Google'i insenerid on platvormil rakendamise esimesed tulemused kokku võtnud. Android tugi Rust-keele arendamiseks. Android 13 Ligikaudu 21% lisatud äsja kompileeritud koodist on kirjutatud Rustis ja 79% C/C++-s. AOSP repositooriumis (Android Open Source Project), mis arendab platvormi lähtekoodi Android, Rustis on ligikaudu 1.5 miljonit koodirida, mis on seotud selliste uute komponentidega nagu Keystore2 krüptograafilise võtme salvestusruum, UWB-kiipide (ülilailariba) virn, DNS-over-HTTP3 protokolli rakendamine, AVF virtualiseerimisraamistik (Android Virtualiseerimisraamistik), eksperimentaalsed paketikomplektid Bluetoothi ja WiFi jaoks.
Kooskõlas varem vastuvõetud strateegiaga mäluvigade põhjustatud haavatavuste riski maandamiseks kasutatakse Rusti keelt praegu peamiselt uue koodi arendamiseks ja kõige haavatavamate ning kriitilisemate tarkvarakomponentide järkjärguliseks tugevdamiseks. Puudub üldine eesmärk kogu platvormi Rustile migreerimiseks ning pärandkood jääb C/C++ keelde. Vigadega tegeletakse hägustestimise, staatilise analüüsi ja selliste arendustehnikate abil nagu MiraclePtr (toores pointeriümbris, mis teeb täiendavaid kontrolle vabanenud mälupiirkondadele juurdepääsuks), Scudo mälujaotussüsteem (malloc/free turvaline asendaja) ning HWAsan (riistvara abil AddressSanitizer), GWP-ASAN ja KFENCE mäluvigade tuvastamise mehhanismid.
Platvormi haavatavuste olemuse statistika Android, märgitakse, et kuna mälu ebaturvaliselt käsitleva uue koodi hulk väheneb, väheneb ka mäluvigadest põhjustatud haavatavuste arv. Näiteks vähenes mäluprobleemidest tingitud haavatavuste osakaal 76%-lt 2019. aastal 35%-le 2022. aastal. Absoluutarvudes tuvastati 2019. aastal 223 mäluga seotud haavatavust, 2020. aastal 150, 2021. aastal 100 ja 2022. aastal 85 mäluga seotud haavatavust (kõik teatatud haavatavused olid C/C++ koodis; Rusti koodis pole sarnaseid probleeme veel leitud). 2022. aasta on esimene aasta, mil mäluga seotud haavatavused lakkasid olemast domineerivad.
Kuna mäluga seotud haavatavused on tavaliselt kõige ohtlikumad, näitab üldine statistika ka kriitiliste probleemide ja kaugjuhtimise teel ärakasutatavate probleemide arvu vähenemist. Samal ajal on mäluga mitteseotud haavatavuste avastamise määr viimase nelja aasta jooksul püsinud enam-vähem konstantsena – 20 haavatavust kuus. Kriitiliste probleemide osakaal mäluvigadest põhjustatud haavatavuste hulgas jääb samuti samaks (kuid selliste haavatavuste arvu vähenemisega väheneb ka kriitiliste probleemide arv).
Statistika näitab ka korrelatsiooni mälu ebaturvaliselt käitleva uue koodi mahu ja mäluga seotud haavatavuste (puhvri ületäitumine, mälule juurdepääs pärast selle vabastamist jne) arvu vahel. See tähelepanek toetab eeldust, et turvaliste programmeerimistehnikate rakendamisel peaks peamine eesmärk olema uue koodi eemaldamine, mitte olemasoleva koodi ümberkirjutamine, kuna enamik tuvastatud haavatavusi esineb uues koodis.
Allikas: opennet.ru
