Google heeft een initiatief genomen om problemen in open source-software aan te pakken die worden veroorzaakt door onveilige geheugenverwerking. Volgens Google wordt 70% van de beveiligingsproblemen in Chromium veroorzaakt door geheugenfouten, zoals het gebruik van een buffer na het vrijmaken van het bijbehorende geheugen (use-after-free). Het Microsoft-onderzoek concludeerde ook dat 70% van alle kwetsbaarheden die in de onderzochte software-updates werden aangepakt, werden veroorzaakt door geheugenonzekerheid. Uit een ander onderzoek bleek dat 53 van de 95 kwetsbaarheden die in het curl-hulpprogramma werden geïdentificeerd, vermeden hadden kunnen worden als de code in een geheugenveilige taal was geschreven.
Voorbeelden van vroege initiatieven gefinancierd door Google en uitgevoerd in samenwerking met de ISRG-organisatie (Internet Security Research Group) zijn onder meer de creatie van een alternatieve HTTP-backend voor het curl-hulpprogramma en de ontwikkeling van een nieuwe TLS-module voor de Apache http-server. Beide projecten zijn geïmplementeerd in de Rust-taal, die zich richt op veilig werken met geheugen en zorgt voor automatisch geheugenbeheer, waarmee je bij correct gebruik (geen onveilige acties met verwijzingen in onveilige modus) kunt beschermen tegen problemen zoals toegang krijgen tot een geheugengebied na het vrijgeven ervan, het verwijderen van null-pointers en bufferoverruns.
Bron: opennet.ru
