Google рассказала о проблемах и преимуществах поддержки разработки на Rust в Android 13

14.12.2022      7486

По итогам внедрения поддержки разработки на Rust снизилось число уязвимостей, связанных с управлением памятью. Инженеры считают, что основное внимание нужно уделить написанию нового кода, а не переписыванию старого.

Процесс внедрения

Инженеры Google рассказали, что в репозитории Android Open Source Project с исходниками операционной системы уже написано около 1,5 млн строк кода на Rust. На этом языке программирования создан 21% новых компонентов, таких как хранилище криптографических ключей Keystore2, стек для UWB-чипов, реализация протокола DNS-over-HTTP3, фреймворк виртуализации Android Virtualization Framework, экспериментальные стеки для Bluetooth и Wi-Fi. 79% остального нового компилируемого кода написано на C/C++. 

Проект внедрения разработки на Rust не предполагает перенос всей платформы на этот язык программирования. Технология используется при написании нового кода и для постепенного усиления безопасности наиболее уязвимых и жизненно важных программных компонентов. Для исправления ошибок в старом С++ коде Google применяет fuzzing-тестирование, статический анализ, механизмы выявления ошибок при работе с памятью HWAsan и техники, подобные задействованию типа MiraclePtr. 

 

 

Предварительные результаты

Главный итог первого этапа перехода на Rust – снижение числа уязвимостей из-за ошибок при работе с памятью. В 2019 году доля уязвимостей, вызванных проблемами с памятью,  составляла 76%, а в 2022 году этот показатель упал до 35%. 

В количественном выражении число таких уязвимостей сократилось с 223 в 2019 году до 150 в 2020, 100 в 2021 и 85 в 2022. Все найденные ошибки касались работы с памятью в C/C++.

В этом году впервые проблемы с памятью перестали доминировать. Также инженеры Google отмечают снижение числа критических ошибок, которые допускают риск их удаленной эксплуатации. 

Тем не менее, полностью избавиться от опасных уязвимостей, связанных с использованием памяти, пока не удалось. Разработчики заявили о зависимости между объемом нового кода, небезопасно работающего с памятью, и числом проблем (все уязвимости в коде на C/C++, в коде на Rust таких проблем пока не нашли). Инженеры компании делают вывод, что при внедрении техник безопасного программирования следует в первую очередь уделять внимание новому коду, а не заниматься переписыванием старого – основное число обнаруженных уязвимостей находится в новом коде. 

 


Автор:
Аналитик


См. также

Новость ИТ и 1С

Минцифры подготовило проект постановления по запуску платформы, на которой ИТ-специалисты могут пройти добровольное тестирование и подтвердить свою квалификацию.

11.12.2024    822    user1915669    3       

2

Новость ИТ и 1С ФНС ЭДО

Федеральная налоговая служба запустила интерактивный сервис, позволяющий формировать в машиночитаемом виде договоры, контракты, соглашения и спецификации. Чтобы создать документ и скачать получившийся файл, регистрация не требуется.

03.12.2024    690    user2114475    0       

2

Новость ИТ и 1С

Российский Альянс по искусственному интеллекту обновил требования к специалистам по ИИ: вышла новая модель с основными профессиями и навыками. Теперь базовых профессий в сфере ИИ осталось только четыре.

01.11.2024    850    user1915669    0       

3

Новость ИТ и 1С

Система платежей «Волна» по планам сделает возможной бесконтактную оплату для владельцев IPhone в России, а BRICS Pay позволит совершать безналичные расчеты иностранцам по картам Visa и Mastercard.

23.10.2024    1108    AnastasiaKl    0       

4

Новость ИТ-компания ИТ и 1С

Конструктор сайтов Wix уходит из России с 12 сентября 2024 года – перестанут работать все российский аккаунты. Сайты, привязанные к аккаунтам, также перестанут работать.

11.09.2024    1142    user1915669    2       

2

Новость Искусственный интеллект ИТ и 1С

ИИ научат разработке цифровых интегральных микросхем – несколько российских научных институтов заявили об участии в проекте. Проект рассчитан на 3 года – с 2024 по 2026.

23.07.2024    768    user1915669    0       

2

Новость Дата-центры Искусственный интеллект ИТ и 1С

Развитие искусственного интеллекта и цифровых сервисов в России стало причиной роста потребности в мощных центрах обработки данных. Эксперты прогнозируют, что дефицит ЦОД, который уже наблюдается сегодня, в ближайшие годы будет только усиливаться.

18.07.2024    900    AnastasiaKl    0       

1

Новость ИТ и 1С

В сентябре 2024 года видеоигры в России начнут маркировать – пока на добровольной основе. Геймерам будут сообщать о семи видах чувствительного (неприятного) контента в игре.

17.07.2024    983    user1915669    0       

1
Комментарии
Подписаться на ответы Инфостарт бот Сортировка: Древо развёрнутое
Свернуть все
1. пользователь 14.12.22 19:19
Сообщение было скрыто модератором.
...
2. пользователь 14.12.22 19:20
Сообщение было скрыто модератором.
...
Оставьте свое сообщение