# Gestion de la m√©moire en Rust ü¶Äü¶Ä


[Pierre-Antoine Champin](https://champin.net/) (W3C/Inria/Lyon 1)

http://github.com/pchampin/rust-envol-2025

<a rel="license" href="http://creativecommons.org/licenses/by-nc-sa/2.0/fr/"><img alt="Contrat Creative Commons" style="border-width:0" src="http://i.creativecommons.org/l/by-nc-sa/2.0/fr/88x31.png" /></a>

## Rappel: la pile et le tas

La pile

- contient les donn√©es des variables locales,
- dont la taille est connue √† la compilation (statique).
- Elle est g√©r√©e de mani√®re *dernier arriv√©, premier parti* automatiquement, dans tous les langages

Le tas

- contient les donn√©es dont la taille n'est connue qu'√† l'ex√©cution (dynamique),
- allou√©es/lib√©r√©es de mani√®re moins pr√©dictible.
- Il est g√©r√© diff√©remment selon les langages.

### Gestion du tas

En C/C++
- les d√©velopeur‚ãÖeuse‚ãÖs ont la charge de lib√©rer la m√©moire
- ce qui est parfois (souvent ?) une source d'erreurs (m√©moire lib√©r√©e trop t√¥t, trop tard, jamais...).

En Java
- le ramasse-miettes (*garbage collector*) a  la charge de lib√©rer la m√©moire
- ce qui peut causer des probl√®mes de performance.

### Gestion du tas

En Rust

- le **compilateur** a la charge de lib√©rer la m√©moire.
- Les d√©velopeur‚ãÖeuse‚ãÖs doivent lui fournir suffisament d'information,
- gr√¢ce aux concepts de **propri√©t√©** et d'**emprunt**. ü¶Äü¶Ä

## S√©mantique de l'affectation

Dans la plupart des langages de programmation,
la s√©mantique de l'affectation est une *copie*.

```c
v1 = init();
v2 = v1;
// v1 et v2 contiennent "la m√™me chose"
```

En Rust, la semantique de l'affectation est un *d√©placement*

* conceptuellement, les donn√©es sont d√©plac√©es de `v1` vers `v2`‚ÄØ;
* apr√®s l'affectation, `v1` est consid√©r√©e comme non-initialis√©e.

### Exemple: le type `Vec`

In [2]:
let v1: Vec<i32> = vec![22, 44, 66];

<div style="text-align: center">
<img alt="A Vec in memory" src="images/trpl04-01.svg" style="display: inline; width: 12em;">
</div>

### Avec la s√©mantique "copie" (C)

```c
Vec v1 = init_vec();
Vec v2 = v1;
```

<div style="text-align: center"> <img alt="Shallow copy" src="images/trpl04-02.svg" style="display: inline; width: 12em;"> </div>

### Avec la s√©mantique "d√©placement" (Rust) ü¶Ä

In [3]:
let v1: Vec<i32> = vec![22, 44, 66];
println!("v1={v1:?}");
let v2 = v1;
println!("v2={v2:?}");
//println!("v1={v1:?}"); // NE COMPILE PAS

v1=[22, 44, 66]
v2=[22, 44, 66]


<div style="text-align: center">
<img alt="After a move assignment" src="images/trpl04-04.svg" style="display: inline; width: 12em;">
</div>

### Copie (profonde) explicite

In [4]:
let v1: Vec<i32> = vec![22, 44, 66];
let v2 = v1.clone(); // copie (profonde) explicite
println!("v1={v1:?} v2={v2:?}");

v1=[22, 44, 66] v2=[22, 44, 66]


<div style="text-align: center">
<img alt="After a deep copy" src="images/trpl04-03.svg" style="display: inline; width: 12em;">
</div>

### Copie implicite

Bien que la s√©mantique "d√©placement" soit la r√®gle,
il y a des exceptions.

En particulier, l'affectation des types primitifs (entiers, flottants, bool√©ens...)
a la s√©mantique "copie",
car le compilateur sait que cette copie ne pose pas de probl√®me.

In [5]:
let x = 42;
let y = x; // copie plut√¥t qu'un d√©placement
println!("x={x} y={y}");

x=42 y=42


Plus g√©n√©ralement,
tout type qui impl√©mente [trait `Copy`](https://doc.rust-lang.org/stable/std/marker/trait.Copy.html)
utilise la s√©mantique "copie" pour les affectations.

Les types d√©finis par l'utilisateur peuvent impl√©menter le trait `Copy`,
mais √ßa n'est pas toujours possible (par exemple, le type `Vec`).

## Propri√©t√© ü¶Äü¶Ä

* Toute donn√©e est **poss√©d√©e** par exactement une variable (ou un champs de structure)

* Conceptuellement, l'affectation d'une variable √† une autre *d√©place* les donn√©es,
  et **transf√®re la propri√©t√©** √† la variable destination.
  
* Lorsqu'une variable n'est plus utilis√©e (qu'elle devient hors de port√©e),
  si elle poss√®de encore des donn√©es, ces donn√©es sont **lib√©r√©es**.

<div style="text-align: center">
<img alt="A Vec in memory" src="images/trpl04-01.svg" style="display: inline; width: 12em;">
</div>

In [6]:
fn fibo(nb: usize) -> Vec<i32> {
    let mut v1 = Vec::with_capacity(nb); // 1. le Vec est cr√©√© ici
    for i in 0..nb {
        if i < 2 { v1.push(1); }
        else     { v1.push(v1[i-2] + v1[i-1]); }
    }
    v1                                   // 2. sa propri√©t√© est transmise √† l'appelant (main)
}

fn main() { 
    let n = 7;
    let v2 = fibo(n);                    // 3. le Vec retourn√© par `fibo` est d√©plac√© dans v2
    println!("v2={v2:?}");
    let s = somme(v2);                     // 4. le Vec est d√©plac√© vers le param√®tre de la fonction `somme`
    println!("La somme des {n} premiers nombres de Fibonnaci est {s}");
    //println!("{:?}", v2);             // NE COMPILE PAS
}

fn somme(v3: Vec<i32>) -> i32 {
    v3.iter().sum()
}                                        // 5. en sortant de la fonction `sum`,
                                         //    `v3` poss√®de encore le Vec, qui est donc lib√©r√©

main();

v2=[1, 1, 2, 3, 5, 8, 13]
La somme des 7 premiers nombres de Fibonnaci est 33


## Emprunt ü¶Äü¶Ä

In [7]:
let v1: Vec<i32> = vec![22, 44, 66];
println!("A. v1={v1:?}");
{
    let v2 = &v1;
    println!("B. v2={v2:?}");
}
println!("C. v1={v1:?}");

A. v1=[22, 44, 66]
B. v2=[22, 44, 66]
C. v1=[22, 44, 66]


<div style="text-align: center">
<img alt="A reference is a non-owning pointer" src="images/trpl04-05.svg" style="display: inline; width: 16em;">
</div>

Pour toute variable `v` de type `T`, `&v` permet d'**emprunter** les donn√©es de v.

* `&v` est aussi appel√© une **r√©f√©rence**, son type est not√© `&T`.
* En interne, les r√©f√©rences sont des pointeurs.
* Conceptuellement, une r√©f√©rence ne *poss√®de pas* les donn√©es vers lesquelle elle pointe.
* Lib√©rer une r√©f√©rence ne lib√®re donc pas les donn√©es point√©es.
* Plusieurs r√©f√©rences vers les m√™mes donn√©es peuvent co-exister.

In [8]:
let mut v1: Vec<i32> = vec![22, 44, 66];
println!("A. v1={v1:?}");
{
    let v2 = &v1;
    let v3 = &v1;
    println!("B. v1={v1:?} v2={v2:?} v3={v3:?}");
}
println!("C. v1={v1:?}");

A. v1=[22, 44, 66]
B. v1=[22, 44, 66] v2=[22, 44, 66] v3=[22, 44, 66]
C. v1=[22, 44, 66]


NB¬†: les donn√©es emprunt√©es avec une r√©f√©rence `&T` sont immutable.

In [9]:
let mut v1: Vec<i32> = vec![22];
v1.push(44);
println!("A. v1={v1:?}");
{
    let v2 = &v1;
    //v2.push(66); // NE COMPILE PAS
    println!("B. v2={v2:?}");
}
v1.push(88);
println!("C. v1={v1:?}");

A. v1=[22, 44]
B. v2=[22, 44]
C. v1=[22, 44, 88]


Pour que l'exemple pr√©c√©dent fonctionne enti√®rement,
il nous faut une **r√©f√©rence mutable**,
de type `&mut T`.

In [10]:
let mut v1: Vec<i32> = vec![22];
v1.push(44);
println!("A. v1={v1:?}");
{
    let v2 = &mut v1;
    v2.push(66);
    println!("B. v2={v2:?}");
}
v1.push(88);
println!("C. v1={v1:?}");

A. v1=[22, 44]
B. v2=[22, 44, 66]
C. v1=[22, 44, 66, 88]


### R√®gle d'or pour les r√©f√©rences

On ne peut pas avoir en m√™me temps

* plusieurs r√©f√©rences mutables, ni
* une r√©f√©rence mutable et une (ou plusieurs) r√©f√©rences immutables

vers la m√™me valeur, pour √©viter

* que deux partie du code ne modifient les m√™mes donn√©es simultan√©ment, ou
* qu'une partie du code lise des donn√©es en cours de modification.

Cette r√®gle est v√©rifi√©e par le **borrow checker** (un composant du compilateur).

In [11]:
let mut v1: Vec<i32> = vec![22];
v1.push(44);
println!("A. v1={v1:?}");
{
    let v2 = &v1;
    //v1.push(55);  // NE COMPILE PAS
    println!("B. v2={v2:?}");
}
{
    let v3 = &mut v1;
    v3.push(66);
    //v1.push(77);  // NE COMPILE PAS
    println!("C. v3={v3:?}");
}
println!("D. v1={v1:?}");
v1.push(88);
println!("E. v1={v1:?}");

A. v1=[22, 44]
B. v2=[22, 44]
C. v3=[22, 44, 66]
D. v1=[22, 44, 66]
E. v1=[22, 44, 66, 88]


### D√©r√©f√©rence avec `*`

* L'op√©rateur `*` est l'inverse de l'op√©rateur `&`
* Il permet de passer du type `&T` ou `&mut T` au type `T`

In [12]:
{
    let mut a: i32 = 42;
    let mut b: &mut i32 = &mut a;
    let c: i32 = *b; // copie la valeur emprunt√©e par b (car le type le permet)
    *b = 43;         // modifie la valeur emprunt√©e mutablement
    println!("a={a} c={c}");
};

a=43 c=42


### R√©f√©rence ‚â† pointeur

* En interne, ce sont bien des pointeurs.
* Mais dans leur utilisation, c'est la *valeur point√©e* qui est prise en compte.

In [13]:
let v = [42, 42];
let test = (&v[0] == &v[1]);
test

true

* Mieux vaut penser `&T` comme "une valeur de `T` emprunt√©e √† quelqu'un d'autre"
  que comme "un pointeur vers un `T`".
  
  * D'ailleurs, une r√©f√©rence ne peut jamais √™tre un pointeur null. ü¶Ä
  
* Les types `T` et `&T` sont toutefois des types diff√©rents.

## Comment choisir le type des param√®tres d'une fonction

In [14]:
// ma fonction n'a besoin que de lire les donn√©es: &T
fn count_zeros(v: &Vec<i32>) -> usize {
   v.iter().filter(|i| i==&&0).count()
} // NB: on pr√©f√©rerra en g√©n√©ral  v: &[i32]

In [15]:
// ma fonction n'a besoin que de lire les donn√©es,
// de taille modeste et avec la s√©mantique "copie": T
fn fact(n: usize) -> usize {
    if n <= 1 { 1 } else { n*fact(n-1) }
}

In [16]:
// ma fonction a besoin de modifier les donn√©es: &mut T
fn add_one(v: &mut Vec<i32>) {
    for i in v { *i += 1; }
}

In [17]:
// ma fonction "consomme" les donn√©es: T
fn add_two(mut v: Vec<i32>) -> Vec<i32> {
    v.into_iter().map(|x| x+2).collect()
}

## Long√©vit√© (*lifetime*)

Le *borrow checker* doit v√©rifier qu'aucun emprunt de donn√©es ne survit au propri√©taire de ces donn√©es.

(puisqu'apr√®s la "mort" du propri√©taire, les donn√©es sont lib√©r√©es et la r√©f√©rence pointerait "dans le vide")


In [18]:
{
    let owner1 = 22;
    let mut borrower: Vec<&i32> = vec![&owner1, &owner1];
    println!("A. {borrower:?}");
    {
        let owner2 = 44;
        borrower.push(&owner2); // NE COMPILE PAS
        println!("B. {borrower:?}");
    }
    // ici, 'owner2' n'existe plus (hors de port√©e)
    println!("C. {borrower:?}");
};

Error: `owner2` does not live long enough

Dans certaines situations, le compilateur a besoin d'indications explicites sur les long√©vit√©s respectives des diff√©rentes r√©f√©rences (¬´‚ÄØqui vit aussi longtemps que qui‚ÄØ?¬†¬ª).

In [19]:
// CE CODE NE COMPILE PAS

// retoure les valeurs de t1 absentes de t2
fn minus(t1: &[i32], t2: &[i32]) -> Vec<&i32> {
    let mut v = vec![];
    for i in t1 {
        if !t2.contains(i) {
            v.push(i)
        }
    }
    v
}

Error: missing lifetime specifier

La solution √† ce probl√®me (comme sugg√©r√© par le compilateur)
consiste √† expliciter les long√©vit√©s respective des emprunts,
avec des *lifetime parameters*.

In [20]:
// retoure les valeurs de t1 absentes de t2
fn minus<'a, 'b>(t1: &'a [i32], t2: &'b [i32]) -> Vec<&'a i32> {
    //  ^^^^^^^^      ^^             ^^                ^^
    // indique que l'emprunt retourn√©
    // ne peut pas vivre plus longtemps que v1 (m√™me long√©vit√© 'a),
    // mais n'est pas impact√© par v2 (long√©vit√© diff√©rente 'b)
    let mut v = vec![];
    for i in t1 {
        if !t2.contains(i) {
            v.push(i)
        }
    }
    v
}

Dans les cas courant, il n'est pas n√©cessaire de sp√©cifier les long√©vit√©s;
Rust applique des heuristiques correspondant aux cas les plus courants.

En particulier, lorsqu'il n'y a qu'une seule r√©f√©rence en entr√©e, et une seule r√©f√©rence en sortie,
elles sont suppos√©e avoir la m√™me long√©vit√©.

In [21]:
// retourne uniquement les valeurs de t1 inf√©rieures √† max
fn all_lower_than(t1: &[i32], max: i32) -> Vec<&i32> {
// √©quivalent √†
// fn borrow_items<'a>(v1: &'a [i32]) -> Vec<&'a i32> {
    t1.iter()
      .filter(|i| i<=&&max)
      .collect()
}