گوگل نے اعلان کیا ہے کہ وہ اپنے پلیٹ فارم میں رسٹ پروگرامنگ لینگویج کو شامل کرے گا۔ Androidرسٹ لینگویج کمپائلر کو سورس ٹری میں شامل کیا گیا ہے۔ Android واپس 2019 میں، لیکن اس زبان کی حمایت تجرباتی رہی۔ پہلے زنگ آلود اجزاء میں سے کچھ جن کی رہائی کے لیے منصوبہ بنایا گیا تھا۔ Android، بائنڈر انٹر پروسیس کمیونیکیشن میکانزم اور بلوٹوتھ اسٹیک کے نئے نفاذ ہیں۔
زنگ کا نفاذ سیکیورٹی کو مضبوط بنانے، محفوظ پروگرامنگ کے طریقوں کو فروغ دینے اور میموری کے مسائل کی نشاندہی کرنے کی کارکردگی کو بہتر بنانے کے منصوبے کا حصہ ہے۔ Androidیہ نوٹ کیا گیا ہے کہ تقریباً 70 فیصد خطرناک خطرات کی نشاندہی کی گئی ہے۔ Android، میموری کی خرابیوں کی وجہ سے۔ رسٹ لینگویج کا استعمال، جو میموری کی حفاظت پر توجہ مرکوز کرتا ہے اور خودکار میموری کا انتظام فراہم کرتا ہے، میموری کی خرابیوں کی وجہ سے پیدا ہونے والے خطرات کو کم کرے گا، جیسے کہ میموری کو آزاد کرنے کے بعد اس تک رسائی حاصل کرنا اور بفر اووررنز۔
مورچا کمپائل کے وقت ریفرنس چیکنگ، آبجیکٹ اونر شپ ٹریکنگ، اور آبجیکٹ لائف ٹائم (اسکوپ) اکاؤنٹنگ کے ساتھ ساتھ رن ٹائم میموری تک رسائی کی درستگی کی تشخیص کے ذریعے میموری کی حفاظت کو یقینی بناتا ہے۔ زنگ انٹیجر اوور فلو کے خلاف بھی تحفظ فراہم کرتا ہے، استعمال سے پہلے متغیر اقدار کی لازمی ابتداء کی ضرورت ہوتی ہے، معیاری لائبریری میں بہتر غلطی سے نمٹنے کی ضرورت ہوتی ہے، غیر متغیر حوالہ جات اور متغیرات کے تصور کو بطور ڈیفالٹ لاگو کرتا ہے، اور منطق کی غلطیوں کو کم کرنے کے لیے مضبوط جامد ٹائپنگ پیش کرتا ہے۔
В Android یادداشت کی حفاظت کو پہلے سے تعاون یافتہ زبانوں کوٹلن اور جاوا سے تعاون حاصل ہے، لیکن وہ اپنے اوور ہیڈ کی وجہ سے سسٹم کے اجزاء کو تیار کرنے کے لیے موزوں نہیں ہیں۔ زنگ C اور C++ کے قریب کارکردگی پیش کرتا ہے، جو اسے کم سطح کے پلیٹ فارم کے اجزاء اور ہارڈویئر کے تعامل کے اجزاء کو تیار کرنے کے لیے موزوں بناتا ہے۔
C اور C++ کوڈ کی سیکیورٹی کو یقینی بنانے کے لیے Android سینڈ باکس تنہائی، جامد تجزیہ، اور فزنگ ٹیسٹنگ کا استعمال کیا جاتا ہے۔ سینڈ باکس الگ تھلگ کرنے کی صلاحیتیں محدود ہیں اور اپنی حدوں کو پہنچ چکی ہیں (وسائل کی کھپت کے نقطہ نظر سے عمل میں مزید ٹکڑے ٹکڑے کرنا ناقابل عمل ہے)۔ سینڈ باکسنگ کی حدود میں اوور ہیڈ اور میموری کی بڑھتی ہوئی کھپت شامل ہے جس کی وجہ نئے عمل کو جنم دینے کی ضرورت ہے، نیز IPC کے استعمال سے وابستہ اضافی تاخیر۔
تاہم، ایک سینڈ باکس کوڈ میں موجود کمزوریوں کو ختم نہیں کرتا ہے۔ یہ صرف خطرات کو کم کرتا ہے اور حملوں کو پیچیدہ بناتا ہے، کیونکہ استحصال کے لیے نہ صرف ایک بلکہ کئی کمزوریوں کی نشاندہی کی ضرورت ہوتی ہے۔ کوڈ ٹیسٹنگ پر مبنی طریقے اس حقیقت سے محدود ہیں کہ غلطیوں کی نشاندہی کرنے کے لیے ایسے حالات پیدا کرنے کی ضرورت ہوتی ہے کہ مسئلہ خود کو ظاہر کرے۔ تمام ممکنہ منظرناموں کا احاطہ کرنا ناممکن ہے، اس لیے بہت ساری خرابیوں کا پتہ نہیں چل پاتا۔
میں سسٹم کے عمل کے لیے Android گوگل "دو کے اصول" پر عمل پیرا ہے جس میں کہا گیا ہے کہ کسی بھی شامل کردہ کوڈ کو تین میں سے دو شرائط پر پورا نہیں اترنا چاہیے: غیر بھروسہ مند ان پٹ کو ہینڈل کرنا، غیر محفوظ پروگرامنگ زبان (C/C++) کا استعمال، اور سخت سینڈ باکسنگ کے بغیر چلنا (بلند مراعات کے ساتھ)۔ اس اصول کا مطلب یہ ہے کہ کوڈ جو بیرونی ڈیٹا پر کارروائی کرتا ہے اسے یا تو کم از کم مراعات (الگ تھلگ) تک چھین لیا جانا چاہیے یا کسی محفوظ پروگرامنگ زبان میں لکھا جانا چاہیے۔
گوگل کا مقصد زنگ میں موجودہ C/C++ کوڈ کو دوبارہ لکھنا نہیں ہے، لیکن نیا کوڈ تیار کرنے کے لیے زبان استعمال کرنے کا ارادہ رکھتا ہے۔ نئے کوڈ کے لیے زنگ کا استعمال سمجھ میں آتا ہے، جیسا کہ شماریاتی طور پر، زیادہ تر کیڑے نئے یا حال ہی میں ترمیم شدہ کوڈ میں ظاہر ہوتے ہیں۔ خاص طور پر، تقریباً 50 فیصد میموری کی خرابیوں کا پتہ چلا Android ایک سال سے بھی کم عرصہ پہلے لکھے گئے کوڈ میں پائے جاتے ہیں۔
ماخذ: opennet.ru
