安卓轉(zhuǎn)Rust，谷歌新策略能否加速內(nèi)存安全進(jìn)程？

【ITBEAR】谷歌公司近日宣布，為應(yīng)對(duì)日益嚴(yán)峻的內(nèi)存安全挑戰(zhàn)，計(jì)劃加速推進(jìn)使用Rust語(yǔ)言重構(gòu)其服務(wù)。據(jù)谷歌發(fā)布的博文透露，公司在評(píng)估2023年追蹤的零日漏洞時(shí)發(fā)現(xiàn)，高達(dá)75%的漏洞屬于內(nèi)存安全漏洞，實(shí)際利用的漏洞數(shù)量已接近歷史最高水平。

谷歌強(qiáng)調(diào)，其對(duì)內(nèi)存安全問(wèn)題的關(guān)注已超過(guò)20年，早期即采用Java、Python等內(nèi)存安全語(yǔ)言，并逐步構(gòu)建了以Go為核心的生態(tài)系統(tǒng)。谷歌還開(kāi)發(fā)了sanitizers和fuzzers等工具，幫助開(kāi)發(fā)者動(dòng)態(tài)檢測(cè)和測(cè)試內(nèi)存安全漏洞。

為應(yīng)對(duì)內(nèi)存安全挑戰(zhàn)，谷歌明確了“遷移到內(nèi)存安全語(yǔ)言”和“降低和控制風(fēng)險(xiǎn)”兩項(xiàng)核心策略。公司計(jì)劃通過(guò)在其代碼庫(kù)中融入Rust等內(nèi)存安全語(yǔ)言，減少使用內(nèi)存不安全代碼，以降低內(nèi)存安全漏洞的風(fēng)險(xiǎn)。

谷歌指出，安卓平臺(tái)已開(kāi)始采用內(nèi)存安全語(yǔ)言，并取得了顯著成效。自2019年以來(lái)，安卓平臺(tái)的內(nèi)存安全漏洞數(shù)量已從220個(gè)降至預(yù)計(jì)的36個(gè)。

谷歌還在強(qiáng)化其C++代碼，通過(guò)在現(xiàn)有內(nèi)存不安全代碼中實(shí)施安全措施，以消除特定類型的漏洞。同時(shí)，谷歌還通過(guò)沙箱技術(shù)和權(quán)限降低等手段，加強(qiáng)其軟件基礎(chǔ)設(shè)施的關(guān)鍵組件，以進(jìn)一步提升安全性。