|
點(diǎn)擊上方“C語言與CPP編程”,選擇“關(guān)注/置頂/星標(biāo)公眾號”
干貨福利,第一時(shí)間送達(dá)!
最近有小伙伴說沒有收到當(dāng)天的文章推送,這是因?yàn)槲⑿鸥牧送扑蜋C(jī)制,導(dǎo)致沒有星標(biāo)公眾號的小伙伴刷不到當(dāng)天推送的文章,無法接收到一些比較實(shí)用的知識和資訊。所以建議大家加個(gè)星標(biāo)??,以后就能第一時(shí)間收到推送了。
vs2aoouzi3t6409722800.png (399.52 KB, 下載次數(shù): 0)
下載附件
保存到相冊
vs2aoouzi3t6409722800.png
2024-10-18 01:44 上傳
作者 | Thomas Claburn 譯者 | Sambodhi 策劃 | Tina谷歌表示,過去六年來,其優(yōu)先考慮內(nèi)存安全軟件開發(fā)的努力已大幅減少安卓操作系統(tǒng)中的內(nèi)存安全漏洞數(shù)量。
在最近發(fā)布的 報(bào)告 中,谷歌透露,因內(nèi)存安全問題導(dǎo)致的安卓漏洞比例已從 2019 年的 76% 下降至預(yù)計(jì) 2024 年底的 24%,這顯著低于行業(yè)標(biāo)準(zhǔn)的 70%。
這是安卓代碼風(fēng)險(xiǎn)狀況的顯著改善,安卓安全團(tuán)隊(duì)成員 Jeff Vander Stoep 和谷歌高級軟件工程師 Alex Rebert 將此歸功于采用了 安全編碼(Safe Coding)。這是一套軟件開發(fā)實(shí)踐,旨在通過內(nèi)存安全編程語言(包括 Rust)、靜態(tài)分析和 API 設(shè)計(jì)來避免引入漏洞。
據(jù)安卓團(tuán)隊(duì)觀察,Rust 變更的回滾率不到 C++ 的一半。
Vander Stoep 和 Rebert 說:“前幾代人向安全編碼所做的轉(zhuǎn)變可以通過開發(fā)代碼時(shí)所做斷言的可量化性來體現(xiàn)。”
“安全編碼使我們能夠?qū)Υa的屬性以及基于這些屬性可能發(fā)生或不可能發(fā)生的情況做出強(qiáng)有力的斷言,而不是關(guān)注所應(yīng)用的干預(yù)措施(如緩解和模糊測試),或試圖利用過去的表現(xiàn)來預(yù)測未來的安全性。”
使用 C#、Go、Java、Python、Swift 和 Rust 等內(nèi)存安全編程語言開發(fā)軟件是安全編碼的重要組成部分。在大型代碼庫中,大多數(shù)的嚴(yán)重安全漏洞都源于緩沖區(qū)溢出等內(nèi)存安全缺陷。這一認(rèn)識促使公共和私營部門廣泛推動(dòng)減少內(nèi)存安全漏洞的發(fā)生。
為了實(shí)現(xiàn)這一目標(biāo),我們主要建議避免使用 C 和 C++,因?yàn)檫@兩種語言需要手動(dòng)進(jìn)行內(nèi)存管理,除非開發(fā)人員特別敬業(yè),否則容易導(dǎo)致內(nèi)存漏洞。(這一點(diǎn)在 C/C++ 社區(qū)中也得到了關(guān)注,內(nèi)存安全 已成為 該社區(qū)的首要任務(wù)。)
對谷歌而言,國際內(nèi)存安全運(yùn)動(dòng) 意味著在安卓和其他項(xiàng)目中更多地采用 Rust 進(jìn)行開發(fā),這在大多數(shù)情況下能夠提供內(nèi)存安全保障而不影響性能。同時(shí),這種做法還提高了工作效率。
Vander Stoep 和 Rebert 說到,“安全編碼將缺陷查找工作進(jìn)一步向左轉(zhuǎn)移,甚至在代碼提交之前,從而提高了代碼的正確性和開發(fā)人員的工作效率”。
“我們看到這種轉(zhuǎn)變體現(xiàn)在一些重要的指標(biāo)上,比如回滾率(因意外錯(cuò)誤導(dǎo)致的代碼緊急回退)。安卓團(tuán)隊(duì)觀察到,Rust 變更的回滾率不到 C++ 的一半!
對于擁有大量不安全遺留代碼的企業(yè)來說,好消息是可能不需要用新語言重寫舊代碼。正如 Vander Stoep 和 Rebert 所指出的,漏洞是有半衰期的——它們會(huì)隨著時(shí)間的推移而衰減。他們說,“舉例來說,根據(jù)平均漏洞壽命,5 年前的代碼比新代碼的漏洞密度低 3.4 倍(基于研究結(jié)果中的壽命)到 7.4 倍(基于在安卓和 Chromium 中觀察到的壽命),”。
這并不是說舊漏洞會(huì)奇跡般地變得不可利用。相反,漏洞總體密度的降低,這是統(tǒng)計(jì)上的勝利,但并不意味著安全有了保障。
即便如此,通過使舊代碼與內(nèi)存安全代碼實(shí)現(xiàn)互操作,以及使用內(nèi)存安全語言編寫新代碼,現(xiàn)有漏洞的自然衰減率往往會(huì)使大型代碼庫隨著時(shí)間的推移變得更加安全,而無需進(jìn)行繁瑣的代碼修訂。如果你停止制造新的內(nèi)存安全漏洞,舊的漏洞至少在總體上就不會(huì)成為問題。
Vander Stoep 和 Rebert 說,“在新代碼中采用安全編碼是一種范式轉(zhuǎn)變,使我們能夠利用漏洞的固有衰減特性來發(fā)揮我們的優(yōu)勢,即使在大型現(xiàn)有系統(tǒng)中也是如此!
“這個(gè)概念很簡單:一旦我們切斷了新漏洞的源頭,這些漏洞就會(huì)呈指數(shù)級減少,從而使我們所有的代碼更加安全,提高 安全設(shè)計(jì)的有效性,并緩解與現(xiàn)有內(nèi)存安全策略相關(guān)的可擴(kuò)展性挑戰(zhàn),使這些策略能夠更加有效和更加有針對性地得到應(yīng)用!
作者簡介: Thomas Claburn,The Register 網(wǎng)絡(luò)雜志的資深記者。他的專長在于政府信息技術(shù)、軟件開發(fā)以及人工智能的倫理使用。Thomas 在技術(shù)出版領(lǐng)域擁有近 30 年的經(jīng)驗(yàn),曾擔(dān)任過從雜志版塊編輯到特約編輯的多種職務(wù)。
原文鏈接:
https://www.theregister.com/2024/09/25/google_rust_safe_code_android
——EOF——你好,我是飛宇。日常分享C/C++、計(jì)算機(jī)學(xué)習(xí)經(jīng)驗(yàn)、工作體會(huì),歡迎點(diǎn)擊此處查看我以前的學(xué)習(xí)筆記&經(jīng)驗(yàn)&分享的資源。
我組建了一些社群一起交流,群里有大牛也有小白,如果你有意可以一起進(jìn)群交流。
mlyngz2efci6409722901.png (195.91 KB, 下載次數(shù): 2)
下載附件
保存到相冊
mlyngz2efci6409722901.png
2024-10-18 01:44 上傳
歡迎你添加我的微信,我拉你進(jìn)技術(shù)交流群。此外,我也會(huì)經(jīng)常在微信上分享一些計(jì)算機(jī)學(xué)習(xí)經(jīng)驗(yàn)以及工作體驗(yàn),還有一些內(nèi)推機(jī)會(huì)。
kltgvmzdcxr6409723001.png (281.08 KB, 下載次數(shù): 1)
下載附件
保存到相冊
kltgvmzdcxr6409723001.png
2024-10-18 01:44 上傳
加個(gè)微信,打開另一扇窗
經(jīng)常遇到有讀者后臺私信想要一些編程學(xué)習(xí)資源,這里分享 1T 的編程電子書、C/C++開發(fā)手冊、Github上182K+的架構(gòu)路線圖、LeetCode算法刷題筆記等精品學(xué)習(xí)資料,點(diǎn)擊下方公眾號會(huì)回復(fù)"編程"即可免費(fèi)領(lǐng)取~
感謝你的分享,點(diǎn)贊,在看三連
kaamxmykdeh6409723101.gif (88.16 KB, 下載次數(shù): 0)
下載附件
保存到相冊
kaamxmykdeh6409723101.gif
2024-10-18 01:44 上傳
|
|