首页>>科技 >>内容

谷歌称Rust是减少Android漏洞的关键

发布时间:2022-12-06 17:54:30编辑:愉快的缘分来源:

在博客文章中(在新标签页中打开)由Android安全工程师JeffreyVanderStoep发布,谷歌员工表示,严重内存漏洞的数量在过去三年中显着下降,并表示这一切都归功于操作系统摆脱了内存不安全的编程语言C和C++。

谷歌称Rust是减少Android漏洞的关键

三年前,大多数(65%)的Android错误是高严重性或严重性内存安全错误(例如,认为越界读写缺陷)。从那时起,谷歌一直在稳步编写新的Rust代码并将其添加到Android(而不是简单地改进现有代码)。现在,这些缺陷的数量已经大大减少,它们不再是困扰移动操作系统的最大问题。

“从2019年到2022年,内存安全漏洞的年度数量从223个下降到85个,”VanderStoep解释道。

他说,随着Android12(于2021年10月上旬发布),该操作系统成为Rust-first产品。虽然由于使用了新颖的编程语言,内存安全漏洞有所减少,但其他形式的漏洞却保持稳定,每月发现大约20个新漏洞。然而,这些缺陷并不像内存安全漏洞那么严重。

但这并不意味着谷歌完全放弃C和C++。VanderStoep表示,该公司将继续投资于编写更安全的C和C++代码的工具,并提到了Android上的Scudo强化分配器、HWASAN、GWP-ASAN和KFENCE(在新标签页中打开)设备。他还表示,谷歌增加了模糊测试的使用。

到目前为止,Rust一直非常可靠,但VanderStoep知道这可能会在未来发生变化:迄今为止,在Android的Rust代码中发现的内存安全漏洞为零,”他总结道。“我们不希望这个数字永远保持为零,但考虑到两个Android版本中新Rust代码的数量,以及使用它的安全敏感组件,这是一个重要的结果。”