谷歌公司近日宣布,为应对日益严峻的内存安全挑战,计划加速推进使用Rust语言重构其服务。据谷歌发布的博文透露,公司在评估2023年追踪的零日漏洞时发现,高达75%的漏洞属于内存安全漏洞,实际利用的漏洞数量已接近历史最高水平。
谷歌强调,其对内存安全问题的关注已超过20年,早期即采用Java、Python等内存安全语言,并逐步构建了以Go为核心的生态系统。谷歌还开发了sanitizers和fuzzers等工具,帮助开发者动态检测和测试内存安全漏洞。
为应对内存安全挑战,谷歌明确了“迁移到内存安全语言”和“降低和控制风险”两项核心策略。公司计划通过在其代码库中融入Rust等内存安全语言,减少使用内存不安全代码,以降低内存安全漏洞的风险。
谷歌指出,安卓平台已开始采用内存安全语言,并取得了显著成效。自2019年以来,安卓平台的内存安全漏洞数量已从220个降至预计的36个。
谷歌还在强化其C++代码,通过在现有内存不安全代码中实施安全措施,以消除特定类型的漏洞。同时,谷歌还通过沙箱技术和权限降低等手段,加强其软件基础设施的关键组件,以进一步提升安全性。