。
呼び出し側を実装するプログラマが安全性の事前条件を満たす責任を負っており、コンパイラは助けてくれないことを学生に思い出させてください。
砕けた言葉で説明する。健全性とは、その関数が行儀よく、ルールに従っていることを意味します。安全性の事前条件が文書化されており、呼び出し側がそれらを満たしていれば、その関数は適切に振る舞います（UB は発生しません）。

健全性の証明（パート 2）

健全な関数とは、その安全性の前提条件が満たされているなら UB を引き起こせない関数のことです。

系: 純粋な safe Rust で実装されたすべての関数は健全である。

証明:

safe Rust コードには安全性の前提条件がない。
したがって、純粋な safe Rust で実装された関数の呼び出し側は、前提条件の空集合を常に自明に満たす。
safe Rust コードは UB を引き起こせない。

QED.

この系を読む。
証明を説明する。
くだけた言い方にすると、すべての safe Rust コードはちゃんとしている。プログラマーが考えなければならない安全性の前提条件はなく、常にルールに従い、UB を決して引き起こさない。

非健全性

健全な関数とは、安全性の事前条件が満たされている限り、UB を引き起こせない関数のことです。

非健全な関数は、文書化された安全性の事前条件を満たしていても、UB を引き起こし得ます。

非健全なコードは悪いものです。

非健全な関数の定義を読んでください。
砕けた言い方にすると、非健全なコードはよくありません。いや、それでは控えめすぎます。非健全なコードは悪いのです。文書化されたルールどおりに振る舞っていても、非健全なコードはそれでも UB を引き起こし得ます！
私たちは、リポジトリに非健全なコードが一切含まれていてほしくありません。
非健全なコードを見つけることが、コードレビューの第一の目標です。

メモリのライフサイクル

オブジェクト（値）が生成・破棄されるにつれて、メモリはさまざまな段階を経ます。

メモリの状態	Safe Rust から読み取り可能か?
利用可能	いいえ
割り当て済み	いいえ
初期化済み	はい

このセクションでは、オペレーティングシステムから渡されたメモリが、プログラム内の有効な変数になるまでに何が起こるかを説明します。

メモリが利用可能な状態では、オペレーティングシステムがそのメモリを私たちのプログラムに提供しています。

メモリが割り当て済みの状態では、そこに値を書き込めるように予約されています。これを未初期化メモリと呼びます。

メモリが初期化済みの状態では、そこから安全に読み取ることができます。

初期化

MaybeUninit

MaybeUninit<T> を使うと、Rust で未初期化メモリを扱えます。

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::mem::MaybeUninit;

fn main() {
    let uninit = MaybeUninit::<&i32>::uninit();
    println!("{uninit:?}");
}

「安全な Rust では、未初期化の可能性があるデータを参照することはできません」

「しかし、すべてのデータは未初期化の状態でプログラムに入ってきます。」

「したがって、メモリがその状態を遷移できるようにするための橋渡しが型システムに必要です。MaybeUninit<T> がその型です。」

「MaybeUninit<T> は Option<T> 型と非常によく似ていますが、そのセマンティクスは大きく異なります。MaybeUninit<T> における Option::None に相当するものは未初期化メモリであり、これは書き込みだけが安全です。」

「未初期化である可能性のあるメモリから読み取るのは、極めて危険です。」

MaybeUninit と配列

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::mem::MaybeUninit;
use std::ptr;

fn main() {
    let input = b"RUST";

    let mut buf = [const { MaybeUninit::<u8>::uninit() }; 2048];

    // メモリに値を書き込んで要素を初期化する
    for (i, input_byte) in input.iter().enumerate() {
        unsafe {
            let dst = buf.as_mut_ptr().add(i);
            ptr::write((*dst).as_mut_ptr(), *input_byte);
        }
    }

    // 配列の一部が初期化されている場合は、
    // unsafe を使ってその部分を切り出せる
    let ptr_to_init_subslice = buf.as_ptr() as *const u8;
    let init =
        unsafe { std::slice::from_raw_parts(ptr_to_init_subslice, input.len()) };
    let text = std::str::from_utf8(init).unwrap();
    println!("{text}");

    // 初期化済みの要素は手動でドロップしなければならない
    for element in &mut buf[0..input.len()] {
        unsafe {
            element.assume_init_drop();
        }
    }
}

未初期化メモリの配列を作成するには、::uninit() コンストラクタを const コンテキスト内で使用できます。

通常どおり、ptr::write を使って値を初期化します。

.assume_init() は配列ではそれほど簡単には使えません。これにはすべての値が初期化されている必要がありますが、バッファを再利用する場合はそうならないことがあります。この例では、初期化済みのバイトだけをポインタで切り出して文字列スライスを作成しています。

部分的に初期化された配列のサブスライスを作成する際は、所有権と drop の正しい実装に注意してください。注意: MaybeUninit<T> はその T に対して drop を呼び出しません。

MaybeUninit<[u8;2048]> は [MaybeUninit::<u8>; 2048] とは異なります。これは、未初期化メモリの配列と、未初期化の要素を含む配列の違いです。

MaybeUninit<[u8;2048]> は「すべてか無か」です。配列全体を完全に初期化してから assume_init を呼び出すか、 MaybeUninit<[u8; 2048]> のまま保持して [u8; 2048] として触れないようにしなければなりません。
[MaybeUninit<u8>; 2048] では要素を 1 つずつ初期化でき、その後、初期化済みの先頭部分だけのサブスライスを取り出し、 std::slice::from_raw_parts を通してそれを [u8] として扱えます。
slice_assume_init_ref が安全なのは、スライス内のすべての要素が初期化されている場合だけです。この例では、ちょうどそれらのバイトを書き込んだ後にのみ &buf[..input.len()] を渡しています。
T に drop が必要な場合は、初期化済みの要素に対して assume_init_drop() を手動で呼び出さなければなりません。これを省くとメモリリークになります。ただし、未初期化の要素に対して呼び出すのは未定義動作です。

MaybeUninit::zeroed()

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::mem::{MaybeUninit, transmute};

fn main() {
    let mut x = [const { MaybeUninit::<u32>::zeroed() }; 10];

    x[6].write(7);

    // SAFETY: `x` のすべての値は書き込み済みである
    let x: [u32; 10] = unsafe { transmute(x) };
    println!("{x:?}")
}

「MaybeUninit<T>::zeroed() は MaybeUninit<T>::uninit() の代替コンストラクタです。これは、コンパイラに対して T のビットをゼロで埋めるよう指示します。」

Q: 「メモリには書き込み済みであるにもかかわらず、型は MaybeUninit<T> のままです。なぜか分かる人はいますか？」

A: 一部の型では、その値が非ゼロまたは非ヌルである必要があります。典型的な例は参照ですが、これは他の多くの型にも当てはまります。NonZeroUsize 整数型や、その仲間の他の型を考えてみてください。

MaybeUninit.write() と代入

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::mem::MaybeUninit;

fn main() {
    let mut buf = MaybeUninit::<String>::uninit();

    // 初期化
    buf.write(String::from("Hello, Rust!"));

    // 上書き
    buf.write(String::from("Hi again"));

    // 代入では MaybeUninit の値全体が置き換えられる。
    buf = MaybeUninit::new(String::from("Goodbye"));

    // 内側の値がドロップされることを確認
    let _ = unsafe { buf.assume_init() };
}

内側の値を置き換えると、drop のセマンティクスがほとんどの型と異なるため、メモリリークを引き起こす可能性があります。MaybeUninit<T> はその T のデストラクタを呼び出しません。

MaybeUninit::write() は ptr::write を使います。これは古い内容を読み取ったりドロップしたりせずに、その場でメモリを初期化します。メモリが未初期化である可能性があるときには、これはまさに望ましい動作ですが、そこにすでに有効な値が入っていた場合はリークすることも意味します。

代入、たとえば buf = MaybeUninit::new(value) は、MaybeUninit 全体を置き換えます。古い MaybeUninit はムーブされたあとにドロップされますが、 MaybeUninit には T 用のデストラクタがないため、内側の値はドロップされません。古いスロットに初期化済みの値が入っていた場合、それは write() と同様にリークします。

通常の drop 動作が必要な場合は、assume_init または関連するメソッドのいずれかを使って、その値が初期化済みであることを Rust に伝える必要があります。

メモリを初期化する方法

手順:

MaybeUninit<T> を作成する
そこに値を書き込む
Rust に、そのメモリが初期化済みであることを通知する

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::mem::MaybeUninit;

fn main() {
    // ステップ 1: MaybeUninit を作成する
    let mut uninit = MaybeUninit::uninit();

    // ステップ 2: 有効な値をメモリに書き込む
    uninit.write(1);

    // ステップ 3: メモリ位置が有効であることを型システムに伝える
    let init = unsafe { uninit.assume_init() };

    println!("{init}");
}

未初期化メモリを扱うには、一般的に次のワークフローに従います: 作成、書き込み、確認。

MaybeUninit<T> を作成します。::uninit() コンストラクタは最も汎用的なものですが、書き込みも同時に行う別のものもあります。
T 型の値を書き込みます。これは safe Rust から利用できることに注意してください。safe Rust にとどまることは有用です。なぜなら、書き込む値が有効であることを保証しなければならないからです。
.assume_init() メソッドを使って、そのメモリが初期化済みであることを型システムに確認させます。

部分的な初期化

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::mem::MaybeUninit;

fn main() {
    // let mut buf = [0u8; 2048];
    let mut buf = [const { MaybeUninit::<u8>::uninit() }; 2048];

    let external_data = b"Hello, Rust!";
    let len = external_data.len();

    for (dest, src) in buf.iter_mut().zip(external_data) {
        dest.write(*src);
    }

    // SAFETY: `buf` のうちちょうど `len` バイトを UTF-8 テキストで初期化した
    let text: &str = unsafe {
        let ptr: *const u8 = buf.as_ptr().cast::<u8>();
        let init: &[u8] = std::slice::from_raw_parts(ptr, len);
        std::str::from_utf8_unchecked(init)
    };

    println!("{text}");
}

このコードは、何らかの外部ソースからデータを受信する状況をシミュレートしています。

外部ソースからバッファへバイト列を読み込むとき、通常は受信するバイト数がわかりません。MaybeUninit<T> を使うと、冗長な初期化パスのコストを払うことなく、バッファを一度だけ確保できます。

標準的な構文（buf = [0u8; 2048]）で配列を作成すると、バッファ全体がゼロで埋められます。MaybeUninit<T> は、領域は確保するものの、まだそのメモリには触れないようコンパイラに伝えます。

Q: このコードスニペットのどの部分が .assume_init() と同様の役割を果たしていますか？ A: ポインタのキャストと暗黙の読み出しです。

配列全体に対して assume_init() を呼び出すことはできません。ほとんどの要素が未初期化のままなので、それは不健全です。代わりに、ポインタを *const MaybeUninit<u8> から *const u8 にキャストし、初期化済みの部分だけを対象とするスライスを構築します。

ピン留め

このコースのこのセグメントでは、次の内容を扱います。

「ピン留め」とは何か
なぜそれが必要なのか
Rust がそれをどのように実装しているか
それが unsafe および FFI とどのように相互作用するか

概要

segment outline

“ピン留め、つまり値のメモリアドレスを固定された場所に保持することは、Rust におけるより難解な概念の 1 つです。”

“通常は async コード、すなわち poll(self: Pin<&mut Self>) の中でしか見かけませんが、ピン留めにはより広い適用範囲があります。”

自己参照構造体や intrusive データ構造など、unsafe キーワードなしでは記述が難しい、あるいは不可能なデータ構造もあります。

C++ との FFI は、これに関連する代表的なユースケースです。Rust は、参照を持つあらゆる C++ オブジェクトが自己参照データ構造である可能性を想定しなければなりません。

“この衝突をより詳しく理解するには、まず Rust のムーブセマンティクスをしっかり理解していることを確認する必要があります。”

ピン留めとは何か

ピン留めされた型は、そのメモリアドレスを変更できない（ムーブできない）
指されている値は安全なコードではムーブできない

Pin<Ptr> は、ピン留めされた値へのアクセス方法を制御するために、所有権システムを利用します。言語自体を変更するのではなく、Rust の所有権システムを使ってピン留めを強制します。Pin はその内容を所有し、その安全な API のどこにもムーブを引き起こすものはありません。

これは次で説明されています

概念的には、ピン留めはデフォルトのムーブの挙動を防ぎます。

これは言語自体の変更のように見えます。

しかし、Pin ラッパーは実際には言語の基本的な部分を何も変えていません。

Pin はムーブを許す安全な API を公開していません。したがって、ビット単位のコピーを防ぐことができます。

Unsafe API では、ライブラリ作者は Unpin を実装していない型をラップできますが、同じ保証を維持しなければなりません。

Pin のドキュメントでは、「pointer types」という用語を使っています。

「pointer type」という用語は、言語におけるポインタのプリミティブ型よりもはるかに広い意味を持ちます。

「pointer type」は、ターゲットが Unpin を実装している Deref 実装型をすべてラップします。

Rust のスタイルに関する注記: このトレイト境界は、型自体ではなく ::new() コンストラクターのトレイト境界によって強制されます。

Rust におけるムーブとは何か

常にビット単位のコピーであり、Copy を実装していない型であっても同様です。

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug, Default)]
pub struct DynamicBuffer {
    data: Vec<u8>,
    position: usize,
};

pub fn move_and_inspect(x: DynamicBuffer) { println!("{x:?}"); }

pub fn main() {
   let a = DynamicBuffer::default();
   let mut b = a;
   b.data.push(b'R');
   b.data.push(b'U');
   b.data.push(b'S');
   b.data.push(b'T');
   move_and_inspect(b);
}

move_and_expect() の呼び出しに対して生成された LLVM IR:

call void @llvm.memcpy.p0.p0.i64(ptr align 8 %_12, ptr align 8 %b, i64 32, i1 false)
invoke void @move_and_inspect(ptr align 8 %_12)

変数 %b から %_12 への memcpy
%_12（コピー）を使って move_and_inspect を呼び出す

DynamicBuffer は Copy を実装していないことに注意してください。

示唆されること: 値のメモリアドレスは安定していません。

移動がビット単位のコピーであることを示すには、playground でコードを開き、または the Compiler Explorer を参照してください。

アセンブリ出力のほうがよい人向け:

The Compiler Explorer は、生成されたアセンブリを議論するのに便利です。main 関数内のアセンブリ出力の 128-136 行目にカーソルを合わせてください（ピンクでハイライトされるはずです）。

move_and_inspect に対して生成された関連コード出力:

mov     rax, qword ptr [rsp + 16]
mov     qword ptr [rsp + 48], rax    
mov     rax, qword ptr [rsp + 24]
mov     qword ptr [rsp + 56], rax
movups  xmm0, xmmword ptr [rsp]
movaps  xmmword ptr [rsp + 32], xmm0
lea     rdi, [rsp + 32]
call    qword ptr [rip + move_and_inspect@GOTPCREL]

Pin の定義

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[repr(transparent)]
pub struct Pin<Ptr> {
    pointer: Ptr,
}

impl<Ptr: Deref<Target: Unpin>> Pin<Ptr> {
    pub fn new(pointer: Ptr) -> Pin<Ptr> { ... }
}

impl<Ptr: Deref> Pin<Ptr> {
    pub unsafe fn new_unchecked(pointer: Ptr) -> Pin<Ptr> { ... }
}

Pin は ポインタ型 に対する最小限のラッパーであり、ポインタ型 とは Deref を実装する型として定義されます。

ただし、Pin::new() が受け付けるのは、Unpin を実装するターゲットにデリファレンスされる型 (Deref<Target: Unpin>) のみです。これにより、Pin は型システムにその保証の強制を委ねることができます。

Unpin を実装しない型、すなわち pinning を必要とする型は、unsafe な Pin::new_unchecked() を介して Pin を作成しなければなりません。

補足: 他の new()/new_unchecked() メソッドの組とは異なり、new は実行時チェックを一切行いません。このチェックはゼロコストのコンパイル時チェックです。

なぜ Pin は使いにくいのか

Pin<Ptr> は「単なる」標準ライブラリで定義された型です
これは、コア言語を拡張することなく、元々の対象読者であった async ランタイムの作成者のニーズを満たしていました
その読者層は、その使い勝手の面での欠点をある程度受け入れられました。async のユーザーが Pin を直接扱うことはめったになかったからです

“なぜ Pin はこれほど扱いづらいのかと疑問に思うかもしれません。その答えは主に歴史的な経緯によるものです。”

“Pin<Ptr> は、代替案よりも Rust プロジェクトにとって実装が簡単でした。”

“Pin は、主に世界で async ランタイムを書くおよそ 100 人のために設計されました。 Rust チームは、より単純ではあるものの（コンパイラにとって）、使い勝手に劣る設計を選びました。”

“より使いやすい提案も存在しましたが、主要な対象読者にとっては複雑すぎるとして却下されました。しかし、その読者層はその複雑さに対処できました。”

Unpin トレイト

Unpin 型は、Pin でラップされている場合でも、自由に移動できます
ほとんどの型は Unpin を実装します。これは “auto trait” だからです
auto trait の挙動は変更できます:
- !Unpin 型は決して移動してはなりません
- PhantomPinned フィールドを含む型は、デフォルトでは Unpin を実装しません

型が Unpin を実装している場合、Pin<Ptr> のピン留めの挙動は発動しないことを説明してください。値は自由に移動できます。

ほとんどすべての型が Unpin を実装していることを説明してください。これはコンパイラによって自動的に実装されます。

Unpin を実装する型は、次のように言っていることになります: 「自己参照を持たないことを約束するので、私を移動しても常に安全です。」

問い: どのような型が !Unpin になり得るでしょうか?

コンパイラ生成の futures
PhantomPinned フィールドを含む型
C++ オブジェクトをラップする一部の型

!Unpin 型は、いったんピン留めされると移動できません

PhantomPinned

定義

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct PhantomPinned;

impl !Unpin for PhantomPinned {}

使用法

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct DynamicBuffer {
    data: Vec<u8>,
    cursor: std::ptr::NonNull<u8>,
    _pin: std::marker::PhantomPinned,
}

PhantomPinned はマーカー型です。

型が PhantomPinned を含んでいる場合、その型はデフォルトでは Unpin を実装しません。

これにより、DynamicBuffer が Pin でラップされると、ピン留めが強制されます。

自己参照バッファの例

「自己参照バッファ」とは、自身のフィールドの 1 つへの参照を持つ型です:

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

pub struct SelfReferentialBuffer {
    data: [u8; 1024],
    cursor: *mut u8,
}

この種の構造は Rust では一般的ではありません。SelfReferentialBuffer のインスタンスが移動したときに、cursor のアドレスを更新する方法がないためです。

しかし、このような構成は、ガベージコレクションを提供する他の言語や、ムーブやコピーの際の独自の振る舞いをユーザーが定義できる C++ では、より自然です。

概要

segment outline

C++ でのモデル化

#include <cstddef>
#include <cstring>

class SelfReferentialBuffer {
    std::byte data[1024];
    std::byte* cursor = data;
    
public:
    SelfReferentialBuffer(SelfReferentialBuffer&& other) 
        : cursor{data + (other.cursor - other.data)}
    {
        std::memcpy(data, other.data, 1024);
    }
};

Compiler Explorer で確認する

SelfReferentialBuffer には 2 つのメンバーがあり、data は 1 キロバイトのメモリで、cursor はその前者を指すポインタです。

そのムーブコンストラクタは、cursor が新しいメモリアドレスに更新されることを保証します。

この型を Rust で簡単に表現することはできません。

Rust でのモデル化

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

/// 生ポインタ
pub struct SelfReferentialBuffer {
    data: [u8; 1024],
    cursor: *mut u8,
}

/// 整数オフセット
pub struct SelfReferentialBuffer {
    data: [u8; 1024],
    cursor: usize,
}

/// Pinning
pub struct SelfReferentialBuffer {
    data: [u8; 1024],
    cursor: *mut u8,
    _pin: std::marker::PhantomPinned,
}

参考: 元の C++ クラス定義

class SelfReferentialBuffer {
    char data[1024];
    char* cursor;
};

次の数枚のスライドでは、元の C++ と同じセマンティクスを持つ Rust の型を作成するための 3 つのアプローチを示します。

生ポインタを使用する: C++ に非常に近いですが、得られる型の使用は極めて危険です
整数オフセットを保存する: Rust ではより自然ですが、参照は手動で作成する必要があります
Pinning: より少ない unsafe ブロックで生ポインタを扱えます

生ポインタを使う

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
pub struct SelfReferentialBuffer {
    data: [u8; 1024],
    cursor: *mut u8,
}

impl SelfReferentialBuffer {
    pub fn new() -> Self {
        let mut buffer =
            SelfReferentialBuffer { data: [0; 1024], cursor: std::ptr::null_mut() };

        buffer.update_cursor();
        buffer
    }

    // 危険: ムーブのたびに呼び出さなければならない
    pub fn update_cursor(&mut self) {
        self.cursor = self.data.as_mut_ptr();
    }

    pub fn read(&self, n_bytes: usize) -> &[u8] {
        unsafe {
            let start = self.data.as_ptr();
            let end = start.add(1024);
            let cursor = self.cursor as *const u8;

            assert!((start..=end).contains(&cursor), "cursor is out of bounds");

            let available = end.offset_from(cursor) as usize;
            let len = n_bytes.min(available);
            std::slice::from_raw_parts(cursor, len)
        }
    }

    pub fn write(&mut self, bytes: &[u8]) {
        unsafe {
            let start = self.data.as_mut_ptr();
            let end = start.add(1024);

            assert!((start..=end).contains(&self.cursor), "cursor is out of bounds");
            let available = end.offset_from(self.cursor) as usize;
            let len = bytes.len().min(available);

            std::ptr::copy_nonoverlapping(bytes.as_ptr(), self.cursor, len);
            self.cursor = self.cursor.add(len);
        }
    }
}

ここではあまり時間をかけすぎないでください。

要点:

unsafe が頻繁に現れることを強調してください。これは、別の設計のほうがより適切かもしれないことを示唆しています。
unsafe ブロックに安全性コメントがありません。そのため、このコードは不健全です。
unsafe ブロックが広すぎます。よい実践では、より小さな unsafe ブロックを使い、具体的な振る舞い、具体的な事前条件、具体的な安全性コメントを伴わせます。

質問:

Q: read() メソッドと write() メソッドは unsafe としてマークすべきですか？
A: はい。書き込みが行われるまでは self.cursor は null ポインタになるためです。

オフセットを使用する

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[derive(Debug)]
pub struct SelfReferentialBuffer {
    data: [u8; 1024],
    position: usize,
}

impl SelfReferentialBuffer {
    pub fn new() -> Self {
        SelfReferentialBuffer { data: [0; 1024], position: 0 }
    }

    pub fn read(&self, n_bytes: usize) -> &[u8] {
        let available = self.data.len().saturating_sub(self.position);
        let len = n_bytes.min(available);
        &self.data[self.position..self.position + len]
    }

    pub fn write(&mut self, bytes: &[u8]) {
        let available = self.data.len().saturating_sub(self.position);
        let len = bytes.len().min(available);
        self.data[self.position..self.position + len].copy_from_slice(&bytes[..len]);
        self.position += len;
    }
}

Rust では、オフセット変数を使用し、必要に応じて参照を作成するほうが、より慣用的です。

`Pin<Ptr>` を使う

Pinning を使うと、Rust プログラマーは C++ のクラスにはるかに近い型を作成できます。

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::marker::PhantomPinned;
use std::pin::Pin;

/// 移動できない自己参照バッファ。
#[derive(Debug)]
pub struct SelfReferentialBuffer {
    data: [u8; 1024],
    cursor: *mut u8,
    _pin: PhantomPinned,
}

impl SelfReferentialBuffer {
    pub fn new() -> Pin<Box<Self>> {
        let buffer = SelfReferentialBuffer {
            data: [0; 1024],
            cursor: std::ptr::null_mut(),
            _pin: PhantomPinned,
        };
        let mut pinned = Box::pin(buffer);

        unsafe {
            let mut_ref = Pin::get_unchecked_mut(pinned.as_mut());
            mut_ref.cursor = mut_ref.data.as_mut_ptr();
        }

        pinned
    }

    pub fn read(&self, n_bytes: usize) -> &[u8] {
        unsafe {
            let start = self.data.as_ptr();
            let end = start.add(self.data.len());
            let cursor = self.cursor as *const u8;

            assert!((start..=end).contains(&cursor), "cursor is out of bounds");

            let offset = cursor.offset_from(start) as usize;
            let available = self.data.len().saturating_sub(offset);
            let len = n_bytes.min(available);

            &self.data[offset..offset + len]
        }
    }

    pub fn write(mut self: Pin<&mut Self>, bytes: &[u8]) {
        let this = unsafe { self.as_mut().get_unchecked_mut() };
        unsafe {
            let start = this.data.as_mut_ptr();
            let end = start.add(1024);

            assert!((start..=end).contains(&this.cursor), "cursor is out of bounds");
            let available = end.offset_from(this.cursor) as usize;
            let len = bytes.len().min(available);

            std::ptr::copy_nonoverlapping(bytes.as_ptr(), this.cursor, len);
            this.cursor = this.cursor.add(len);
        }
    }
}

関数シグネチャが変わっていることに注目してください。たとえば、::new() は Self ではなく Pin<Box<Self>> を返します。これはヒープ割り当てを伴います。 Pin<Ptr> は Box のようなポインタ型とともに動作する必要があるためです。

::new() では、Pin::get_unchecked_mut() を使って、ピン留めされた後のバッファへの可変参照を取得しています。これは、cursor を初期化するために、一時的に pinning の保証を破っているため unsafe です。この時点以降、 SelfReferentialBuffer を移動しないようにしなければなりません。Pin の安全性契約では、いったん値がピン留めされると、drop されるまでそのメモリ位置は固定されます。

`Pin<Ptr>` と `Drop`

ピン留めされた !Unpin 型における重要な課題の 1 つは、Drop トレイトを実装することです。 drop メソッドは &mut self を受け取るため、値をムーブできてしまいます。しかし、ピン留めされた値はムーブしてはなりません。

誤った `Drop` 実装

drop の中で誤って値をムーブしてしまうのは簡単です。代入、 ptr::read、mem::replace のような操作は、気付かないうちにピン留めの保証を破る可能性があります。

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct SelfRef {
    data: String,
    ptr: *const String,
}

impl Drop for SelfRef {
    fn drop(&mut self) {
        // 悪い例: `ptr::read` は `self.data` を `self` からムーブしてしまいます。
        // 関数の末尾で `_dupe` がドロップされると、二重解放になります！
        let _dupe = unsafe { std::ptr::read(&self.data) };
    }
}

`!Unpin` 型では、`Drop` を安全に実装することが難しくなる場合があります。実装では、ピン留めされた値をムーブしてはなりません。

ピン留めされた型は、メモリの安定性について保証を提供します。ptr::read や mem::replace のような操作は、データをムーブまたは複製することで、型システムに認識されないまま内部ポインタを無効にし、これらの保証を気付かないうちに破る可能性があります。

この drop() メソッドでは、_dupe は self.data のビット単位のコピーです。メソッドの最後で、これは self とともにドロップされます。この二重ドロップは未定義動作です。

正しい `Drop` 実装

!Unpin 型に対して Drop を正しく実装するには、値がムーブされないことを保証しなければなりません。一般的なパターンは、Pin<&mut T> に対して操作するヘルパー関数を作ることです。

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::marker::PhantomPinned;
use std::pin::Pin;

struct SelfRef {
    data: String,
    ptr: *const String,
    _pin: PhantomPinned,
}

impl SelfRef {
    fn new(data: impl Into<String>) -> Pin<Box<SelfRef>> {
        let mut this = Box::pin(SelfRef {
            data: data.into(),
            ptr: std::ptr::null(),
            _pin: PhantomPinned,
        });
        let ptr: *const String = &this.data;
        // SAFETY: 自己参照を作る前に `this` はすでにピン留めされています。
        unsafe {
            Pin::as_mut(&mut this).get_unchecked_mut().ptr = ptr;
        }
        this
    }

    // この関数は、ピン留めされた `SelfRef` に対してのみ呼び出せます。
    unsafe fn drop_pinned(self: Pin<&mut SelfRef>) {
        // `self` はピン留めされているので、そこから値をムーブしてはなりません。
        println!("dropping {}", self.data);
    }
}

impl Drop for SelfRef {
    fn drop(&mut self) {
        // `drop` はその値が使われる最後の機会なので、`drop_pinned` を
        // 安全に呼び出せます。`self` がこの後ムーブされないことが分かって
        // いるため、`new_unchecked` を使います。
        unsafe {
            SelfRef::drop_pinned(Pin::new_unchecked(self));
        }
    }
}

fn main() {
    let _pinned = SelfRef::new("Hello, ");
} // ピン留めされた値をムーブせずに `Drop` が実行されます

実例: `!Unpin` 型に `Drop` を実装する

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::cell::RefCell;
use std::marker::PhantomPinned;
use std::mem;
use std::pin::Pin;

thread_local! {
    static BATCH_FOR_PROCESSING: RefCell<Vec<String>> = RefCell::new(Vec::new());
}

#[derive(Debug)]
struct CustomString(String);

#[derive(Debug)]
struct SelfRef {
    data: CustomString,
    ptr: *const CustomString,
    _pin: PhantomPinned,
}

impl SelfRef {
    fn new(data: &str) -> Pin<Box<SelfRef>> {
        let mut boxed = Box::pin(SelfRef {
            data: CustomString(data.to_owned()),
            ptr: std::ptr::null(),
            _pin: PhantomPinned,
        });

        let ptr: *const CustomString = &boxed.data;
        unsafe {
            Pin::get_unchecked_mut(Pin::as_mut(&mut boxed)).ptr = ptr;
        }
        boxed
    }
}

impl Drop for SelfRef {
    fn drop(&mut self) {
        // SAFETY: String からバイトを読み取っているため安全
        let payload = unsafe { std::ptr::read(&self.data) };
        BATCH_FOR_PROCESSING.with(|log| log.borrow_mut().push(payload.0));
    }
}

fn main() {
    let pinned = SelfRef::new("Rust 🦀");
    drop(pinned);

    BATCH_FOR_PROCESSING.with(|batch| {
        println!("Batch: {:?}", batch.borrow());
    });
}

この例では、テレメトリやロギングなどの後処理のためのデータを追加するために Drop トレイトを使用しています。

この Safety コメントは誤っています。 ptr::read はビット単位のコピーを作成するため、self.data は無効な状態のままになります。self.data はメソッドの末尾でもう一度ドロップされるため、二重解放になります。

クラスにコードを修正してもらってください。

提案 0: 再設計

後処理システムが Drop を使わずに動作するように再設計してください。

提案 1: Clone

.clone() を使うのは最初の明白な選択肢ですが、メモリを確保します。

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

impl Drop for SelfRef {
    fn drop(&mut self) {
        let payload = self.data.0.clone();
        BATCH_FOR_PROCESSING.with(|log| log.borrow_mut().push(payload));
    }
}

提案 2: ManuallyDrop

CustomString を ManuallyDrop でラップすると、Drop 実装の末尾での（2 回目の）自動ドロップを防げます。

// 著作権 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

struct SelfRef {
    data: ManuallyDrop<CustomString>,
    ptr: *const CustomString,
    _pin: PhantomPinned,
}

// ...

impl Drop for SelfRef {
    fn drop(&mut self) {
        // SAFETY: self.data
        let payload = unsafe { ManuallyDrop::take(&mut self.data) };
        BATCH_FOR_PROCESSING.with(|log| log.borrow_mut().push(payload.0));
    }
}

FFI

言語間相互運用

理想的なシナリオ:

このコースのこのセクションでは、外部関数インターフェース (FFI) を介した Rust と外部言語との相互作用について扱い、特に C++ との相互運用性に重点を置きます。

理想的には、Rust と外部言語（この場合は C++）の利用者は互いのメソッドを直接呼び出せるはずです。

この理想的なシナリオを実現するのは非常に困難です:

言語ごとにセマンティクスが異なるため、それらを対応付けるにはトレードオフが伴います。Rust も C++ も ABI の安定性¹を提供していないため、安定した基盤の上に構築することが困難です

一部の C++ コンパイラベンダーは、自社のツールチェーン内で ABI の安定性をサポートしています。 ↩

相互運用の戦略

データ構造やシンボルを直接共有することは非常に困難です:

C ABI を介した FFI のほうが、はるかに実現しやすいです:

その他の戦略:

分散システム (RPC)
カスタム ABI（つまり WebAssembly Interface Types）

高忠実度の相互運用

理想的なシナリオは、現在のところ実験段階です。

これを探究しているプロジェクトとして、crubit と Zngur があります。前者は、互換性のある型がドメインをまたいでシームレスに動作できるように、各側でグルーコードを提供します。後者は動的ディスパッチに依存し、C++ オブジェクトを Rust に trait object として取り込みます。

C API を介する低忠実度の相互運用

相互運用の典型的な戦略は、インターフェースとして C 言語を使うことです。C は損失のあるコーデックです。この戦略では、通常、両側で複雑なコードが必要になります。

その他の戦略 は、ゼロコスト環境では現実性が低くなります。

分散システム はランタイムコストを伴います。

外部ライブラリのメソッド呼び出しでは、シリアライズ／転送／デシリアライズの往復が発生するため、大きなオーバーヘッドを招きます。一般論として、透過的な RPC は良い考えではありません。間にネットワークが入るからです。

wasm などの カスタム ABI は、ランタイムまたは大きな実装コストを必要とします。

考察: 型安全性

言語の違い

C を最小公分母として使うということは、Rust や C++ で利用できる豊かな表現力の多くが失われることを意味します。

各変換には、意味の喪失、ランタイムオーバーヘッド、そして気付きにくいバグが生じる可能性があります。

異なる表現

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn main() {
    let c_repr = b"Hello, C\0";
    let cc_repr = (b"Hello, C++\0", 10u32);
    let rust_repr = (b"Hello, Rust", 11);
}

各言語には物事の実装方法について独自の考え方があり、それが混乱やバグにつながることがあります。テキストを表現する 3 つの方法を考えてみましょう。

生の表現を Rust の文字列スライスに変換する方法を示してください:

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

// C 表現から Rust へ
unsafe {
    let ptr = c_repr.as_ptr() as *const i8;
    let c: &str = std::ffi::CStr::from_ptr(ptr).to_str().unwrap();
    println!("{c}");
};

// C++ 表現から Rust へ
unsafe {
    let ptr = cc_repr.0.as_ptr();
    let bytes = std::slice::from_raw_parts(ptr, cc_repr.1);
    let cc: &str = std::str::from_utf8_unchecked(bytes);
    println!("{cc}");
};

// Rust 表現（バイト列）から文字列スライスへ
unsafe {
    let ptr = rust_repr.0.as_ptr();
    let bytes = std::slice::from_raw_parts(ptr, rust_repr.1);
    let rust: &str = std::str::from_utf8_unchecked(bytes);
    println!("{rust}");
};

余談: Rust には c プレフィックス付きの文字列リテラルがあります。これは末尾に null バイトを追加します。たとえば c"Rust" == b"Rust\0" です。

異なるセマンティクス

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::ffi::{CStr, c_char};
use std::time::{SystemTime, SystemTimeError, UNIX_EPOCH};

unsafe extern "C" {
    /// タイムスタンプ `t` に基づいてフォーマット済みの時刻を作成する。
    fn ctime(t: *const libc::time_t) -> *const c_char;
}

fn now_formatted() -> Result<String, SystemTimeError> {
    let now = SystemTime::now().duration_since(UNIX_EPOCH)?;
    let seconds = now.as_secs() as i64;

    // SAFETY: `seconds` はシステムクロックによって生成されるため、
    // オーバーフローを引き起こしません
    let ptr = unsafe { ctime(&seconds) };

    // SAFETY: ctime は事前に確保された（null ではない）バッファへのポインタを返します
    let ptr = unsafe { CStr::from_ptr(ptr) };

    // SAFETY: ctime は有効な UTF-8 を使用します
    let fmt = ptr.to_str().unwrap();

    Ok(fmt.trim_end().to_string())
}

fn main() {
    let t = now_formatted();
    println!("{t:?}");
}

他の言語で許可されている一部の構成は、Rust 言語では表現できません。

ctime 関数は、呼び出し間で共有される内部バッファを変更します。これは Rust のライフタイムでは表現できません。

'static は適用されません。セマンティクスが異なるためです
'a は適用されません。バッファは各呼び出しより長く生存するためです

Rust ↔ C

観点	Rust	C
エラー	`Result<T, E>`, `Option<T>`	特別な戻り値、出力パラメータ、グローバル `errno`
文字列	`&str`/`String`（UTF-8、長さが分かる）	ヌル終端の `char*`、エンコーディングは未定義
ヌル許容性	`Option<T>` により明示	どのポインタも null になりうる
所有権	アフィン型、ライフタイム	慣習
コールバック	`Fn`/`FnMut`/`FnOnce` クロージャ	関数ポインタ + `void* userdata`
パニック	スタックアンワインド（または abort）	abort

エラー: C の慣習に従うために Result を変換しなければならない。C 側ではエラーの確認を忘れやすい。

文字列: 変換コストがかかる。Rust の文字列中のヌルバイトは切り詰めを引き起こす。入力時には UTF-8 の検証が必要。

ヌル許容性: Option<NonNull<T>> を作るには、C からのすべてのポインタを検査しなければならず、unsafe ブロックまたは実行時コストを伴う。

所有権: オブジェクトのライフタイムを手動で文書化し、保証しなければならない。

コールバック: クロージャを fn ポインタ + コンテキストに分解しなければならない。コンテキストのライフタイムは手動管理となる。

パニック: FFI 境界をまたぐパニックは未定義動作であり、境界で catch_unwind によって捕捉しなければならない。

C++ ↔ C

観点	C	C++
オーバーロード	手動/アドホック	自動
例外	-	スタックアンワインド
デストラクタ	手動クリーンアップ	デストラクタによる自動処理（RAII）
非POD型	-	コンストラクタ、vtable、仮想基底を持つオブジェクト
テンプレート	-	コンパイル時コード生成

C++ には、C には存在せず、FFI に影響を与える機能がいくつかあります:

オーバーロード: 名前マングリングにより、オーバーロードを表現することが不可能になります

例外: FFI 境界で例外を捕捉し、エラーコードに変換しなければなりません。extern "C" 関数から例外が外へ伝播することは未定義動作を構成するためです

デストラクタ: C の呼び出し側はデストラクタを実行しないため、明示的な *_destroy() 関数を公開しなければなりません

非POD型: 値渡しは意味をなさないため、FFI 境界をまたいで不透明ポインタを使用しなければなりません

テンプレート: 直接公開することはできません。明示的にインスタンス化し、各特殊化をラップする必要があります

Rust ↔ C++

観点	Rust	C++
トリビアル再配置可能性	すべてのムーブは `memcpy`	自己参照型やムーブコンストラクタには副作用があり得る
破棄の安全性	元の場所でのみ `Drop::drop()` が呼ばれる	ムーブ後のオブジェクトに対してデストラクタが実行される場合がある
例外安全性	panic（abort または unwind）	例外（unwind）
ABI の安定性	明示的に不安定	ベンダー依存

C を介した相互運用を避けることができたとしても、FFI に影響する言語上の領域がいくつかあります：

トリビアル再配置可能性

Rust 側で C++ オブジェクトを安全にムーブすることはできません。pin するか、C++ ヒープ上に保持する必要があります。

Rust では、代入時や値渡し時に発生するオブジェクトのムーブは、常に値をビット単位でコピーします。

C++ では、代入演算子のオーバーロードやムーブコンストラクタ、コピーコンストラクタの作成を許可することで、ユーザーが独自のセマンティクスを定義できます。

これは相互運用に影響します。高性能な C++ では自己参照型が自然に現れるためです。カスタムコンストラクタは、オブジェクトがメモリ内で位置を移動しても、安全性の不変条件を維持できます。

同じセマンティクスを持つオブジェクトを Rust で定義することは不可能です。

破棄の安全性

ムーブ後の C++ オブジェクトのセマンティクスは対応付けられないため、Rust が C++ 型を「ムーブ」しないように防ぐ必要があります。

例外安全性

どちらも安全に相手側へまたがって渡ることはできないため、両方とも境界で捕捉する必要があります。

`abs(3)` をラップする

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

fn abs(x: i32) -> i32;

fn main() {
    let x = -42;
    let abs_x = abs(x);
    println!("{x}, {abs_x}");
}

このスライドでは、ラッパーを書くためのパターンを確立します。

関数シグネチャの外部定義を見つける一致する関数を Rust の extern ブロック内に書く満たすべき安全性不変条件が何かを確認するその関数を安全としてマークできるかどうかを判断する

これがまだ動作しないことに注意してください。

extern ブロックを追加します:

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

unsafe extern "C" {
    fn abs(x: i32) -> i32;
}
}

多くの POSIX 関数が Rust で利用できるのは、Cargo がデフォルトで C 標準ライブラリ（libc）にリンクし、そのシンボルがプログラムのスコープに取り込まれるためであることを説明します。

ターミナルで man 3 abs またはウェブページを表示します。

関数シグネチャはその定義と一致していなければならないことを説明します: int abs(int j);。

コードブロックを更新して C の型を使います。

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::ffi::c_int;

unsafe extern "C" {
    fn abs(x: c_int) -> c_int;
}
}

理由を説明します: ffi::c_int を使うと、コードの移植性が向上します。標準ライブラリがターゲットプラットフォーム向けにコンパイルされるとき、ビット幅はそのプラットフォームに応じて決定されます。C 標準によれば、c_int は、より一般的な i32 ではなく i16 として定義される場合があります。

（任意）c_int のドキュメントを表示し、それが i32 の型エイリアスであることを示します。

コンパイルを試みて、「error: extern blocks must be unsafe」というエラーメッセージを表示させます。

ブロックに unsafe キーワードを追加します:

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::ffi::c_int;

unsafe extern "C" {
    fn abs(x: c_int) -> c_int;
}
}

学習者がこの変更の重要性を理解していることを確認します。型安全性やその他の安全性の前提条件を守る必要があります。

再コンパイルします。

abs 関数に safe キーワードを追加します:

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::ffi::c_int;

unsafe extern "C" {
    safe fn abs(x: c_int) -> c_int;
}
}

safe fn は、unsafe ブロックなしで abs を安全に呼び出せることを示すものだと説明します。

参考用の完成版プログラム:

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::ffi::c_int;

unsafe extern "C" {
    safe fn abs(x: c_int) -> c_int;
}

fn main() {
    let x = -42;
    let abs_x = abs(x);
    println!("{x}, {abs_x}");
}

`srand(3)` と `rand(3)` のラップ

// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use libc::{rand, srand};

// unsafe extern "C" {
//     /// 乱数生成器をシードする
//     fn srand(seed: std::ffi::c_uint);

//     fn rand() -> std::ffi::c_int;
// }

fn main() {
    unsafe { srand(12345) };

    let a = unsafe { rand() as i32 };
    println!("{a:?}");
}

このスライドでは、ラッパーが誤って書かれていると、いかに簡単に未定義動作を引き起こしてしまうかを示そうとしています。型安全性の問題をどれほど簡単に引き起こせるかを見ていきます。

rand 関数と srand 関数は、C 標準ライブラリ (libc) によって提供されていることを説明します。

これらの関数は libc クレートから公開されていますが、それらに対する FFI ラッパーを手作業で書くこともできると説明します。

公開された関数を呼び出す例を示します。

Rust プログラムにはデフォルトで libc がリンクされるため、コードはコンパイルできます。

間違った型を使っても、Rust はそれを信じてしまうことを説明します。

fn rand() -> std::ffi::c_int; を char を返すように変更します。

型安全性の問題を避けることは、ラッパーを手作業で書くのではなく、生成ツールを使う理由の 1 つです。

C ライブラリの例

#ifndef TEXT_ANALYSIS_H
#define TEXT_ANALYSIS_H

#include <stddef.h>
#include <stdbool.h>

typedef struct TextAnalyst TextAnalyst;

typedef struct {
    const char* start;
    size_t length;
    size_t index;
} Token;

typedef enum {
    TA_OK = 0,
    TA_ERR_NULL_POINTER,
    TA_ERR_OUT_OF_MEMORY,
    TA_ERR_OTHER,
} TAError;

/* トークンが見つからなかったことを示すには `false` を返します。 */ 
typedef bool (*Tokenizer)(Token* token, void* extra_context);


typedef bool (*TokenCallback)(void* user_context, Token* token, void* result);

/* TextAnalyst コンストラクター */
TextAnalyst* ta_new(void);

/* TextAnalyst デストラクター */
void ta_free(TextAnalyst* ta);

/* 現在のドキュメントをクリアするために状態をリセットします */ 
void ta_reset(TextAnalyst* ta);

/* カスタムトークナイザーを使用します（デフォルトは空白文字） */ 
void ta_set_tokenizer(TextAnalyst* ta, Tokenizer* func);

TAError ta_set_text(TextAnalyst* ta, const char* text, size_t len, bool make_copy);

/* 各トークンに `callback` を適用します */
size_t ta_foreach_token(const TextAnalyst* ta, const TokenCallback* callback, void* user_context);

/* 人間が読めるエラーメッセージを取得します */
const char* ta_error_string(TAError error);

#endif /* TEXT_ANALYSIS_H */

C ライブラリは、void* 引数を使って実装の詳細を隠します。

TextAnalyst 型と Analysis 型を隠す自然言語処理ライブラリの、このヘッダーファイルを考えてみましょう。

これは、Rust では次のような型でエミュレートできます。

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

#[repr(C)]
pub struct TextAnalyst {
    _private: [u8; 0],
}
}

演習: 学習者にこのライブラリをラップしてもらってください。

解答例

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

// ffi.rs
use std::ffi::c_char;
use std::os::raw::c_void;

#[repr(C)]
pub struct TextAnalyst {
    _private: [u8; 0],
}

#[repr(C)]
#[derive(Debug, Clone, Copy)]
pub struct Token {
    pub start: *const c_char,
    pub length: usize,
    pub index: usize,
}

#[repr(C)]
#[derive(Debug, Clone, Copy, PartialEq, Eq)]
pub enum TAError {
    Ok = 0,
    NullPointer = 1,
    OutOfMemory = 2,
    Other = 3,
}

pub type Tokenizer = Option<
    unsafe extern "C" fn(token: *mut Token, extra_context: *mut c_void) -> bool,
>;

pub type TokenCallback = Option<
    unsafe extern "C" fn(
        user_context: *mut c_void,
        token: *mut Token,
        result: *mut c_void,
    ) -> bool,
>;

unsafe extern "C" {
    pub fn ta_new() -> *mut TextAnalyst;

    pub fn ta_free(ta: *mut TextAnalyst);

    pub fn ta_reset(ta: *mut TextAnalyst);

    pub fn ta_set_tokenizer(ta: *mut TextAnalyst, func: *const Tokenizer);

    pub fn ta_set_text(
        ta: *mut TextAnalyst,
        text: *const c_char,
        len: usize,
        make_copy: bool,
    ) -> TAError;

    pub fn ta_foreach_token(
        ta: *const TextAnalyst,
        callback: *const TokenCallback,
        user_context: *mut c_void,
    ) -> usize;

    pub fn ta_error_string(error: TAError) -> *const c_char;
}
}

例: 文字列インターニングライブラリ

C++ ヘッダー: interner.hpp

#ifndef INTERNER_HPP
#define INTERNER_HPP

#include <string>
#include <unordered_set>

class StringInterner {
    std::unordered_set<std::string> strings;

public:
    // インターン化された文字列へのポインタを返す（interner の存続期間中は有効）
    const char* intern(const char* s) {
        auto [it, _] = strings.emplace(s);
        return it->c_str();
    }

    size_t count() const {
        return strings.size();
    }
};

#endif

C ヘッダーファイル: interner.h

// interner.h（FFI 用の C API）
#ifndef INTERNER_H
#define INTERNER_H

#include <stddef.h>

#ifdef __cplusplus
extern "C" {
#endif

typedef struct StringInterner StringInterner;

StringInterner* interner_new(void);
void interner_free(StringInterner* interner);
const char* interner_intern(StringInterner* interner, const char* s);
size_t interner_count(const StringInterner* interner);

#ifdef __cplusplus
}
#endif

C++ 実装（interner.cpp）

#include "interner.hpp"
#include "interner.h"

extern "C" {

StringInterner* interner_new(void) {
    return new StringInterner();
}

void interner_free(StringInterner* interner) {
    delete interner;
}

const char* interner_intern(StringInterner* interner, const char* s) {
    return interner->intern(s);
}

size_t interner_count(const StringInterner* interner) {
    return interner->count();
}

}

これは少し大きめの例です。文字列インターナーのラッパーを書いてください。不透明ポインタの作成方法については、以下のコードを説明して直接示すか、あるいは学習者に追加で調べてもらう必要があります。

推奨される解答

#![allow(unused)]
fn main() {
// Copyright 2026 Google LLC
// SPDX-License-Identifier: Apache-2.0

use std::ffi::{CStr, CString};
use std::marker::PhantomData;
use std::os::raw::c_char;

#[repr(C)]
pub struct StringInternerRaw {
    _opaque: [u8; 0],
    _pin: PhantomData<(*mut u8, std::marker::PhantomPinned)>,
}

unsafe extern "C" {
    fn interner_new() -> *mut StringInternerRaw;

    fn interner_free(interner: *mut StringInternerRaw);

    fn interner_intern(
        interner: *mut StringInternerRaw,
        s: *const c_char,
    ) -> *const c_char;

    fn interner_count(interner: *const StringInternerRaw) -> usize;
}
}

raw ラッパーを書いたら、次に学習者に安全なラッパーを作成してもらってください。

ありがとうございました！

Comprehensive Rust 🦀 を受講していただき、ありがとうございます！ 楽しんでいただけて、それが役に立つものであったなら幸いです。

私たちも、このコースをまとめ上げる作業を楽しみました。コースは完璧ではないため、誤りを見つけたり改善のアイデアがあったりした場合は、ぜひ GitHub でご連絡ください。みなさまからの声をぜひお聞かせください。

スピーカーノートを読んでいただき、ありがとうございます！役に立っていたなら幸いです。ノートのないページを見つけた場合は、PR を送って issue #1083 にリンクしてください。既存のノートへの修正や改善についても、私たちは大変感謝しています。

用語集

以下は、多くの Rust 用語に短い定義を与えることを目的とした用語集です。翻訳においては、これにより用語を英語の原語に結び付ける役割も果たします。

割り当て:
ヒープ上での動的メモリ割り当て。
配列:
メモリ内に連続して格納された、同じ型の要素からなる固定サイズのコレクション。参照: 配列。
関連型:
特定のトレイトに関連付けられた型。型同士の関係を定義するのに役立ちます。
ベアメタル Rust:
低レベルな Rust 開発。多くの場合、オペレーティングシステムのないシステムにデプロイされます。参照: ベアメタル Rust。
ブロック:
ブロックと スコープ を参照してください。
借用:
借用を参照してください。
借用チェッカー:
すべての借用が有効であることを検査する、Rust コンパイラの一部。
ブレース:
{ と }。波括弧 とも呼ばれ、ブロック を区切ります。
チャネル:
メッセージを安全にスレッド間で受け渡すために使用されます。
並行性:
複数のタスクまたはプロセスを同時に実行すること。参照: Rust の並行性へようこそ。
定数:
プログラムの実行中に変化しない値。参照: const。
制御フロー:
プログラム内で個々の文や命令が実行される順序。参照: 制御フローの基本。
クラッシュ:
プログラムの予期しない、処理されていない障害または終了。参照: panic。
列挙型:
複数の名前付き定数のいずれか 1 つを保持するデータ型で、関連付けられたタプルまたは構造体を伴う場合もあります。参照: enum。
エラー:
期待される動作から外れる、予期しない状態または結果。参照: エラー処理。
エラー処理:
プログラム実行中に発生するエラーを管理し、それに対応するプロセス。
関数:
特定のタスクを実行する、再利用可能なコードのブロック。参照: 関数。
ガベージコレクタ:
もはや使用されていないオブジェクトが占有しているメモリを自動的に解放する仕組み。参照: メモリ管理へのアプローチ。
ジェネリクス:
型のプレースホルダーを使ってコードを書けるようにする機能で、異なるデータ型に対してコードを再利用できます。参照: ジェネリクス。
不変:
作成後に変更できないこと。参照: 変数。
結合テスト:
システムの異なる部分やコンポーネント間の相互作用を検証する種類のテスト。参照: その他の種類のテスト。
ライブラリ:
プログラムから利用できる、事前にコンパイルされたルーチンやコードの集合。参照: モジュール。
マクロ:
Rust のマクロは、名前に ! が付いていることで見分けられます。マクロは通常の関数では不十分な場合に使われます。典型的な例は format! で、これは可変個の引数を受け取りますが、これは Rust の関数ではサポートされていません。
main 関数:
Rust プログラムは main 関数から実行を開始します。
match:
式の値に対してパターンマッチングを行える Rust の制御フロー構文。
メモリリーク:
プログラムが不要になったメモリを解放できず、その結果としてメモリ使用量が徐々に増加していく状況。参照: メモリ管理へのアプローチ。
メソッド:
Rust のオブジェクトまたは型に関連付けられた関数。参照: メソッド。
モジュール:
関数、型、トレイトなどの定義を含む名前空間で、 Rust でコードを整理するために使われます。参照: モジュール。
ムーブ:
Rust において、ある変数から別の変数へ値の所有権を移すこと。参照: ムーブセマンティクス。
可変:
宣言後に変数を変更できる Rust の性質。
所有権:
値に関連付けられたメモリの管理をコードのどの部分が担うかを定義する、 Rust の概念。参照: 所有権。
パニック:
Rust における回復不能なエラー状態で、プログラムの終了を引き起こします。参照: パニック。
パターン:
値、リテラル、または構造の組み合わせで、Rust において式に対してマッチさせることができます。参照: パターンマッチング。
ペイロード:
メッセージ、イベント、またはデータ構造によって運ばれるデータまたは情報。
レシーバ:
Rust のメソッドにおける最初のパラメータで、そのメソッドが呼び出されるインスタンスを表します。
参照:
所有権を移さずに値を借用する、非所有のポインタ。参照は共有（不変）または排他的（可変）のいずれかです。
参照カウント:
オブジェクトへの参照数を追跡し、カウントがゼロに達したときにそのオブジェクトを解放するメモリ管理手法。参照: Rc。
Rust:
安全性、パフォーマンス、並行性を重視するシステムプログラミング言語。参照: Rust とは何か？。
安全:
Rust の所有権と借用の規則に従うコードを指し、メモリ関連のエラーを防ぎます。参照: Unsafe Rust。
スライス:
配列やベクタのような連続したシーケンスへの、動的サイズのビュー。配列とは異なり、スライスのサイズは実行時に決定されます。参照: スライス。
スコープ:
変数が有効で使用できる、プログラム内の領域。参照: ブロックとスコープ。
標準ライブラリ:
Rust において不可欠な機能を提供するモジュールの集合。参照: 標準ライブラリ。
static:
静的変数、または 'static ライフタイムを持つ項目を定義するために使用される Rust のキーワード。参照: static。
文字列:
テキストデータを格納するデータ型。参照: 文字列。
構造体:
異なる型の変数を 1 つの名前の下にまとめる、Rust の複合データ型。参照: 構造体。
テスト:
ほかのコードの正しさを検証する関数。Rust には組み込みのテストランナーがあります。参照: テスト。
スレッド:
プログラム内の独立した実行の流れで、並行実行を可能にします。参照: スレッド。
スレッド安全性:
マルチスレッド環境で正しい動作を保証するプログラムの性質。参照: Send と Sync。
トレイト:
未知の型に対して定義されるメソッドの集合で、 Rust において多相性を実現する方法を提供します。参照: トレイト。
トレイト境界:
関心のあるいくつかのトレイトを型に実装するよう要求できる抽象化。参照: トレイト境界。
タプル:
異なる型の変数を含む複合データ型。タプルのフィールドには名前がなく、序数によってアクセスされます。参照: タプル。
型:
Rust において、特定の種類の値に対してどの操作を実行できるかを定める分類。参照: 型と値。
型推論:
変数または式の型を Rust コンパイラが推論する能力。参照: 型推論。
未定義動作:
Rust において結果が規定されていない動作または状態で、多くの場合予測不能なプログラム動作につながります。参照: Unsafe Rust。
共用体:
異なる型の値を保持できるデータ型ですが、一度に保持できるのは 1 つだけです。参照: 共用体。
単体テスト:
Rust には、小さな単体テストとより大きな結合テストを実行するための組み込みサポートがあります。参照: 単体テスト。
ユニット型:
データを持たない型で、メンバのないタプルとして記述されます。参照: 関数のスピーカーノート。
unsafe:
未定義動作 を引き起こせる Rust のサブセット。参照: Unsafe Rust。
変数:
データを格納するメモリ上の位置。変数は スコープ 内で有効です。参照: 変数。

その他の Rust リソース

Rust コミュニティは、高品質で無料のオンラインリソースを数多く作成しています。

公式ドキュメント

Rust プロジェクトは多くのリソースを公開しています。これらは Rust 全般を扱っています。

The Rust Programming Language: Rust に関する定番の無料書籍です。言語を詳しく扱っており、実際に作りながら学べるいくつかのプロジェクトも含まれています。
Rust By Example: さまざまな構文要素を示す一連の例を通して、Rust の構文を扱っています。例のコードを発展させることを求められる小さな演習が含まれることもあります。
Rust Standard Library: Rust の標準ライブラリの完全なドキュメントです。
The Rust Reference: Rust の文法とメモリモデルを説明する、未完成の書籍です。
Rust API Guidelines: API の設計方法に関する推奨事項です。

公式の Rust サイトで公開されている、より専門的なガイド:

The Rustonomicon: 生のポインタの扱いや他言語との連携（FFI）を含む、unsafe Rust を扱っています。
Asynchronous Programming in Rust: Rust Book の執筆後に導入された、新しい非同期プログラミングモデルを扱っています。
The Embedded Rust Book: オペレーティングシステムのない組み込みデバイスで Rust を使うための入門書です。

非公式の学習資料

Rust に関するその他のガイドやチュートリアルの一部:

Learn Rust the Dangerous Way: 低レベルな C プログラマーの視点から Rust を扱っています。
Rust for Embedded C Programmers: C でファームウェアを書く開発者の視点から Rust を扱っています。
Rust for professionals: C、C++、Java、JavaScript、Python などの他言語との比較を並べて示しながら、 Rust の構文を扱っています。
Rust on Exercism: Rust の学習に役立つ 100 以上の演習です。
Ferrous Teaching Material: Rust 言語の基本的な部分と高度な部分の両方を扱う、一連の短いプレゼンテーションです。WebAssembly や async/await などのほかのトピックも扱われています。
Advanced testing for Rust applications: Rust 組み込みのテストフレームワークの範囲を超えた、自分のペースで進められるワークショップです。googletest、スナップショットテスト、モックに加え、独自のカスタムテストハーネスの書き方も扱っています。
Beginner’s Series to Rust と Take your first steps with Rust: 新しい開発者向けの 2 つの Rust ガイドです。前者は 35 本の動画セットで、後者は Rust の構文と基本的な構成要素を扱う 11 個のモジュールのセットです。
Learn Rust With Entirely Too Many Linked Lists: いくつかの異なる種類のリスト構造を実装しながら、Rust のメモリ管理ルールを深く掘り下げています。
The Little Book of Rust Macros: 実践的な例とともに、Rust マクロの多くの詳細を扱っています。

さらに多くの Rust 書籍については、Little Book of Rust Books を参照してください。

クレジット

ここにある資料は、多くの優れた Rust ドキュメントのソースを基にしています。有用なリソースの完全な一覧については、その他のリソースのページを参照してください。

Comprehensive Rust の資料は Apache 2.0 ライセンスの条件に基づいてライセンスされています。詳細については LICENSE を参照してください。

CXX

C++ との相互運用セクションでは、 CXX の画像を使用しています。ライセンス条件を含む詳細については、third_party/cxx/ ディレクトリを参照してください。