🥇Около 21% от новия компилиран код в Android 13 е написан на Rust

Инженерите от Google обобщиха първите резултати от въвеждането на поддръжка за разработка на езика Rust в платформата Android. В Android 13 приблизително 21% от добавения нов компилиран код е написан на Rust и 79% на C/C++. Хранилището на AOSP (Android Open Source Project), което разработва изходния код на платформата Android, съдържа приблизително 1.5 милиона реда код на Rust, свързан с нови компоненти като хранилището на криптографски ключове Keystore2, стек за UWB чипове (Ultra-Wideband) , внедряване на протокола DNS-over-HTTP3, рамката за виртуализация AVF (Android Virtualization Framework), експериментални стекове за Bluetooth и Wi-Fi.

В съответствие с по-рано приетата стратегия за намаляване на риска от уязвимости, причинени от грешки при работа с паметта, езикът Rust в момента се използва главно при разработването на нов код и за постепенно укрепване на сигурността на най-уязвимите и жизненоважни софтуерни компоненти. Няма обща цел за прехвърляне на цялата платформа към Rust и старият код остава в C/C++, а борбата с грешките в него се осъществява чрез използване на fuzzing тестване, статичен анализ и използване в разработката на техники, подобни на използване на типа MiraclePtr (обвързване върху необработени указатели, извършване на допълнителни проверки за достъп до освободени области на паметта), системата за разпределение на паметта Scudo (сигурен заместител на malloc/free) и механизми за откриване на грешки при работа с памет HWAsan (Hardware-assisted AddressSanitizer), GWP-ASAN и KFENCE.

Що се отнася до статистиката за естеството на уязвимостите в платформата Android, отбелязва се, че с намаляването на новия код, който работи небезопасно с паметта, има намаляване на броя на уязвимостите, причинени от грешки при работа с памет. Например делът на уязвимостите, причинени от проблеми с паметта, е намалял от 76% през 2019 г. на 35% през 2022 г. В абсолютни числа 2019 уязвимости, свързани с паметта, бяха идентифицирани през 223 г., 2020 през 150 г., 2021 през 100 г. и 2022 през 85 г. (всички отбелязани уязвимости бяха в кода на C/C++; в кода на Rust досега нямаше подобни проблеми. намерени). 2022 беше първата година, в която свързаните с паметта уязвимости престанаха да доминират.

Тъй като уязвимостите, свързани с паметта, обикновено са най-опасните, общата статистика също показва намаляване на броя на критичните проблеми и проблемите, които могат да бъдат експлоатирани от разстояние. В същото време динамиката на идентифициране на уязвимости, които не са свързани с работата с памет, остава приблизително на същото ниво за последните 4 години - 20 уязвимости на месец. Делът на опасните проблеми сред уязвимостите, причинени от грешки при работа с памет, също остава (но тъй като броят на такива уязвимости намалява, броят на опасните проблеми също намалява).

Статистиката също така проследява връзката между количеството нов код, който работи несигурно с паметта и броя на свързаните с паметта уязвимости (препълване на буфер, достъп до вече освободена памет и т.н.). Това наблюдение потвърждава предположението, че фокусът при прилагането на техники за защитено програмиране трябва да бъде върху премахването на нов код, а не върху пренаписването на съществуващ код, тъй като по-голямата част от идентифицираните уязвимости са в нов код.

Източник: opennet.ru

Около 21% от новия компилиран код в Android 13 е написан на Rust

Добавяне на нов коментар Отказване на отговора

Добавяне на нов коментар