የጉግል መሐንዲሶች የመድረኩን የመጀመሪያ ትግበራ ውጤቶች ጠቅለል አድርገው አቅርበዋል Android በሩስት ቋንቋ ለልማት ድጋፍ። Android 13 አዲስ ከተጨመረው ኮድ ውስጥ በግምት 21% የሚሆነው በሩስት የተጻፈ ሲሆን 79% ደግሞ በC/C++ የተጻፈ ነው። በAOSP ማከማቻ ውስጥ (Android የክፍት ምንጭ ፕሮጀክት)፣ የመድረኩን የምንጭ ኮድ የሚያዘጋጅ Androidበሩስት ውስጥ እንደ Keystore2 ክሪፕቶግራፊክ ቁልፍ ማከማቻ፣ ለUWB ቺፕስ (Ultra-Wideband) የሚሆን ቁልል፣ የዲኤንኤስ-ኦቨር-HTTP3 ፕሮቶኮል ትግበራ፣ የAVF ቨርቹዋላይዜሽን ማዕቀፍ () ካሉ አዳዲስ ክፍሎች ጋር የተያያዙ ወደ 1.5 ሚሊዮን የሚጠጉ የኮድ መስመሮች አሉ።Android የቨርቹዋልላይዜሽን ማዕቀፍ)፣ ለብሉቱዝ እና ለዋይፋይ የሙከራ ቁልሎች።
ከማስታወስ ጋር በሚሰሩበት ጊዜ በስህተቶች ምክንያት የሚመጡ የተጋላጭነት አደጋዎችን ለመቀነስ ቀደም ሲል በፀደቀው ስትራቴጂ መሠረት ፣ የዝገት ቋንቋ በአሁኑ ጊዜ በዋነኝነት በአዲስ ኮድ ልማት እና ቀስ በቀስ በጣም ተጋላጭ እና አስፈላጊ የሶፍትዌር አካላትን ደህንነትን ያጠናክራል። መላውን መድረክ ወደ ዝገት ለማስተላለፍ ምንም አጠቃላይ ግብ የለም እና የድሮው ኮድ በ C / C ++ ውስጥ ይቀራል ፣ እና በእሱ ውስጥ ስህተቶችን ለመዋጋት የሚደረገው ትግል የሚከናወነው ግራ የሚያጋቡ ሙከራዎችን ፣ የማይለዋወጥ ትንታኔዎችን እና ተመሳሳይ ቴክኒኮችን በመጠቀም ነው። MiraclePtr አይነትን በመጠቀም (በጥሬ ጠቋሚዎች ላይ ማሰር ፣ የተፈቱ የማህደረ ትውስታ ቦታዎችን ለማግኘት ተጨማሪ ምርመራዎችን ማድረግ) ፣ የስኩዶ ማህደረ ትውስታ ምደባ ስርዓት (ደህንነቱ የተጠበቀ የ malloc / ነፃ ምትክ) እና ከማህደረ ትውስታ HWAsan (በሃርድዌር የታገዘ አድራሻ ሳኒታይዘር) ሲሰራ የስህተት መፈለጊያ ዘዴዎችን በመጠቀም ፣ GWP-ASAN እና KFENCE.
በመድረኩ ውስጥ ስለ ተጋላጭነቶች ባህሪ ስታቲስቲክስን በተመለከተ Android, ማህደረ ትውስታን ደህንነቱ ባልተጠበቀ ሁኔታ የሚያስተናግደው አዲስ ኮድ መጠን እየቀነሰ ሲሄድ፣ በማህደረ ትውስታ ስህተቶች ምክንያት የሚከሰቱ የተጋላጭነት ብዛትም እየቀነሰ እንደሚሄድ ተጠቁሟል። ለምሳሌ፣ በማህደረ ትውስታ ችግሮች ምክንያት የሚከሰቱ የተጋላጭነት ድርሻ በ2019 ከነበረበት 76% በ2022 ወደ 35% ቀንሷል። ፍጹም በሆኑ ቁጥሮች፣ በ2019 ከትውስታ ጋር የተያያዙ 223 ተጋላጭነቶች፣ በ2020 150፣ በ2021 100 እና በ2022 85 ተገኝተዋል (ሁሉም የተዘገቡ ተጋላጭነቶች በC/C++ ኮድ ውስጥ ነበሩ፤ እስካሁን ድረስ ተመሳሳይ ችግሮች በRust ኮድ ውስጥ አልተገኙም)። 2022 ከማህደረ ትውስታ ጋር የተያያዙ ተጋላጭነቶች የበላይነት ያቆሙበትን የመጀመሪያ ዓመት ያመለክታል።
ከማስታወስ ጋር የተያያዙ ድክመቶች አብዛኛውን ጊዜ በጣም አደገኛ ስለሆኑ አጠቃላይ አኃዛዊ መረጃዎችም ወሳኝ ጉዳዮችን እና በርቀት ጥቅም ላይ ሊውሉ የሚችሉ ጉዳዮችን ይቀንሳል. በተመሳሳይ ጊዜ ከማስታወስ ጋር አብሮ ለመስራት ያልተዛመዱ ተጋላጭነቶችን የመለየት ተለዋዋጭነት ላለፉት 4 ዓመታት በግምት ተመሳሳይ ደረጃ ላይ ይገኛል - በወር 20 ተጋላጭነቶች። ከማስታወስ ጋር በሚሰሩበት ጊዜ በስህተት በተፈጠሩት ድክመቶች መካከል የአደገኛ ችግሮች ድርሻም ይቀራል (ነገር ግን የዚህ አይነት ተጋላጭነት ቁጥር ስለሚቀንስ የአደገኛ ችግሮች ቁጥርም ይቀንሳል)።
በተጨማሪም ስታቲስቲክስ ከማህደረ ትውስታ ጋር ደህንነቱ ባልተጠበቀ ሁኔታ የሚሰራው የአዲሱ ኮድ መጠን እና ከማህደረ ትውስታ ጋር የተገናኙ የተጋላጭነቶች ብዛት (መያዣ ሞልቷል፣ ቀድሞ የተለቀቀ ማህደረ ትውስታ ማግኘት ወዘተ) መካከል ያለውን ዝምድና ይከታተላል። ይህ ምልከታ የሚያረጋግጠው ደህንነታቸው የተጠበቁ የፕሮግራም አወጣጥ ቴክኒኮችን በሚተገበሩበት ጊዜ ነባሩን ኮድ እንደገና ከመጻፍ ይልቅ አዲስ ኮድ በማስወገድ ላይ መሆን አለበት የሚለውን ግምት ያረጋግጣል።
ምንጭ: opennet.ru
