تقول Google أن Android يعمل بشكل أفضل عند تغطيته في Rust
تعمل Google على دمج التعليمات البرمجية المكتوبة بلغة البرمجة Rust في نظام التشغيل Android الخاص بها منذ عام 2019 .
وقد أثمرت جهودها في شكل عدد أقل من الثغرات الأمنية.
تمثل أخطاء أمان الذاكرة – مثل القراءة والكتابة أو الاستخدام خارج الحدود مجانًا – أكثر من 65 بالمائة من نقاط الضعف للأخطاء الشديدة أو الحرجة في Chrome و Android ، والأرقام متشابهة في البرامج من البائعين الآخرين.
تؤدي هذه العيوب إلى تدهور الأمان وزيادة تكلفة تطوير البرامج عندما لا يتم اكتشافها مبكرًا.
ولكن بعد أربع سنوات قام فيها Android بجمع أجزاء من Rust ، انخفض هذا الرقم.
قال جيفري فاندر ستويب ، مهندس الأمن في Android ، في منشور بالمدونة:
“من عام 2019 إلى عام 2022 ، انخفض العدد السنوي للثغرات الأمنية في الذاكرة من 223 إلى 85”.
يقول فاندر ستويب إن هذا التراجع يتزامن مع الجهود المبذولة للابتعاد عن لغات البرمجة غير الآمنة للذاكرة .
والتي يقصد بها C / C ++ – وهي لغة لا تضمن أمان الذاكرة ولكن يمكنها دعمها.
بدءًا من Android 12 العام الماضي ، أصبحت Rust لغة نظام Android الأساسي. والآن في Android 13 .
وكما يقول Vander Stoep ، تمت كتابة غالبية التعليمات البرمجية الجديدة المضافة إلى الإصدار بلغة ذاكرة آمنة – Rust أو Java أو Kotlin.
مع دخول رمز أقل للذاكرة غير الآمنة إلى Android ، انتقلت ثغرات أمان الذاكرة من 76 بالمائة من ثغرات Android في عام 2019 إلى 35 بالمائة في عام 2022 .
وهي السنة الأولى التي لا تمثل فيها أخطاء أمان الذاكرة غالبية نقاط الضعف.
ظلت نقاط الضعف الأخرى ثابتة بمرور الوقت ، حيث ظهرت بمعدل حوالي 20 شهريًا على مدى السنوات الأربع الماضية.
نظرًا لأن عيوب أمان الذاكرة كانت مسؤولة عن معظم المشكلات الحرجة ، فقد ثبت أن نقاط الضعف التي ظهرت على السطح كانت أقل خطورة.
Google ليست الشركة التقنية الكبيرة الوحيدة التي تعرفت على فوائد كود الذاكرة الآمنة.
أعربت ميتا عن تقديرها لRust .
منذ عدة أشهر ، أعلن مارك روسينوفيتش CTO في Microsoft أنه لا ينبغي استخدام C / C ++ بعد الآن لبدء مشاريع جديدة وأنه يجب نشر Rust حيث يلزم وجود لغة بدون جمع البيانات المهملة.
في ذلك الوقت ، تحدى Bjarne Stroustrup ، مبتكر C ++ ، توجيهات Russinovich من خلال الإشارة إلى أن النوع وسلامة الذاكرة يمكن الحصول عليها في معيار ISO C ++ ، والذي يتم فرضه من خلال تحليل ثابت.
كما يرى Stroustrup ، فإن مساعدة C ++ على التطور يكون منطقيًا أكثر من إهمال اللغة وترك الشفرة غير الآمنة دون رعاية.
يقول Vander Stoep ، إن Google تواصل الاستثمار في أدوات لكتابة كود C / C ++ أكثر أمانًا ، مشيرًا إلى أداة تخصيص Scudo القوية و HWASAN و GWP-ASAN و KFENCE على أجهزة Android.
ويقول إن Google زادت من استخدامها للتشويش.
ولكن في حين أن مثل هذه الإجراءات قد ساهمت في تراجع أخطاء سلامة الذاكرة ، فإنه يجادل بأن معظم تقليل الضعف يجب أن يُعزى إلى الانتقال نحو اللغات الآمنة للذاكرة.
