กูเกิลโชว์ Android พัฒนาด้วย Rust มาแล้ว 1.5 ล้านบรรทัด ยังไม่มีช่องโหว่หน่วยความจำเลย

by lew
1 December 2022 - 21:18

กูเกิลรายงานถึงความเปลี่ยนแปลงภาพรวมของช่องโหว่ความปลอดภัยในแอนดรอยด์โดยเฉพาะช่องโหว่หน่วยความจำที่เป็นกลุ่มใหญ่ เดิมเคยมีรายงานช่องโหว่รวมถึง 75% ของช่องโหว่ทั้งหมด แต่นับจาก Android 11 เป็นต้นมาแอนดรอยด์ก็เริ่มมีโค้ดภาษา Rust เข้ามามากขึ้นเรื่อยๆ จนโค้ดในกลุ่มเนทีฟที่เป็นภาษา Rust ที่เพิ่งเพิ่มเข้ามาใน Android 13 นั้นสูงถึง 21% ใกล้เคียงกับภาษา C แล้ว รวมเฉพาะโครงการ AOSP มีโค้ด Rust ทั้งหมด 1.5 ล้านบรรทัด และจนตอนนี้ก็ยังไม่มีช่องโหว่หน่วยความจำในโค้ดภาษา Rust เลย

โค้ดภาษา Rust ในแอนดรอยด์มากขึ้นเรื่อยๆ พร้อมๆ กับช่องโหว่หน่วยความจำในแอนดรอยด์ก็ลดลงต่อเนื่องเช่นเดียวกัน ในปี 2022 นี้จะเป็นปีแรกที่ช่องโหว่หน่วยความจำของแอนดรอยด์ลดลงเหลือไม่ถึงครึ่งหนึ่งของช่องโหว่ทั้งหมด

กูเกิลคาดว่าเมื่อใช้งานไป สุดท้ายก็น่าจะพบช่องโหว่หน่วยความจำในโค้ดส่วนที่เขียนด้วย Rust ในที่สุด แต่กระนั้นภาษา Rust ก็แสดงให้เห็นว่ามันสามารถลดช่องโหว่ต่อบรรทัดของโค้ดได้อย่างมีประสิทธิภาพ แม้ว่า Rust จะรองรับการเขียนโปรแกรมแบบ unsafe ที่ไม่ป้องกันหน่วยความจำแต่ก็มีการใช้งานน้อย และยังไม่ได้สร้างช่องโหว่

นอกจากช่องโหว่หน่วยความจำแล้ว ความร้ายแรงของช่องโหว่แอนดรอยด์ก็ยังมีแนวโน้มลดลง ช่องโหว่ร้ายแรงระดับวิกฤติลดลงเหลือต่ำกว่า 20% ขณะที่ช่องโหว่ที่เปิดให้คนร้ายโจมตีจากระยะไกลก็เหลือต่ำกว่า 40%

ที่มา - Google Security Blog

Blognone Jobs Premium