在编程语言不断追求极致性能与安全的今天，微软近日正式披露了 C# 语言未来的重大演进蓝图。根据 .NET 产品经理 Richard Lander 的最新阐述，微软计划在 C# 16 中引入全新的底层编程安全模型，旨在不牺牲自动内存管理优势的前提下，大幅提升语言的内存安全性，使其向 Rust 等现代系统级语言的安全理念靠拢。

重新定义“不安全”：从隐蔽角落走向聚光灯下

自 C# 诞生之初，unsafe 关键字便作为一把“双刃剑”存在于语言之中。它允许开发者像编写 C 语言一样直接使用指针、访问非托管内存，这在操作系统互操作、内存映射设备访问以及高性能计算等场景中至关重要。然而，由于指针操作绕过了 .NET 垃圾回收器（GC）的追踪，一旦使用不当，极易引发内存泄漏或安全漏洞。

在微软规划的全新模型中，unsafe 不再仅仅是一个简单的修饰符，而是被赋予了更强的语义约束。未来的 C# 将强制要求“不安全性”在调用链中显式传播。这意味着，一旦某个方法被标记为 unsafe，其调用者也必须处于不安全上下文中，除非在方法内部明确抑制了这种传播。这种设计将迫使开发者在调用底层代码时保持高度警觉，彻底改变了过去“不安全代码”可能隐藏在庞大调用链深处的现状。

作用域下沉与精准管控

为了进一步收紧安全边界，微软计划取消将整个类型（Class/Struct）标记为 unsafe 的能力，将不安全的作用域严格限制在单个方法、属性或字段级别。此外，新模型对“不安全操作”的界定也进行了精细化调整：仅仅声明或使用指针类型将不再被视为不安全，只有真正进行指针解引用（即直接读写非托管内存）的操作，才会被强制要求进入 unsafe 上下文。

这一系列改动预计将在 2027 年底随 .NET 12（长期支持版本 LTS）和 C# 16 一同正式发布，开发者有望在 C# 15 与 ..NET 11 的预览版中提前体验。微软表示，新模型在初期将采用“自愿采用（Opt-in）”策略，但 .NET 运行时库将率先迁移。为了鼓励生态系统的跟进，微软还考虑在 NuGet 包管理器中引入安全徽章，直观展示各个第三方库对新安全模型的支持情况。

拥抱内存安全，构建可信赖的软件基石

微软此举并非意在削弱 C# 的底层能力，而是致力于让不安全代码“更可见、更易审查”。通过强制要求在不安全成员上添加明确的使用契约注释，并配合静态代码分析器，开发者将能更清晰地识别和管控内存风险。

尽管对于大量从事常规业务应用开发的 C# 程序员而言，这些底层改动可能感知不强，但微软认为，这是提升整个 .NET 生态代码安全信心的关键一步。在微软致力于逐步替换 C/C++ 代码库、全面强化软件供应链安全的宏大背景下，让 C# 在保持开发效率的同时具备更严密的内存安全防线，无疑将为云原生、高性能计算等关键领域的应用提供更坚实的保障。