谷歌已主动解决开源软件中因不安全内存处理而导致的问题。 据 Google 称,Chromium 中 70% 的安全问题是由内存错误引起的,例如在释放与其关联的内存后使用缓冲区(释放后使用)。 微软的研究还得出结论,所研究的软件更新中解决的所有漏洞中有 70% 是由内存不安全引起的。 另一项研究发现,如果代码是用内存安全语言编写的,那么在curl 实用程序中发现的 53 个漏洞中,有 95 个是可以避免的。
由 Google 资助并与 ISRG(互联网安全研究组)组织联合开展的早期举措的示例包括为 curl 实用程序创建替代 HTTP 后端以及为 Apache http 服务器开发新的 TLS 模块。 这两个项目都是用 Rust 语言实现的,该语言专注于安全地使用内存并提供自动内存管理,如果使用得当(在不安全模式下不会对指针进行不安全操作),可以防止出现访问内存区域等问题释放后,取消引用空指针和缓冲区溢出。
来源: opennet.ru