谷歌公司近日宣布,為應對日益嚴峻的內存安全挑戰,計劃加速推進使用Rust語言重構其服務。據谷歌發布的博文透露,公司在評估2023年追蹤的零日漏洞時發現,高達75%的漏洞屬于內存安全漏洞,實際利用的漏洞數量已接近歷史最高水平。
谷歌強調,其對內存安全問題的關注已超過20年,早期即采用Java、Python等內存安全語言,并逐步構建了以Go為核心的生態系統。谷歌還開發了sanitizers和fuzzers等工具,幫助開發者動態檢測和測試內存安全漏洞。
為應對內存安全挑戰,谷歌明確了“遷移到內存安全語言”和“降低和控制風險”兩項核心策略。公司計劃通過在其代碼庫中融入Rust等內存安全語言,減少使用內存不安全代碼,以降低內存安全漏洞的風險。
谷歌指出,安卓平臺已開始采用內存安全語言,并取得了顯著成效。自2019年以來,安卓平臺的內存安全漏洞數量已從220個降至預計的36個。
谷歌還在強化其C++代碼,通過在現有內存不安全代碼中實施安全措施,以消除特定類型的漏洞。同時,谷歌還通過沙箱技術和權限降低等手段,加強其軟件基礎設施的關鍵組件,以進一步提升安全性。
