IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Přechod Googlu na programování v jazyce Rust snižuje zranitelnosti paměti v Androidu o 68 %

Přechod Googlu na programování v jazyce Rust snižuje zranitelnosti paměti v Androidu o 68 %

Google odhalil, že jeho přechod na jazyky bezpečné pro paměť, jako je Rust, v rámci přístupu secure-by-design vedl k poklesu procenta zranitelností paměti objevených v Androidu ze 76 % na 24 % během šesti let. Technologický gigant uvedl, že zaměření na bezpečné kódování pro nové funkce nejen snižuje celkové bezpečnostní riziko kódu, ale také činí přechod více „škálovatelným a nákladově efektivním.“

To nakonec vede k poklesu zranitelností paměti, protože nové nebezpečné vývoje paměti se po určité době zpomalují a nové bezpečné vývoje paměti přebírají, uvedli Jeff Vander Stoep a Alex Rebert z Googlu v příspěvku sdíleném s The Hacker News. Možná ještě zajímavější je, že počet zranitelností paměti má tendenci klesat i přes nárůst množství nového nebezpečného kódu.

Tento paradox je vysvětlen skutečností, že zranitelnosti se exponenciálně zmenšují, přičemž studie zjistila, že vysoký počet zranitelností často sídlí v novém nebo nedávno upraveném kódu. „Problém je převážně s novým kódem, což vyžaduje zásadní změnu v tom, jak vyvíjíme kód,“ poznamenali Vander Stoep a Rebert. „Kód zraje a stává se bezpečnějším s časem, exponenciálně, což činí návratnost investic.“

Google, který formálně oznámil své plány na podporu programovacího jazyka Rust v Androidu již v dubnu 2021, uvedl, že začal upřednostňovat přechod nového vývoje na jazyky bezpečné pro paměť kolem roku 2019. Výsledkem je, že počet zranitelností paměti objevených v operačním systému klesl z 223 v roce 2019 na méně než 50 v roce 2024.

Samozřejmě, že velká část tohoto poklesu je způsobena pokroky ve způsobech, jakými byly tyto chyby řešeny, přechodem od reaktivního opravování k proaktivnímu zmírňování a objevování zranitelností pomocí nástrojů jako Clang sanitizers. Technologický gigant dále poznamenal, že strategie zabezpečení paměti by se měly ještě více vyvíjet, aby upřednostňovaly „vysokou jistotu prevence“ začleněním principů secure-by-design, které zakotvují bezpečnost do samotných základů.

Zdroj: thehackernews.com