Google mühendisleri, Rust programlama dilinin Android işletim sistemini daha güvenli hale getirmenin anahtarı olduğunu iddia etti.
İçinde Blog yazısı (yeni sekmede açılır) Android güvenlik mühendisi Jeffrey Vander Stoep tarafından yayınlanan Google çalışanı, ciddi bellek güvenlik açıklarının sayısının son üç yılda önemli ölçüde düştüğünü söylüyor ve bunun işletim sisteminin bellek açısından güvenli olmayan programlama dilleri olan C ve C++’dan uzaklaşması sayesinde olduğunu öne sürüyor.
Üç yıl önce, Android hatalarının çoğunluğu (%65) ya yüksek öneme sahip ya da kritik öneme sahip bellek güvenlik hatalarıydı (örneğin, sınırların dışında okuma ve yazma kusurlarını düşünün). O zamandan beri, Google sürekli olarak yeni Rust kodu yazıyor ve onu Android’e ekliyor (sadece mevcut kodu geliştirmek yerine). Artık bu kusurların sayısı önemli ölçüde azaldı ve artık mobil işletim sistemini rahatsız eden en büyük sorun değiller.
Bir sabitte daha az ciddi güvenlik açıkları
Vander Stoep, “2019’dan 2022’ye kadar yıllık bellek güvenlik açıklarının sayısı 223’ten 85’e düştü” diye açıklıyor.
Android 12 (Ekim 2021’in başlarında piyasaya sürüldü) ile işletim sisteminin Rust öncelikli bir ürün haline geldiğini söyledi. Yeni programlama dilinin kullanımı sayesinde bellek güvenliği hataları azalırken, diğer güvenlik açıkları her ay keşfedilen yaklaşık 20 yeni kusurda sabit kaldı. Ancak bu kusurlar, bellek güvenlik hataları kadar şiddetli değildir.
Ancak bu, Google’ın C ve C++’dan tamamen vazgeçtiği anlamına gelmez. Android’de Scudo güçlendirilmiş ayırıcı, HWASAN, GWP-ASAN ve KFENCE’den bahseden Vander Stoep, şirketin daha güvenli C ve C++ kodu yazmak için araçlara yatırım yapmaya devam edeceğini söyledi. (yeni sekmede açılır) cihazlar. Ayrıca Google’ın bulanıklaştırma kullanımını artırdığını söyledi.
Şimdiye kadar, Rust oldukça güvenilirdi, ancak Vander Stoep bunun gelecekte değişebileceğini biliyor: Bugüne kadar, Android’in Rust kodunda sıfır bellek güvenlik açığı keşfedildi,” diye sözlerini bitirdi. “Bu sayının sonsuza kadar sıfır kalmasını beklemiyoruz, ancak iki Android sürümündeki yeni Rust kodunun hacmi ve kullanıldığı güvenlik açısından hassas bileşenler göz önüne alındığında, bu önemli bir sonuç.”
Aracılığıyla: Kayıt (yeni sekmede açılır)