谷歌 安卓内存安保破绽大幅降低68%
过去五年中,Android(安卓)系统的内存安保破绽比例从2019年的76%大幅降低至2024年的24%,降低幅度超越68%。且Android安保性失掉清楚改善的同时,并未影响向后兼容性。
谷歌左右开弓控制内存安保
与Chromium系统内存安保破绽70%的比例相比,Android的体现尤为突出,展现了一个宏大的名目如何在坚持系统稳固性的同时,成功安保性优化。谷歌示意,这一成绩关键得益于优先经常使用内存安保言语(如Rust)编写新代码,大大缩小了新破绽的引入。
过去五年安卓内存安保破绽继续缩小
与此同时,谷歌强调对旧代码启动保养时,只做最小的必要修正,专一于关键的安保修复,而非启动大规模重写,防止破坏系统的互操作性。谷歌的报告指出:“咱们意识到,无需所有重写现有的非内存安保代码,而是将重点放在确保互操作性的安保和方便性上。”
这一战略使得旧代码随着时期推移变得愈加成熟和安保,无论它最后是用何种言语编写的,内存关系破绽的数量都会逐渐缩小。谷歌驳回的两大外围战略发生了协同效应,推进了Android作为世界最宽泛经常使用的移动平台内存破绽数量的清楚降低。
处置内存安保疑问的四个阶段
谷歌指出,行业在应答内存安保破绽方面阅历了四个关键阶段:
谷歌的通常方法不只增强了其自身产品的安保性,还为整个行业提供了有益的阅历。但是,谷歌也指出,传统的修补缓和解措施带来了不时参与的老本,尤其是在内存安保畛域。只要驳回安保设计的通常,能力有效中断这一“修补—破绽”循环。
应答未来的内存安保应战
虽然谷歌和其余公司曾经取得清楚停顿,但内存安保依然是行业面临的关键应战之一。2023年6月,美国网络安保和基础设备安保局(CISA)正告称,52%最宽泛经常使用的开源名目仍在经常使用非内存安保言语。即使是经常使用内存安保言语编写的名目,往往也依赖于非内存安保组件,这使得风险愈加复杂化。
CISA倡导软件开发人员应尽量经常使用内存安保言语(如Rust、Java和Go)编写新代码,并逐渐将现有名目,特意是关键组件,转向这些言语,以提高全体安保性。