[Topic DIscussion] 使用Rust开发让Android 内存安全漏洞大幅度下降
Tofloor
poster avatar
流浪的加菲
deepin
2024-09-29 14:47
Author

谷歌在最新的一篇文章中指出,内存安全问题导致的漏洞百分比与新代码使用的开发语言密切相关。而随着其将开发转向内存安全语言,Android 内存安全漏洞的百分比已经从 2019 年的 76% 下降到了 2024 年的仅 24%,远低于 70% 的行业标准,并且还在继续下降。

1727591911095.jpg

Android 安全团队成员 Jeff Vander Stoep 和 Google 高级软件工程师 Alex Rebert 解释称:

漏洞具有半衰期,会随着代码的发展而逐渐衰减,绝大多数漏洞都存在于新的或最近修改的代码中,且随着时间的推移,代码会呈指数级成熟和更加安全;而随着代码老化,重写等投资的回报也会逐渐减少。

因此在维护旧代码的同时,使用 Rust 等内存安全语言编写新代码,最大限度地减少随着时间的推移出现新的缺陷,就能达到大幅减少内存安全漏洞的目的。

根据我们的经验,很明显不需要丢弃或重写所有现有的内存不安全代码。相反,Android 专注于将互操作性作为内存安全之旅的主要功能,使其既安全又方便。互操作性提供了一种实用且渐进的方法来采用内存安全语言,使组织能够利用现有的代码和系统投资,同时加速新功能的开发。

文章还总结了过去几十年间,业界在处理内存安全漏洞方面经历的四个主要阶段:

  • 被动修补
  • 主动缓解措施
  • 主动发现漏洞
  • 高保障预防(安全编码):强调通过使用 Rust 等内存安全语言从源头上预防漏洞。

向内存安全语言的转变不仅代表着技术的变化,更是安全方法的根本转变...... 安全编码通过将错误查找进一步向左移动来提高代码正确性和开发人员生产力。我们看到这种转变体现在回滚率等重要指标中。Android 团队观察到 Rust 更改的回滚率不到 C++ 的一半。

在过渡到内存安全代码后,谷歌预计对漏洞缓解措施的依赖、以及对模糊测试等主动检测方法的依赖也均会减少。


本文转载自开源中国:《谷歌:过渡到 Rust 使得 Android 漏洞大幅下降

扩展阅读:Rust 团队公布 2024 年发展目标

Reply Favorite View the author
All Replies
芬兰裔美国人Linus
deepin
2024-09-29 15:17
#1

用rust重写dde吧

Reply View the author
把一切操作变成GUI
deepin
Backbone of ecological co-construction group
2024-09-29 15:38
#2
芬兰裔美国人Linus

用rust重写dde吧

那你建议用什么GUI库?😄

Reply View the author
我是昵称
deepin
2024-09-29 19:35
#3

Language Bindings - Qt Wiki https://wiki.qt.io/Language_Bindings#Qt_for_Rust_(Rust-Qt)

Reply View the author
明月夜
deepin
2024-09-29 20:58
#4

👍👍

Reply View the author
把一切操作变成GUI
deepin
Backbone of ecological co-construction group
2024-09-30 01:14
#5
我是昵称

Language Bindings - Qt Wiki https://wiki.qt.io/Language_Bindings#Qt_for_Rust_(Rust-Qt)

这个qt绑定一堆坑,相当不成熟

Reply View the author
乾豫恒益
deepin
2024-09-30 07:00
#6

搬个板凳慢慢听。。。

Reply View the author
北冥夜未央
deepin
Ecological co-builder
2024-09-30 14:59
#7
芬兰裔美国人Linus

用rust重写dde吧

rust至今没有好用的GUI库,还改写dde?rust目前只适合后端

Reply View the author
Oli
deepin
2024-09-30 22:40
#8

like

Reply View the author
新手来啦~
deepin
2024-10-02 22:01
#9

tail

Reply View the author
zmqsybzc
deepin
2024-10-03 00:14
#10

最近眼花好像有点严重,标题看成了“使用Rust开发让Android 内存安全性大幅度下降”joy

Reply View the author
ggbond
deepin
2024-10-03 00:52
#11

confused confused

Reply View the author
ggbond
deepin
2024-10-03 00:55
#12

好事

Reply View the author
流浪的加菲
deepin
2024-10-08 08:05
#13
zmqsybzc

最近眼花好像有点严重,标题看成了“使用Rust开发让Android 内存安全性大幅度下降”joy

你这过于离谱了,众所周知:Rust是内存安全语言doubt

Reply View the author