A Google Rust programozásra való áttérése 52%-kal csökkenti az Android memória sebezhetőségeit
A Google felfedte, hogy a secure-by-design megközelítés részeként a memóriabiztos nyelvekre, például a Rustra való áttérés hat év alatt 76%-ról 24%-ra csökkentette az Androidban felfedezett memory-safe sérülékenységek arányát. A technológiai óriás szerint a biztonságos kódolásra való összpontosítás az új funkciók esetében nemcsak a kódbázis általános biztonsági kockázatát csökkenti, hanem az átállást „skálázhatóbbá és költséghatékonyabbá” is teszi. Végül ez a memóriabiztonsági sérülékenységek csökkenéséhez vezet, mivel az új memóriabiztonságot veszélyeztető fejlesztések egy bizonyos idő után lelassulnak, és az új memóriabiztonságos fejlesztések veszik át a helyüket – írta a Google Jeff Vander Stoep és Alex Rebert egy bejegyzésben.
Talán még érdekesebb, hogy a memóriabiztonsági sérülékenységek száma csökken az új, nem biztonságos memóriakódok mennyiségének növekedése ellenére. Egy tanulmány szerint a sérülékenységek nagy része gyakran új vagy nemrég módosított kódban található. „A probléma túlnyomórészt az új kóddal van, ami alapvető változást tesz szükségessé a kódfejlesztés módjában” – jegyezte meg Vander Stoep és Rebert. „A kód idővel exponenciálisan érik és biztonságosabbá válik.” A Google, amely hivatalosan már 2021 áprilisában bejelentette a Rust programozási nyelv Androidban való támogatására vonatkozó terveit, elmondta, hogy 2019 körül kezdte prioritásként kezelni az új fejlesztések memóriabiztos nyelvekre való átállását. Ennek eredményeként az operációs rendszerben felfedezett memóriabiztonsági sérülékenységek száma a 2019-es 223-ról 2024-re kevesebb mint 50-re csökkent.
Az is magától értetődő, hogy az ilyen hibák számának csökkenése nagyrészt a leküzdésükre kidolgozott módszerek fejlődésének köszönhető, a reaktív javítástól a proaktív enyhítésen át a proaktív sebezhetőségek felfedezéséig, olyan eszközökkel, mint a Clang szanitizátorok. A technológiai óriás megjegyezte továbbá, hogy a memóriabiztonsági stratégiáknak még inkább fejlődniük kell, hogy a megelőzést helyezzék előtérbe a secure-by-design elvek beépítésével, amelyek a biztonságot már az alapoktól alkalmazzák.
