የChromium ፕሮጀክት ገንቢዎች ከ912 ጀምሮ በተረጋጋ የChrome ልቀቶች ውስጥ 2015 ከፍተኛ ስጋት እና ወሳኝ ተጋላጭነቶች ተለይተዋል፣ እና 70% የሚሆኑት የተከሰቱት በማህደረ ትውስታ ደህንነት (በC/C++ ኮድ ውስጥ ካሉ ጠቋሚዎች ጋር ሲሰሩ ስህተቶች) ናቸው የሚል ድምዳሜ ላይ ደርሷል። ከእነዚህ ችግሮች ውስጥ ግማሹ (36.1%) የሚከሰቱት ከሱ ጋር የተገናኘውን ማህደረ ትውስታ (ከጥቅም-በኋላ-ነጻ) ነፃ ካደረጉ በኋላ ወደ ቋት በመድረስ ነው።
Chromiumን ሲነድፍ መጀመሪያ ላይ ነበር። , በኮዱ ውስጥ ስህተቶች ሊታዩ እንደሚችሉ, ስለዚህ የተጋላጭነት መዘዝን ለመገደብ በአሸዋ ቦክስ ማግለል ላይ ትልቅ ትኩረት ተሰጥቷል. በአሁኑ ጊዜ ይህንን ቴክኖሎጂ የመጠቀም ዕድሎች የአቅም ገደብ ላይ ደርሰዋል እና ተጨማሪ ወደ ሂደቶች መከፋፈል ከንብረት ፍጆታ አንፃር ተግባራዊ አይሆንም.
የኮድ ቤዝ ደህንነትን ለመጠበቅ ጉግል "እንዲሁም ያስፈጽማል""በዚህ መሰረት ማንኛውም የተጨመረ ኮድ ከሶስት ሁኔታዎች ከሁለት በላይ ማሟላት የለበትም፡ ካልተረጋገጠ የግቤት ውሂብ ጋር መስራት፣ደህንነቱ ያልተጠበቀ የፕሮግራሚንግ ቋንቋ (C/C++) በመጠቀም እና ከፍ ባለ ልዩ መብቶች መሮጥ። ይህ ህግ የሚያመለክተው የውጫዊ መረጃን ለማስኬድ ኮድ ወይ ወደ ዝቅተኛ መብቶች (የተገለሉ) ወይም ደህንነቱ በተጠበቀ የፕሮግራሚንግ ቋንቋ መፃፍ አለበት።
የኮድ ቤዝ ደህንነትን የበለጠ ለማጠናከር በኮድ ቤዝ ውስጥ የማስታወሻ ስህተቶች እንዳይታዩ ለመከላከል ፕሮጀክት ተጀመረ። ሶስት ዋና አቀራረቦች አሉ-የ C++ ቤተ-መጻሕፍትን መፍጠር ደህንነቱ የተጠበቀ የማስታወስ ችሎታ እና የቆሻሻ ሰብሳቢውን ወሰን ማስፋት ፣ የሃርድዌር መከላከያ ዘዴዎችን በመጠቀም። (የማህደረ ትውስታ መለያ ማራዘሚያ) እና የማህደረ ትውስታ ስራን በሚያረጋግጡ ቋንቋዎች (ጃቫ ፣ ኮትሊን ፣ ጃቫ ስክሪፕት ፣ ዝገት ፣ ስዊፍት) ክፍሎችን መፃፍ።
ስራው በሁለት ዘርፎች ላይ ትኩረት ያደርጋል ተብሎ ይጠበቃል።
- በC ++ የእድገት ሂደት ላይ ጉልህ ለውጥ, ይህም በአፈፃፀም ላይ አሉታዊ ተፅእኖን አያካትትም (ተጨማሪ የድንበር ፍተሻዎች እና የቆሻሻ ማጠራቀሚያዎች). ከጥሬ ጠቋሚዎች ይልቅ, አይነቱን ለመጠቀም ይመከራል በአፈጻጸም፣ የማህደረ ትውስታ ፍጆታ እና መረጋጋት ላይ የሚታይ አሉታዊ ተጽእኖ ሳይኖር፣ ከነጻ-በኋላ ጥቅም ላይ ሊውሉ የሚችሉ ስህተቶችን ለደህንነት ስጋት ወደማያደርሱ ብልሽቶች እንዲቀንሱ ያስችልዎታል።
- በማጠናቀር ጊዜ የማህደረ ትውስታ ደህንነት ፍተሻዎችን ለማካሄድ የተነደፉ ቋንቋዎችን መጠቀም (በእንደዚህ ያሉ ቼኮች ላይ በኮድ አፈፃፀም ላይ የሚከሰቱትን አሉታዊ ተፅእኖዎች ያስወግዳል ፣ ግን ኮድ በ ውስጥ ኮድን በአዲስ ቋንቋ ለማደራጀት ተጨማሪ ወጪዎችን ያስከትላል ። ሲ ++)።
የማህደረ ትውስታ-አስተማማኝ ቤተ-መጻሕፍትን መጠቀም ቀላሉ፣ነገር ግን ብዙም ቀልጣፋ መንገድ ነው። በሩስት ውስጥ ኮድን እንደገና መፃፍ በጣም ውጤታማው ፣ ግን በጣም ውድ መንገድ ተብሎም ደረጃ ተሰጥቶታል።
ምንጭ: opennet.ru