Android 安卓内存安全漏洞数量大幅下降的原因

谷歌决定使用内存安全的编程语言 Rust 向 Android 代码库中写入新代码,尽管旧代码(用 C/C++ 编写)没有被重写,但内存安全漏洞却大幅减少。

Android 代码库中每年发现的内存安全漏洞数量(来源:谷歌)

Android 不断发展,内存安全漏洞越来越少

Android 团队在 2019 年左右开始优先将新开发过渡到内存安全语言。这一决定是由于管理内存安全漏洞的成本和复杂性不断增加。

不重写旧代码库的选择是基于之前的模拟,而该模拟又基于对漏洞寿命的研究,该研究显示漏洞的平均寿命约为 4 年,并且大多数漏洞存在于新的或最近修改的代码中。

简而言之,他们相信,通过使用内存安全的语言,新功能引入的错误会更少。

随着旧漏洞随着时间的推移而“衰减”,内存安全漏洞的数量预计会下降——事实也确实如此。

尽管大多数 [Android] 代码仍然不安全(但关键是,它们正在逐渐老化),但我们发现内存安全漏洞数量正在大幅下降。

结果与我们模拟的结果一致 (…),甚至更好,这可能是我们同时努力提高内存不安全代码的安全性的结果。

内存安全问题占 2019 年 Android 漏洞的 76%,目前到 2024 年这一比例为 24%,远低于 70% 的行业标准,并且还在继续下降。

从被动解决方案到主动解决方案

随着软件制造商和用户尝试各种解决方案来对抗内存安全漏洞(正如谷歌指出的那样,“与其他类型的漏洞相比,这些漏洞更容易被远程访问、用途更广泛、更容易被恶意利用”)。

措施已逐渐从被动措施(修补)转向主动措施:漏洞缓解策略、通过清理器和模糊器发现漏洞,以及现在通过使用内存安全语言来预防漏洞。

这一转变的基础是安全编码,它通过语言功能、静态分析和 API 设计将安全不变量直接强制到开发平台中。

其结果是设计安全的生态系统,提供大规模的持续保证,避免意外引入漏洞的风险。

安全编码通过将错误查找进一步向左移动,甚至在代码签入之前,提高了代码的正确性和开发人员的工作效率。

我们看到这种转变体现在回滚率(由于意外错误而导致的紧急代码恢复)等重要指标中。

Android 团队观察到 Rust 更改的回滚率不到 C++ 的一半。

本月初,Android 团队分享了有关如何在智能手机固件中逐步引入 Rust 的见解。

内存安全的语言才是出路

美国网络安全和基础设施局 (CISA) 一直在大力提倡使用内存安全语言。

最近发现172个关键且广泛使用的开源项目中有 52% 包含用内存不安全语言编写的代码。

CISA 大力倡导使用内存安全语言,这一举措得到了白宫的响应。

谷歌针对 Android 所采取的策略是放弃对现有代码库的重写,并专注于使互操作性变得安全且方便。

该公司认为,其他软件制造商和组织也可以采用这种策略,而不必担心增加投资和减缓推出新功能的速度。

那些对过渡到内存安全语言时的各种挑战和考虑感兴趣的人应该看看我们最近对开源安全基金会 (OpenSSF) 总经理的专题访谈。(点击下方链接即可阅读👇🏻)

过渡到内存安全语言:挑战和注意事项-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/55331.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Spring Boot实现足球青训俱乐部管理自动化

4 系统设计 4.1 系统架构设计 B/S系统架构是本系统开发采用的结构模式,使用B/S模式开发程序以及程序后期维护层面需要的经济成本是很低的,用户能够承担得起。使用这样的模式开发,用户使用起来舒心愉悦,不会觉得别扭,操…

WebSocket消息防丢ACK和心跳机制对信息安全性的作用及实现方法

WebSocket消息防丢ACK和心跳机制对信息安全性的作用及实现方法 在现代即时通讯(IM)系统和实时通信应用中,WebSocket作为一种高效的双向通信协议,得到了广泛应用。然而,在实际使用中,如何确保消息的可靠传输…

Docker笔记-Docker磁盘空间清理

无用的容器指的是已经停止运行且处于非活跃状态的容器。无用的镜像包括没有被任何容器使用的镜像&#xff0c;或者是被标记为"<none>"的镜像&#xff0c;通常是构建过程中产生的无标签镜像。 通过执行 docker container ls -a 和 docker image ls -a 命令&…

ffmpeg录制视频功能

本文目录 1.环境配置2.ffmpeg编解码的主要逻辑&#xff1a;3. 捕获屏幕帧与写入输出文件4. 释放资源 在录制结束时&#xff0c;释放所有分配的资源。5.自定义I/O上下文6.对于ACC编码器注意事项 1.环境配置 下载并安装FFmpeg库 在Windows上 从FFmpeg官方网站下载预编译的FFmpeg…

LiveNVR监控流媒体Onvif/RTSP功能-支持电子放大拉框放大直播视频拉框放大录像视频流拉框放大电子放大

LiveNVR监控流媒体Onvif/RTSP功能-支持电子放大拉框放大直播视频拉框放大录像视频流拉框放大电子放大 1、视频广场2、录像回看3、RTSP/HLS/FLV/RTMP拉流Onvif流媒体服务 1、视频广场 视频广场 -》播放 &#xff0c;左键单击可以拉取矩形框&#xff0c;放大选中的范围&#xff…

使用conda-pack迁移环境

要使用 conda-pack 迁移 conda 环境&#xff0c;可以按照以下步骤进行&#xff1a; 安装 conda-pack: 首先&#xff0c;需要确保 conda-pack 已安装。如果没有安装&#xff0c;可以通过 pip 安装&#xff1a; pip install conda-pack打包环境: 选择你想要打包的 conda 环境&…

2024年9月中国干旱监测报告(FYDI-2.0指数)

目录 引言 旱情监测与分析 资料来源 引言 2024年9月&#xff0c;北方的降水逐渐增多&#xff0c;进入华西秋雨集中期&#xff0c;从青藏高原北部一直延伸到东北多地&#xff0c;常出现大范围的云带&#xff0c;西北地区的降雨强度较大。南方地区降水分布不均&#xff0c;受…

【Python报错已解决】error: subprocess-exited-with-error

&#x1f3ac; 鸽芷咕&#xff1a;个人主页 &#x1f525; 个人专栏: 《C干货基地》《粉丝福利》 ⛺️生活的理想&#xff0c;就是为了理想的生活! 专栏介绍 在软件开发和日常使用中&#xff0c;BUG是不可避免的。本专栏致力于为广大开发者和技术爱好者提供一个关于BUG解决的经…

025.Oracle_DBMS_job定时任务

课 程 推 荐我 的 个 人 主 页&#xff1a;&#x1f449;&#x1f449; 失心疯的个人主页 &#x1f448;&#x1f448;入 门 教 程 推 荐 &#xff1a;&#x1f449;&#x1f449; Python零基础入门教程合集 &#x1f448;&#x1f448;虚 拟 环 境 搭 建 &#xff1a;&#x1…

Windows开发工具使用技巧

在 Windows 上进行开发时&#xff0c;有许多工具和技巧可以提升开发效率和用户体验。以下是一些常用的开发工具和技巧&#xff1a; 常用开发工具 1. Visual Studio Code (VS Code) - 插件管理&#xff1a;利用扩展市场&#xff08;Extension Marketplace&#xff09;安装各种…

RabbitMQ基本原理

一、基本结构 所有中间件技术都是基于 TCP/IP 协议基础之上进行构建新的协议规范&#xff0c;RabbitMQ遵循的是AMQP协议&#xff08;Advanced Message Queuing Protocol - 高级消息队列协议&#xff09;。 生产者发送消息流程&#xff1a; 1、生产者和Broker建立TCP连接&#…

如何实现Mybatis自定义插件

背景 MyBatis的插件机制&#xff0c;也可称为拦截器&#xff0c;是一种强大的扩展工具。它允许开发者在不修改MyBatis框架源代码的情况下&#xff0c;通过拦截和修改MyBatis执行过程中的行为来定制和增强功能。 MyBatis插件可以拦截四大核心组件的方法调用&#xff1a;Executor…

Certbot自动申请并续期https证书

Certbot自动申请并续期https证书 一、 安装 Certbot&#xff1a;使用命令安装 Certbot&#xff1a; dnf install certbot python3-certbot-nginx获取 SSL 证书&#xff1a;运行 Certbot 命令来获取并安装 SSL 证书。 示例命令&#xff0c;替换其中的域名和路径信息&#xff1a…

7天的Django实战学习计划

以下是一个7天的Django实战学习计划&#xff0c;帮助你快速上手并完成一个简单的项目。 第一天&#xff1a;项目初始化与基础设置 上午 复习Django的基础知识&#xff0c;包括项目结构、应用概念、视图、模板和路由等。创建一个新的Django项目&#xff0c;例如使用django-adm…

android 原生加载pdf

implementation("androidx.pdf:pdf-viewer-fragment:1.0.0-alpha02") pdf加载链接

共和国勋章获得者:李振声

李振声&#xff0c;1931年2月出生于山东淄博&#xff0c;是中共党员、著名遗传学家和小麦遗传育种专家&#xff0c;兼任中国科学院院士和第三世界科学院院士。 他被誉为“中国小麦远缘杂交之父”和“当代后稷”&#xff0c;是中国小麦远缘杂交育种的奠基人。 教育背景与早年经…

【python进阶攻略12】C扩展

使用C扩展 CPython还为开发者实现了一个有趣的特性&#xff0c;使用Python可以轻松调用C代码 开发者有三种方法可以在自己的Python代码中来调用C编写的函数-ctypes&#xff0c;SWIG&#xff0c;Python/C API。每种方式也都有各自的利弊。 首先&#xff0c;我们要明确为什么要…

LLM基础概念:Prompt

在 AI 语言模型中&#xff0c;"prompt"是一个指示性文本或问题&#xff0c;用于引导模型生成相应的回答或响应。Prompt 可以是一个简短的问题、一段描述性的文本或具体的指令&#xff0c;用于指导模型完成特定的任务或产生特定类型的回答。 在prompt中&#xff0c;“…

react+antdMobie实现消息通知页面样式

一、实现效果 二、代码 import React, { useEffect, useState } from react; import style from ./style/index.less; import { CapsuleTabs, Ellipsis, Empty, SearchBar, Tag } from antd-mobile; //消息通知页面 export default function Notification(props) {const [opti…

Python办公自动化案例:批量修改Word文件中的段落格式

案例:Python实现批量修改Word文件中的段落格式。 在处理大量Word文档时,经常需要批量修改这些文档的格式,比如统一段落格式,以提升文档的一致性和专业性。使用Python来实现这一任务可以极大地提高工作效率,特别是当涉及到数百或数千个文档时。Python通过第三方库如python…