Вопрос «как реализовать двусвязный список в Rust?» давно стал мемом. Rust, в отличие от C/C++, строит всю модель вокруг владения и заимствования, и любое отклонение от этой парадигмы вызывает дискуссии. Особенно когда речь заходит о циклических структурах данных — модулях, ссылающихся друг на друга, графах объектов в игре или дереве UI-компонентов.
Здесь на сцену выходят арены (arenas) — подход, который выглядит как шаг назад к ручному управлению памятью, но на деле сохраняет сильнейшую сторону Rust: детерминированную безопасность.
🏗️ Что такое арены
- 📦 Вместо прямых ссылок объекты хранятся в массиве (арене).
- 🔑 Ссылки заменяются индексами (handles).
- 🧮 Индексы действуют как «виртуальные указатели», но остаются под контролем компилятора и проверок на границы массива.
Получается своя «адресная система», поверх которой можно строить сложные структуры с циклами.
⚡ Почему это не возврат к C
На первый взгляд — да, мы сами реализуем malloc и free, вручную выделяя и освобождая ячейки арены. Но отличие фундаментальное:
- 🔄 Детерминизм. Ошибка с handle всегда воспроизводима одинаково, в отличие от «случайных» use-after-free в C.
- 🛡️ Безопасность. Даже при баге мы наткнёмся на index out of bounds, но не получим перезаписи произвольной памяти и не откроем дверь к удалённому выполнению кода.
- 🌍 Современная модель угроз. Сегодня почти всё ПО работает с внешним вводом (даже прошивки IoT). Rust гарантирует: баг в логике приведёт максимум к DoS, но не к RCE — и это огромная разница.
🔬 Технические детали реализации
Пример простейшей арены:
struct Arena<T> {
items: Vec<T>,
}
#[derive(Copy, Clone)]
struct Handle(usize);
impl<T> Arena<T> {
fn insert(&mut self, item: T) -> Handle {
let idx = self.items.len();
self.items.push(item);
Handle(idx)
}
fn get(&self, handle: Handle) -> Option<&T> {
self.items.get(handle.0)
}
}
Теперь можно строить графы и циклы: один объект хранит Handle на другой, и никакой borrow checker не ломается.
💡 Моё мнение
Аренный подход в Rust — это компромисс: мы жертвуем частью «чистоты» модели владения ради удобства в задачах, где без циклов не обойтись.
Но важно: это компромисс на наших условиях. Мы не откатываемся к небезопасным указателям, а используем ручное управление в детерминированной и безопасной среде.
Это похоже на то, как Rust относится к unsafe: не запрещать, а изолировать, делая явным. Арены дают ту же гибкость — но без превращения программы в минное поле.
Иронично, но Rust, язык, созданный браузерной компанией для борьбы с уязвимостями памяти, в итоге дал сообществу возможность использовать «ручное» управление памятью… только без тех самых уязвимостей.
📎 Источник: