谷歌发起了一项旨在解决开源软件内存安全问题的倡议。据谷歌称,Chromium 中 70% 的安全问题是由内存错误(例如释放后使用)引起的。微软的一项研究也得出结论,在所分析的软件更新中修复的所有漏洞中,70% 是由内存安全问题造成的。另一项研究发现,如果 curl 工具的代码是用内存安全的语言编写的,那么其中 95 个已发现的漏洞中有 53 个是可以避免的。
谷歌早期资助的项目,例如与互联网安全研究小组 (ISRG) 合作开展的项目,包括为 curl 工具创建替代的 HTTP 后端,以及为 Apache HTTP 服务器开发新的 TLS 模块。这两个项目均使用 Rust 语言实现,Rust 是一种注重内存安全并提供自动内存管理的语言。如果使用得当(避免在不安全模式下进行不安全的指针操作),Rust 可以帮助防止诸如释放后访问、空指针解引用和缓冲区溢出等问题。
来源: opennet.ru
