Google-ийн инженерүүд уг платформд хэрэгжүүлсний эхний үр дүнг нэгтгэн дүгнэлээ Android Rust хэлний хөгжлийг дэмжих. Android 13 Шинээр нэмэгдсэн хөрвүүлсэн кодын ойролцоогоор 21% нь Rust хэл дээр, 79% нь C/C++ хэл дээр бичигдсэн байна. AOSP репозиторт (Android Нээлттэй эхийн төсөл) нь платформын эх кодыг хөгжүүлдэг AndroidRust дээр Keystore2 криптографийн түлхүүр хадгалах сан, UWB чипийн стек (Ultra-Wideband), DNS-over-HTTP3 протоколын хэрэгжилт, AVF виртуалчлалын хүрээ () зэрэг шинэ бүрэлдэхүүн хэсгүүдтэй холбоотой ойролцоогоор 1.5 сая мөр код байдаг.Android Виртуалчлалын хүрээ), Bluetooth болон Wi-Fi-д зориулсан туршилтын стекүүд.
Санах ойн алдаанаас үүдэлтэй эмзэг байдлын эрсдлийг бууруулах өмнө нь батлагдсан стратегийн дагуу Rust хэлийг одоогоор голчлон шинэ код боловсруулах, хамгийн эмзэг, чухал програм хангамжийн бүрэлдэхүүн хэсгүүдийг аажмаар хатууруулахад ашиглаж байна. Платформыг бүхэлд нь Rust руу шилжүүлэх ерөнхий зорилго байхгүй бөгөөд хуучин код нь C/C++ дээр хэвээр байна. Алдаануудыг fuzz тест, статик шинжилгээ, MiraclePtr (чөлөөлөгдсөн санах ойн хэсгүүдэд хандах нэмэлт шалгалт хийдэг түүхий заагч ороогч), Scudo санах ойн хуваарилалтын систем (malloc/free-ийн аюулгүй орлуулалт), HWAsan (Тоног төхөөрөмжийн тусламжтайгаар хаягийг хадгалах), GWP-ASAN, KFENCE санах ойн алдаа илрүүлэх механизм зэрэг хөгжүүлэлтийн техникүүдээр дамжуулан шийдвэрлэдэг.
Платформ дахь эмзэг байдлын мөн чанарын статистикийн талаар Android, санах ойг аюулгүй бус байдлаар зохицуулдаг шинэ кодын хэмжээ буурах тусам санах ойн алдаанаас үүдэлтэй эмзэг байдлын тоо буурч байгааг тэмдэглэжээ. Жишээлбэл, санах ойн асуудлаас үүдэлтэй эмзэг байдлын эзлэх хувь 2019 онд 76% байсан бол 2022 онд 35% болж буурсан байна. Үнэмлэхүй тоогоор 2019 онд санах ойтой холбоотой 223 эмзэг байдал, 2020 онд 150, 2021 онд 100, 2022 онд 85 эмзэг байдал илэрсэн (мэдэлэгдсэн бүх эмзэг байдал C/C++ кодонд байсан; Rust кодонд үүнтэй төстэй асуудал хараахан илрээгүй байна). 2022 он бол санах ойтой холбоотой эмзэг байдал давамгайлахаа больсон анхны жил юм.
Санах ойтой холбоотой эмзэг байдал нь ерөнхийдөө хамгийн аюултай байдаг тул нийт статистик мэдээллээс харахад чухал асуудлууд болон алсаас ашиглаж болох асуудлуудын тоо буурч байгааг харуулж байна. Үүний зэрэгцээ, санах ойтой холбоогүй эмзэг байдлыг илрүүлэх түвшин сүүлийн дөрвөн жилийн хугацаанд ойролцоогоор тогтмол хэвээр байгаа бөгөөд сард 20 эмзэг байдал ажиглагдаж байна. Санах ойн алдаанаас үүдэлтэй эмзэг байдлын дунд чухал асуудлуудын эзлэх хувь өөрчлөгдөөгүй хэвээр байна (гэхдээ ийм эмзэг байдлын тоо буурах тусам чухал асуудлуудын тоо ч мөн буурч байна).
Статистик нь санах ойг аюулгүй бус зохицуулдаг шинэ кодын эзэлхүүн болон санах ойтой холбоотой эмзэг байдлын тоо (буферийн халилт, санах ойг чөлөөлсний дараа хандах гэх мэт) хоорондын хамаарлыг харуулж байна. Энэхүү ажиглалт нь аюулгүй програмчлалын техникийг хэрэгжүүлэхдээ гол анхаарал нь одоо байгаа кодыг дахин бичихээс илүүтэй шинэ кодыг устгахад чиглэгдэх ёстой гэсэн таамаглалыг дэмжиж байна, учир нь илэрсэн эмзэг байдлын дийлэнх нь шинэ кодонд гардаг.
Эх сурвалж: opennet.ru
