Redian新闻
>
谷歌:Android 内存安全漏洞比例下降与使用 Rust 相关

谷歌:Android 内存安全漏洞比例下降与使用 Rust 相关

公众号新闻

根据谷歌安全消息,十多年来,内存安全漏洞一直占整个产品和整个行业漏洞的 65% 以上。但近期在 Android 上,内存安全漏洞显着减少,并且相关的漏洞严重性也有所下降。

“从 2019 年到 2022 年,内存安全漏洞的年度数量从 223 个下降到 85 个,”Android 安全工程师 Jeffrey Vander Stoep 在博客文章中说道。Jeffrey 表示,这种下降与放弃内存不安全编程语言的努力相吻合,这里的“内存不安全编程语言”指的是 C/C++。

从去年的 Android 12 开始,Rust 成为了 Android 平台语言。Jeffrey 表示,现在在 Android 13 中,添加到该版本中的大部分新代码都是用内存安全语言——Rust、Java 或 Kotlin 编写的。

随着 Android 内存不安全代码越来越少,内存安全漏洞占 Android 漏洞的比例从 2019 年的 76% 下降到 2022 年的 35%。2022 年是内存安全漏洞不再是 Android 大部分漏洞代表的第一年。

“虽然有相关性并不一定意味着有因果关系,但值得注意的是,由内存安全问题引起的漏洞的百分比似乎与用于新代码的开发语言密切相关。”Jeffrey 说道。

据悉,在 Android 13 中,大约 21% 的新原生代码(C/C++/Rust)是 Rust。AOSP 中大约有 150 万行 Rust 代码,涵盖了各种新功能和组件,例如 Keystore2、新的超宽带 (UWB) 堆栈、DNS-over-HTTP3、Android 的虚拟化框架 (AVF) 以及各种其他组件及其开源依赖项。这些是需要系统语言的低级组件,否则这些组件将在 C++ 中实现。迄今为止,在 Android 的 Rust 代码中发现的内存安全漏洞为零。

不过,Jeffrey 也表示,谷歌的目标不是将现有的 C/C++ 转换为 Rust,而是随着时间的推移,将新代码的开发转移到内存安全语言。

谷歌并不是唯一一家认识到内存安全代码好处的大型科技公司。Meta 层表达过对 Rust 的赞赏。几个月前,微软 CTO Mark Russinovich 宣布不应再使用 C/C++ 来启动新项目,并表示应该在需要没有垃圾收集的语言的地方部署 Rust。

参考链接:

https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.html

点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!

今日好文推荐

Vue 3是最佳选择吗? 耗时两周从Vue 2迁移到Svelte后:代码执行更快、体验更佳

当 Rust 成为“巨坑”:拖慢开发速度、员工被折磨数月信心全无,无奈还得硬着头皮继续

台积电分红曝光:入职 8 个月狂领 44 个月薪水;Elastic 将裁员 13%,付至少 14 周补偿;马斯克和苹果解除“误会”|Q 资讯

解决开发者数十年的“噩梦”:Zero ETL、Zero 脏数据,亚马逊云科技推出云原生数据战略

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
怕年老肌肉流失?背米去来!2022 Luxury Listings · Hurun Outstanding American Real Estate谷歌推出 KataOS 开源操作系统,基于 Rust 编写吕一平:90%的安全漏洞,都可被扼杀在研发阶段APP漏洞挖掘之某款APP开发商通用漏洞的挖掘深刻理解 | 以通信方式共享内存,不要以共享内存方式通信Chrome再次优化内存占用,新增内存释放开关DDR4与DDR5内存有何区别?深刻理解 | 以通信方式共享内存,不要以共享内存方式通信靳东变脸 嬉笑怒骂Linux 6.1正式发布,带有MGLRU、初始Rust支持IKEA x OBEGRÄNSAD联名!宜家22年最受瞩目系列开售!谷歌发布查找开源安全漏洞的 Go 工具 OSV-Scanner硬核观察 #791 谷歌宣布推出 Rust 开发的 KataOS 操作系统Google 宣布支持使用 Rust 开发 ChromiumTrust Index:佛罗里达州外科医生总指导建议18-39岁男性接种mRNA COVID-19疫苗收购机器人界的「Android」,谷歌豪赌未来五十年谷歌推出开源操作系统 KataOS,采用 Rust 和 seL4 微内核2023年1月1日施行!《网络产品安全漏洞收集平台备案管理办法》发布【信息安全三分钟】2022.10.29悼念李怡前辈APP漏洞挖掘之某下载量超101万的APP有几个漏洞可以GetShell?3D版DALL-E来了!谷歌发布文本3D生成模型DreamFusion,重点是zero-shot如何使用Rust语言设计并开发一个领域编程语言Ensem:科技驱动,向undruggable的药物靶点宣战 | GGV投资笔记第132期用餐给小费比例多少才适合?加拿大人对小费比例有分歧China Golden Rooster & Hundred Flowers Film Festival wraps up硬核观察 #838 安卓的 Rust 代码中发现的内存安全漏洞为零看万山红遍,层林尽染,百鱼争流--Erin dale park平价买到高级感!IKEA全新 OBEGRÄNSAD系列,全系列都好看!Uber Freight 近实时分析架构,晚点取消的比例下降了 0.4%NSA:建议从 C/C++ 切换到内存安全语言Hyper 存在漏洞,Rust 项目易受拒绝服务攻击没有脚本的舞台诗以调试 Rust 的方式来学习 Rust | Linux 中国hǎo xiǎng “rua” 🤩
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。