assertは必ず修正すべき

• assert は、事前条件・事後条件・不変条件をコードで明示するための仕組みであり、型システムで強制できる制約は言語機能で表現するほうが望ましい
• Zig の std.debug.assert はマクロではなく 通常の関数 で、unreachable によって到達不能な経路を示し、最適化にも利用される
• Debug・ReleaseSafe では assert の失敗は panic によるクラッシュになるが、ReleaseFast・ReleaseSmall では unchecked illegal behavior となり、誤動作する可能性がある
• 本番環境で assert を無効化すると、誤った前提を早期に発見する機会を失い、その後のコードが 誤った assert に依存して脆弱性につながることがある
• ReleaseSafe と ReleaseFast のどちらを選ぶかはプログラムの優先順位次第だが、重要なのは assert を上書きして無効にするのではなく、誤った assert を修正すべき だという点にある

assert の役割と Zig の基本動作

• assert は「この引数は null ではありえない」「この整数は偶数ではありえない」といった条件が常に真でなければならないことをコードで表現する仕組みである
  • 例: assert(my_arg != null);, assert(my_num % 2 != 0);
  • 型システムで制約を強制できるなら、assert より言語機能を使うほうがよい
  • Zig では通常のポインタ *Foo は null になれず、オプショナルポインタ ?*Foo は null を取りうるが、値へアクセスする前に確認が強制される
• assert は 事前条件、事後条件、不変条件 を明示するのに適している
  • 良い assert は、プログラミングミスを捕まえるうえで単体テストより強力なことがある
  • ファジングと組み合わせると assert の効果はさらに高まる

Zig の unreachable と assert

• Zig の assert は、不正なコード経路を示す言語機能である unreachable を土台としている
  • switch では、到達不能な分岐を .a => unreachable のように表せる
  • unreachable は文としても使え、任意の型の式が必要な位置でも使える
  • 到達不能な場合のために無理にダミー値を作る必要がない
• Zig 標準ライブラリの std.debug.assert は次のように実装されている

  pub fn assert(ok: bool) void {
    if (!ok) unreachable; // assertion failure
  }
  

• unreachable の情報は 最適化 に利用できる
  • コンパイラは到達不能な経路を削除でき、その情報が伝播することで非局所的な最適化も可能になる
  • すべての assert が性能向上につながるわけではないが、プログラマが容易に予想できない最適化が行われることもある

ビルドモードとランタイム安全性

• Zig には Debug、ReleaseSafe、ReleaseFast、ReleaseSmall のビルドモードがある
  • この設定は必ずしもプログラム全体にグローバルにしか適用できないわけではない
  • 各依存関係を異なるモードでビルドでき、@setRuntimeSafety を使えば関数内のブロック単位でもランタイム安全性を調整できる
• assert の失敗は Zig では “illegal behavior” になる
  • Checked モードである Debug、ReleaseSafe、@setRuntimeSafety(true) では panic によりプログラムがクラッシュする
  • Unchecked モードである ReleaseFast、ReleaseSmall、@setRuntimeSafety(false) では “unchecked illegal behavior” が発生し、プログラムは誤動作する
• unchecked illegal behavior の結果は保証されない
  • 例の switch では、現在生成されるマシンコードの性質上、別の分岐へ飛んだように見えることがある
  • 別のコンパイラバージョンでは、まったく異なる誤動作になる可能性がある
  • 関連する挙動は godbolt の例 で確認できる
• assert とその後の switch が ReleaseSafe と ReleaseFast でどう変わるかは、別の godbolt の例 でも確認できる
  • ReleaseFast では、関数がすべての比較を飛ばして true を返す形になる
  • この種の最適化は、ビデオゲームやその他のリアルタイムメディアアプリケーションが大きく依存している種類のものだ

Zig の assert はマクロではない

• Zig の std.debug.assert は マクロではなく通常の関数 である
  • Zig にはマクロがない
  • C/C++ 開発者が Zig に触れるとき、とくに驚く点のひとつである
• C/C++ では assert を無効化すると、assert 呼び出し全体と渡された式がコメントアウトされたかのように振る舞うことが多い
  • そのため C/C++ では、副作用のある式を assert に入れてはいけない
  • assert が無効化されると、その演算自体が消える可能性があるからだ
• Zig では関数呼び出し規則に従って、引数は関数呼び出し前に評価される
  • std.debug.assert の内部ロジックとは無関係に、引数式は評価される
  • したがって、次のように副作用のある式も assert に入れられる

  // assert that the remove operation is not a noop:
  assert(my_map.remove("expected-to-exist"));
  

• 逆に、assert 条件を計算するために複雑な処理が必要な場合、unchecked モードでもその計算が必ず除去されるとは限らない
  • そのような場合は comptime if でコードをガードすべきである

  const builtin = @import("builtin");
  
  if (builtin.mode == .Debug) {
    var condition = ...;
    // whatever bookkeeping is necessary
    // to compute the condition
    assert(condition == .ok);
  }
  

• C/C++ の意味論に慣れていると違和感があるかもしれないが、Zig では assert を一般に無効化しないという前提が置かれている

本番環境で assert を無効化する問題

• assert には大きく分けて 3 つの選択肢がある
  • ランタイムチェックとして維持し、失敗時には panic によってプロセスをクラッシュさせる
  • assert を性能最適化に使うが、assert が誤っていた場合のプログラム誤動作を受け入れる
  • assert を完全に無効化する
• std.debug.assert は assert の完全無効化をデフォルトではサポートしていない
  • ビルド時フラグを内部で確認する独自 assert を実装すれば、C/C++ 方式に近い挙動を作ることはできる
• assert を無効化したくなる理由は、通常 2 つの要因が組み合わさった結果である
  • 性能コストやアプリケーションのクラッシュが嫌で、ランタイムチェックを維持したくない
  • assert が常に正しいと信じきれず、最適化に使われたときの誤動作を恐れている
• matklad が関連議論で指摘しているように、クラッシュを避けるべき正当なエンジニアリング上の理由がある状況は存在する
  • しかし一般的なソフトウェアにおいて、クラッシュ回避をデフォルトにするのは悪い選択だと評価される
• assert を無効化すると、不可能だと想定していた条件が実際に発生してもプログラムは動き続ける
  • プログラムは誤った前提のもとで実行を続け、これは unchecked illegal behavior でなくても一種の誤動作である
• unchecked illegal behavior や C の undefined behavior が危険なのは、プログラムを weird machine に変えてしまう経路になりうるからである
  • 十分に複雑なソフトウェアでは、UIB がなくてもプログラムは意図しない形にねじ曲がりうる
  • 実行時に assert が偽になることは仕様からの逸脱であり、それ自体が意図しない処理を引き起こしうる
  • SQL injection は、UIB がなくても weird-machine 級の誤動作を引き起こす具体的かつ広く知られた例である
• プログラム誤動作のコストが高すぎるなら、assert を有効にしておくべきである
  • 性能が極めて重要で、誤動作のリスクを受け入れられるなら、assert を最適化の機会として使うほうがよい
  • assert を無効化すると、性能向上を逃す一方で、実際より安全だと錯覚しやすい

誤った assert がコードベースを欺く仕組み

• 中核となる危険は、誤った assert がテストでは露見せず、本番でのみ失敗しうることにある
  • すべての assert が常に真だと保証できるなら、assert を最適化に使うことは議論にならない
  • テストがすべての誤った assert を捕捉できると保証できるなら、本番での最適化も安全になる
  • 現実には誤った assert を書いてしまうことがあり、テストが必ず見つけてくれるわけでもない
• 本番で assert を無効化すると、誤った assert をできるだけ早く発見する機会を失う
  • より深刻なのは、その後のコードがその誤った assert に依存して書かれ続けることだ
• 例のコードでは、processThing は開始済みの thing に対してのみ呼ばれるべきだという前提を assert で置いている

  fn processThing(thing: Thing) void {
     // this function must always be invoked on
     // a thing that has already been started
     assert(thing.is_started);
  
     // ...
  }
  

• この assert がテストでは失敗せず、本番では無効化されているため実際には偽になりうることを見落とすかもしれない
  • ユーザーから見える誤動作がなければ、問題がないかのように見えて開発が続いてしまう
• その後、誰かが thing はすでに開始済みなのだから追加準備なしで baz を呼べると考え、コードを追加するかもしれない

  fn processThing(thing: Thing) void {
     // this function must always be invoked on
     // a thing that has already been started
     assert(thing.is_started);
  
     // ...
  
     // Since thing is already started, we don't
     // need to foo the bar before bazzing the qux.
     // It would be really bad to baz the qux otherwise,
     // so we add an assert for good measure.
     assert(thing.is_fooed);
     thing.baz(qux);
  }
  

• 2 つ目の assert 自体の論理は正しくても、1 つ目の assert が実際には偽になりうるなら危険が生じる
  • テストでは 1 つ目の assert が失敗しないため、2 つ目の assert も失敗しない
  • 本番では assert が無効化されているため、脆弱性がコードベースに入り込んだ瞬間に気づけない可能性がある
• コード中の assert が開発者を欺く状態になると、正しいコードを書くことが不当に難しくなる

選択肢はプログラムの優先順位によって変わる

• プログラムごとに優先順位は異なり、誤動作リスクの最小化より性能を優先するのが正当化されるものもある
  • その場合、assert を最適化の機会に変える選択は自然である
• 本番で assert を惰性的に無効化するのは、assert を有効にしておくよりも、また性能最適化を積極的に活用するよりも劣った選択だと評価される
  • ReleaseFast に 非常に 批判的 でありながら、assert の無効化は無批判に受け入れる態度は矛盾している
• Zine は静的サイトジェネレータで、現在は主に個人ブログのビルドに使われている
  • 脅威モデルは定義されておらず、それが最優先事項でもない
  • Hugo より一桁高速に動作する点を重視して、ReleaseFast ビルドを配布している
• Awebo は pre-alpha 段階のセルフホスト可能な Discord 代替である
  • 個人情報を扱い、インターネットに公開されるソフトウェアであることはすでに明らかである
  • 配布時には ReleaseSafe ビルドを提供する予定である
  • ただし、FFmpeg、Xiph Opus、SQLite のような中核依存の一部は ReleaseFast でビルドする予定だ
  • それらの依存関係では、性能向上のほうがプログラム誤動作リスクをさらに下げることより明確に重要だと判断している

実際のプロジェクトの選択とセキュリティ事例

• TigerBeetle は金融データベースであり、assert を常に有効にしている
• Ghostty はターミナルエミュレータで、macOS 向けに ReleaseFast ビルドを配布している
  • 下流の利用者、たとえば Linux ディストリビューションのメンテナにも 同じ方針を推奨している
• Ghostty で公開された比較的深刻な CVE 2 件はいずれも、メモリ破壊なしで 任意コマンド実行が可能だった事例である
  • https://github.com/ghostty-org/ghostty/security/advisories/GHSA-4jxv-xgrp-5m3r
  • https://github.com/ghostty-org/ghostty/security/advisories/GHSA-5hcq-3j4q-4v6p
• メモリ破壊や UIB だけが危険のすべてではない

Zig で完全には消えない暗黙の assert

• 独自 assert は無効化できても、Zig 言語自体がコードに暗黙的に追加する assert は無効化できない
  • 整数オーバーフロー、0 除算、配列範囲外アクセスなどがこれに当たる
  • これらの条件はランタイム panic を引き起こすか、最適化目的に利用される
• 本番で assert を無効化する慣行は、誤った assert がコードベースの中で腐り、増殖していく原因になりうる
  • その結果、UIB に対する被害妄想的な警戒が強まり、開発者が assert を再び有効にして結果と向き合うことを無意識に恐れるようになるかもしれない
• 避けられない結論は、assert を無効化して覆い隠すのではなく、誤った assert を修正すべき だということだ
  • プログラムの正しさは、一部の部分集合ではなく全体を対象に追求すべきである