Chromium ప్రాజెక్ట్ డెవలపర్లు 912 నుండి క్రోమ్ యొక్క స్థిరమైన విడుదలలలో 2015 హై-రిస్క్ మరియు క్రిటికల్ వల్నరబిలిటీలు గుర్తించబడ్డాయి మరియు వాటిలో 70% మెమరీ అభద్రత (C/C++ కోడ్లోని పాయింటర్లతో పనిచేసేటప్పుడు లోపాలు) కారణంగా సంభవించాయని నిర్ధారించారు. ఈ సమస్యలలో సగం (36.1%) బఫర్తో అనుబంధించబడిన మెమరీని (ఉపయోగం-తరువాత-ఉచితం) ఖాళీ చేసిన తర్వాత దానికి యాక్సెస్ల వల్ల ఏర్పడతాయి.
Chromium రూపకల్పన చేసేటప్పుడు ఇది ప్రారంభంలో ఉంది , కోడ్లో లోపాలు కనిపించడం సాధ్యమే, కాబట్టి దుర్బలత్వాల యొక్క పరిణామాలను పరిమితం చేయడానికి శాండ్బాక్స్ ఐసోలేషన్ను ఉపయోగించడంపై పెద్ద ప్రాధాన్యత ఇవ్వబడింది. ప్రస్తుతం, ఈ సాంకేతిక పరిజ్ఞానాన్ని ఉపయోగించే అవకాశాలు వారి సామర్థ్యాల పరిమితిని చేరుకున్నాయి మరియు వనరుల వినియోగం దృష్ట్యా ప్రక్రియలుగా మరింత విచ్ఛిన్నం చేయడం అసాధ్యమైనది.
కోడ్బేస్ యొక్క భద్రతను నిర్వహించడానికి, Google కూడా అమలు చేస్తుంది "“, దీని ప్రకారం ఏదైనా జోడించిన కోడ్ తప్పనిసరిగా మూడు షరతులలో రెండింటికి మించకూడదు: ధృవీకరించని ఇన్పుట్ డేటాతో పని చేయడం, అసురక్షిత ప్రోగ్రామింగ్ లాంగ్వేజ్ (C/C++) ఉపయోగించడం మరియు ఎలివేటెడ్ అధికారాలతో అమలు చేయడం. బాహ్య డేటాను ప్రాసెస్ చేయడానికి కోడ్ తప్పనిసరిగా కనీస అధికారాలకు (వివిక్తంగా) తగ్గించబడాలి లేదా సురక్షితమైన ప్రోగ్రామింగ్ భాషలో వ్రాయబడాలని ఈ నియమం సూచిస్తుంది.
కోడ్ బేస్ యొక్క భద్రతను మరింత మెరుగుపరచడానికి, కోడ్ బేస్లో మెమరీ లోపాలు కనిపించకుండా నిరోధించడానికి ఒక ప్రాజెక్ట్ ప్రారంభించబడింది. మూడు ప్రధాన విధానాలు ఉన్నాయి: మెమరీ యొక్క సురక్షితమైన ఆపరేషన్ కోసం ఫంక్షన్లతో C++ లైబ్రరీలను సృష్టించడం మరియు హార్డ్వేర్ రక్షణ విధానాలను ఉపయోగించి చెత్త సేకరించేవారి పరిధిని విస్తరించడం (మెమరీ ట్యాగింగ్ ఎక్స్టెన్షన్) మరియు మెమొరీతో సురక్షితమైన పనిని నిర్ధారించే భాషలలో వ్రాత భాగాలు (జావా, కోట్లిన్, జావాస్క్రిప్ట్, రస్ట్, స్విఫ్ట్).
పని రెండు రంగాల్లో కేంద్రీకరించబడుతుందని భావిస్తున్నారు:
- C++ అభివృద్ధి ప్రక్రియలో గణనీయమైన మార్పు, ఇది పనితీరుపై ప్రతికూల ప్రభావాన్ని మినహాయించదు (అదనపు హద్దులు తనిఖీలు మరియు చెత్త సేకరణ). ముడి పాయింటర్లకు బదులుగా, రకాన్ని ఉపయోగించమని ప్రతిపాదించబడింది , ఇది పనితీరు, మెమరీ వినియోగం మరియు స్థిరత్వంపై గుర్తించదగిన ప్రతికూల ప్రభావం లేకుండా, భద్రతా ముప్పును కలిగించని క్రాష్లకు దోపిడీకి గురికాగల ఉపయోగం-తర్వాత-రహిత లోపాలను తగ్గించడానికి మిమ్మల్ని అనుమతిస్తుంది.
- కంపైల్ సమయంలో మెమరీ భద్రతా తనిఖీలను నిర్వహించడానికి రూపొందించబడిన భాషల ఉపయోగం (కోడ్ అమలు సమయంలో అటువంటి తనిఖీలలో అంతర్లీనంగా పనితీరుపై ప్రతికూల ప్రభావాన్ని తొలగిస్తుంది, కానీ కోడ్తో కొత్త భాషలో కోడ్ పరస్పర చర్యను నిర్వహించడానికి అదనపు ఖర్చులకు దారి తీస్తుంది. C++).
మెమరీ-సురక్షిత లైబ్రరీలను ఉపయోగించడం అనేది సరళమైన, కానీ తక్కువ సమర్థవంతమైన మార్గం. రస్ట్లో కోడ్ని తిరిగి వ్రాయడం అత్యంత ప్రభావవంతమైనది, కానీ చాలా ఖరీదైన మార్గంగా రేట్ చేయబడింది.
మూలం: opennet.ru