Ráerősít a Google a memóriabiztos nyelvekre
Ahol lehetséges, ott a keresőcég elszakad a C-től és a C++-tól, de az átállás nem fog egyik napról a másikra történni.
A Google Project Zero friss jelentése szerint a nulladik napi sérülékenységeket kihasználó exploitok kétharmada memóriabiztonsági probléma, és bár egyre aktívabban szorgalmazzák a szervezetek a memóriabiztonságos nyelvek használatát, az ilyen típusú biztonsági rések továbbra is a leggyakrabban kihasznált sebezhetőségek élén állnak. A keresőcég átfogó tanulmányban részletezte a memóriabiztonsággal kapcsolatos álláspontját, kitérve a Rust nyelvre: nemrég egymillió dolláros támogatást adott a nyelvet dolgozó Rust Foundationnek, amivel elmondása szerint egy robusztus, memóriabiztos ökoszisztéma fejlesztését, illetve a Rust és a C++ interoperábilitását javító fejlesztéseket szeretne elősegíteni..
A Google álláspontja szerint a magas szintű memóriabiztonságot a Secure-by-Design megközelítéssel lehet elérni, ami megköveteli a szigorú memóriabiztonsági garanciákkal rendelkező nyelvek használatát. Ennek eredményeként a cég fontolja a fokozatos átállást az olyan nyelvekre, mint a Java, a Go és a Rust.
Az elmúlt évtizedekben a Java és Go kódbázisok mellett a Google több száz millió sornyi, aktívan használatban lévő C++ kódot fejlesztett és halmozott fel, ami jelentős kihívást jelent a memóriabiztonságra való átállásban. A keresőcég elmondása szerint nem tartja valószínűnek, hogy a C++-nak sikerülhet nagyot fejlődnie memóriabiztonsági szempontból. Viszont az összes létező C++ kód átírása egy másik nyelvre nagy falatnak tűnik, ezért a Google fontosnak tartja, hogy az új kódok és a kritikus komponensek memóriabiztonságos nyelveire való átállást a meglévő C++ kódok biztonsági fejlesztéseivel egészítse ki.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
A vállalat ambíciói messzebbre nyúlnak vissza: 2021-ben jelentette be, hogy a bárki számára szabadon elérhető Android, az Android Open Source Project (AOSP) támogatni fogja a Rust programozási nyelvet, ezzel együtt a cég megkezdte a Rust használatát a mobilos rendszer kódjában abban a reményben, hogy sikerül csökkenteni a biztonsági rések számát a szoftverben. A 2022 december végén közzétett jelentésben már az állt, hogy a memóriabiztonsági sebezhetőségek száma jelentősen csökkent az elmúlt néhány évben az újabb kiadásokkal, egészen pontosan 223-ról 85-re esett vissza a 2019 és 2022 közötti időszakban. Ezzel 2022 volt az első olyan év, amikor már nem tartoznak az Androidot érintő főbb biztonsági gyengepontok közé.
A Fehér Ház Office of the National Cyber Director (ONCD) hivatala a múlt héten kiadott ajánlásában arra sürgette a technológiai vállalatokat, hogy váltsanak memóriabiztos programozási nyelvek használatára a biztonsági kockázatok csökkentésének érdekében. A jelentés a Biden elnök által 2023 márciusában aláírt Nemzeti Kiberbiztonsági Stratégiára épül, amely az ország kiberterének védelmének terhét a szoftvergyártókra és szolgáltatókra hárította. A hivatal ezzel együtt javasolja, hogy a fejlesztők hagyjanak fel a programok C vagy C++ nyelven történő fejlesztésével - az említett két nyelvet különösen a kritikus rendszerek használatában tartja kockázatosnak a hivatal.