写点什么

谷歌:Android 内存安全漏洞比例下降与使用 Rust 相关

  • 2022-12-04
    北京
  • 本文字数:828 字

    阅读完需:约 3 分钟

谷歌:Android 内存安全漏洞比例下降与使用Rust相关

根据谷歌安全消息,十多年来,内存安全漏洞一直占整个产品和整个行业漏洞的 65% 以上。但近期在 Android 上,内存安全漏洞显着减少,并且相关的漏洞严重性也有所下降。

 

“从 2019 年到 2022 年,内存安全漏洞的年度数量从 223 个下降到 85 个,”Android 安全工程师 Jeffrey Vander Stoep 在博客文章中说道。Jeffrey 表示,这种下降与放弃内存不安全编程语言的努力相吻合,这里的“内存不安全编程语言”指的是 C/C++。



从去年的 Android 12 开始,Rust 成为了 Android 平台语言。Jeffrey 表示,现在在 Android 13 中,添加到该版本中的大部分新代码都是用内存安全语言——Rust、Java 或 Kotlin 编写的。

 

随着 Android 内存不安全代码越来越少,内存安全漏洞占 Android 漏洞的比例从 2019 年的 76% 下降到 2022 年的 35%。2022 年是内存安全漏洞不再是 Android 大部分漏洞代表的第一年。

 

“虽然有相关性并不一定意味着有因果关系,但值得注意的是,由内存安全问题引起的漏洞的百分比似乎与用于新代码的开发语言密切相关。”Jeffrey 说道。

 

据悉,在 Android 13 中,大约 21% 的新原生代码(C/C++/Rust)是 Rust。AOSP 中大约有 150 万行 Rust 代码,涵盖了各种新功能和组件,例如 Keystore2、新的超宽带 (UWB) 堆栈、DNS-over-HTTP3、Android 的虚拟化框架 (AVF) 以及各种其他组件及其开源依赖项。这些是需要系统语言的低级组件,否则这些组件将在 C++ 中实现。迄今为止,在 Android 的 Rust 代码中发现的内存安全漏洞为零。

 

不过,Jeffrey 也表示,谷歌的目标不是将现有的 C/C++ 转换为 Rust,而是随着时间的推移,将新代码的开发转移到内存安全语言。

 

谷歌并不是唯一一家认识到内存安全代码好处的大型科技公司。Meta 层表达过对 Rust 的赞赏。几个月前,微软 CTO Mark Russinovich 宣布不应再使用 C/C++ 来启动新项目,并表示应该在需要没有垃圾收集的语言的地方部署 Rust。

 

参考链接:

https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.html

2022-12-04 22:085486

评论 1 条评论

发布
用户头像
微软 CTO Mark Russinovich X
微软Azure CTO Mark Russinovich √
2022-12-05 09:49 · 上海
回复
没有更多了
发现更多内容

体育赛事技术演进历程,开发技术发展趋势

软件开发-梦幻运营部

DeFi/DApp矿机算力质押挖矿系统开发

l8l259l3365

NFTScan | 10.09~10.15 NFT 市场热点汇总

NFT Research

NFT\ NFTScan

数据结构与算法 | 数组(Array)

Java研究者

Java 算法 数组 算法题 数据结构,

回归测试的实践与思考

老张

软件测试 质量保障 回归测试 测试计划

软件测试|教你用skip灵活跳过用例

霍格沃兹测试开发学社

Chiplet封装技术的应用现状

IC男奋斗史

封装 芯片 半导体 chiplet

再玩玩B端搭建

得物技术

架构 规则引擎 B端搭建

进来“抄作业”!示例代码、操作手册,尽在华为云Codelabs!

华为云PaaS服务小智

云计算 软件开发 华为云

中文永久激活版:IBM SPSS Statistics 26 for Mac破解资源 支持M1

iMac小白

IBM SPSS Statistics 26 SPSS26破解版

亲测可用 Illustrator 2024更新,最新AI2024下载mac/win

iMac小白

Illustrator 2024 ai2024下载 AI2024破解版

业内首个基于Iceberg的“云端仓转湖”生产实践探索

腾讯云大数据

湖仓一体

谁在“操控”虚拟人?

自象限

虚拟人

了解容器运行时安全:保护你的容器应用

统信软件

容器 安全 运行时

Linux爆发好时机!Windows这次换代为何这么难!

树上有只程序猿

windows 11

深度学习应用开发示例之目标识别

矩视智能

深度学习 机器视觉

10个最佳区块链分析工具 区块链系统开发

区块链软件开发推广运营

交易所开发 dapp开发 区块链开发 链游开发 NFT开发

浅谈 33 台 iPad 发展史;OpenAI“悄悄”修改了企业核心价值观丨 RTE 开发者日报 Vol.67

声网

那些被裁员的芯片工程师们都怎么样了?

IC男奋斗史

职业规划 裁员 芯片 半导体 ChatGPT

OpenHarmony创新赛|赋能直播第四期

OpenHarmony开发者

探索工作流应用场景下解决重复审批的方法

inBuilder低代码平台

工作流 低代码

premiere pro 2024 新功能介绍 pr2024中文激活版下载mac/win

iMac小白

Premiere Pro 2024 Pr2024下载 pr2024破解版

IPQ9554 and QCN9274 - The key to high-speed connectivity - Go beyond tradition and lead the future:

wifi6-yiyi

每个开发人员都想使用的编程语言

互联网工科生

rust

挖掘文本的奇妙力量:传统与深度方法探索匹配之道

汀丶人工智能

推荐系统 语义搜索 向量搜索

锁定云栖大会!共同见证阿里云大数据+AI产品年度重磅发布及创新

阿里云大数据AI技术

大数据 AI

在 Windows 平台下安装与配置 MySQL 5.7.36

小齐写代码

OpenHarmony创新赛丨报名倒计时,超强秘籍带你直通大奖!

OpenHarmony开发者

CSS魔法!如何将任意CSS类型转换为数值?

高端章鱼哥

CSS

谷歌:Android 内存安全漏洞比例下降与使用Rust相关_语言 & 开发_褚杏娟_InfoQ精选文章