Кодът на бъдещето: Android се превръща в непревземаема крепост
Как потреблението на програмния език Rust се отразява на сигурността на „ зеления робот “?
Гугъл означи доста понижаване на уязвимостите в своята операционна система Android с помощта на прекосяването към по-сигурни езици за програмиране, като да вземем за пример Rust. За шест години броят на откритите уязвимости в сигурността на паметта е намалял от 76% на 24%. Този ход е част от самодейността „ Secure by Design “, която компанията в този момент интензивно осъществя.
Фокусът върху сигурното създаване е понижил общия риск, обвързван със отбраната на кода, и е направил прехода към нови технологии по- мащабируем и стопански ефикасен. С течение на времето тези промени водят до понижаване на уязвимостите, свързани с паметта и до превръщането на предпазеното програмиране в преобладаващо при новите разработки.
Интересно е, че намаляването на уязвимостите се следи даже при увеличение на размера на новия код, който не постоянно е изцяло сигурен. Според изследванията множеството уязвимости се откриват в новия или неотдавна модифицирания код. Така наоример, колкото повече кодът „ съзрява “, толкоз по-малко уязвимости се откриват в него, което удостоверява нуждата от фундаментални промени в методите за разработка.
Гугъл стартира да поддържа езика Rust за Android през 2021 година, като от 2019 година нататък дава приоритет на прекосяването към по-сигурни програмни езици. В резултат на това през последните пет години броят на разпознатите проблеми със сигурността на паметта е намалял от 223 през 2019 година до по-малко от 50 през 2024 година
По-напредналите техники за намаляване на последствията, в това число потреблението на така наречен Clang-sanitizers, също способстваха доста за намаляването на тези уязвимости. В бъдеще компанията възнамерява да развие своята тактика за сигурност на паметта, като се концентрира повече върху методите за попречване на проблемите с „ огромно влияние “ и консолидираното на правилата за сигурност в цялата разработка.
Важна стъпка за Гугъл бе основаването на съгласуемост сред Rust, C++ и Kotlin. Това дава опция за удобен и еволюционен метод към внедряването на сигурни езици, като се заобикаля нуждата от пренаписване на кода от нулата. При този метод се употребява добре „ отшумяването “ на уязвимостите: когато спрат да се прибавят нови проблеми, броят на уязвимостите бързо понижава.
Гугъл също по този начин неотдавна разгласи разширено съдействие с екипа по сигурността на Arm за подсилване на сигурността на стека за GPU в екосистемата на Android. Това докара до идентифицирането и отстраняването на няколко уязвимости, в това число два казуса в персонализирането на драйверите на Pixel (CVE-2023-48409 и CVE-2023-48421, както и накърнимост във фърмуера на графичния процесор Arm Valhall (CVE-2024-0153).
По този метод самодейното тестване и новите подходи към безвредното шифроване оказват помощ на Гугъл да понижи рисковете и дейно да се оправи с проблемите, преди уязвимостите да могат да бъдат употребявани.
