感谢本站网友松枝的线索传递!
去年,谷歌在Android开源项目中使用Rust作为新代码的默认代码,这似乎正在取得成效谷歌表示,Android系统中的内存安全漏洞已经减少了一半以上
源像素
谷歌表示,在过去几年/版本中,内存安全漏洞的数量显著下降具体来说,2019年至2022年,每年的内存安全漏洞数量从223个下降到85个现在,内存漏洞占Android总漏洞的35%,而4年前为76%事实上,2022年是内存安全漏洞不占安卓漏洞大多数的第一年
本站了解到,除了Rust,谷歌用于Android的其他内存安全语言还包括Java和与Java兼容的KotlinC和C++仍然是AOSP的主流语言,但Android 13是第一个大部分新代码来自内存安全语言的版本
Android安全软件工程师杰弗里·范德·斯托普指出,Android团队计划加强Rust的使用,尽管没有计划在系统编程中完全放弃C和C++他在推特中指出:生锈不能解决所有问题在某些领域,至少在一段时间内,C/C++将继续是最实用的开发选项他还说,伴随着时间的推移,我们将尽力减少这种情况,同时继续扩大我们Rust使用的规模,并继续投资和部署对C/C++的改进
Vander Stoep指出,相关性并不等同于因果性,但内存安全漏洞的百分比确实与新代码使用的语言密切相关。
他接着指出,在Android 13中,有150万行Rust代码,约占所有新代码的21%到目前为止,谷歌还没有在Android的Rust代码中发现任何内存安全漏洞Vander Stoep指出,这表明Rust正在实现其预期目的,即防止Android最常见的漏洞在Android的很多C/C++组件中,历史漏洞密度大于1/kLOC根据这一历史漏洞密度,利用Rust可能已经创建了数百个漏洞
谷歌认为摆脱C/C++是一个挑战,但它正在为Android推进该项目但是,它并没有在Chrome上使用Rust语言