從 Android 12 開始，Google 就在 Android 系統(tǒng)中帶來了 Rust 語言的支持，作為 C/C++ 的替代方案，他們的目標(biāo)并不是把現(xiàn)有的 C/C++ 代碼都轉(zhuǎn)換成為 Rust，而是在新編寫的代碼中使用 Rust 語言開發(fā)。 通過將越來越多的 Rust 代碼集成到其 Android 操作系統(tǒng)中，Google 在減少漏洞方面的努力最終是獲得了回報。

根據(jù)谷歌發(fā)布的最新公告：在過去五年的Android 系統(tǒng)版本中，內(nèi)存安全漏洞的數(shù)量大幅下降了68%。這遠遠低于之前在 Chromium 中發(fā)現(xiàn)的 70%，使安卓成為大型項目如何在不破壞向后兼容性的情況下逐步、有條不紊地轉(zhuǎn)向安全領(lǐng)域的絕佳范例。

谷歌表示，實現(xiàn)這一結(jié)果的方法是優(yōu)先使用 Rust 等內(nèi)存安全語言編寫新代碼，從而隨著時間的推移最大限度地減少新漏洞的引入。與此同時，對舊代碼也進行了最小限度的修改，重點放在重要的安全修復(fù)上，而不是進行大范圍的重寫，因為重寫也會破壞互操作性。

谷歌在報告中寫道：根據(jù)我們所了解到的情況，很明顯，我們不需要丟棄或重寫所有現(xiàn)有的內(nèi)存不安全代碼。相反，Android 正專注于將互操作性的安全和便捷作為我們內(nèi)存安全之旅的主要能力。

多年來的安卓內(nèi)存安全，資料來源：谷歌

隨著時間的推移，這種策略會使舊代碼變得更加成熟和安全，從而減少與內(nèi)存相關(guān)的漏洞數(shù)量，無論這些漏洞是用哪種語言編寫的。

Android 構(gòu)建策略中的這兩大支柱產(chǎn)生了協(xié)同效應(yīng)，使世界上使用最廣泛的移動平臺的內(nèi)存漏洞大幅減少。

谷歌解釋說，雖然讓舊代碼基本保持不變似乎有風(fēng)險，而且新代碼有望得到更好的測試和審查，但事實恰恰相反，盡管這似乎有違直覺。

這是因為最近的代碼修改引入了大多數(shù)漏洞，因此新代碼幾乎總是包含安全問題。與此同時，除非開發(fā)人員對舊代碼進行大量修改，否則舊代碼中的漏洞就會被消除。

內(nèi)存漏洞概率與代碼壽命的關(guān)系，來源：谷歌

谷歌表示，包括其自身在內(nèi)，業(yè)界在處理內(nèi)存安全漏洞方面主要經(jīng)歷了以下四個階段：

• 被動打補?。鹤畛醯闹攸c是在發(fā)現(xiàn)漏洞后進行修復(fù)。這種方法導(dǎo)致持續(xù)的成本，因為需要頻繁更新，而用戶在此期間仍然容易受到攻擊。
• 主動緩解：下一步是實施策略，增加漏洞利用的難度（如堆棧金絲雀、控制流完整性）。然而，這些措施往往需要犧牲性能，并導(dǎo)致與攻擊者之間的貓鼠游戲。
• 主動發(fā)現(xiàn)漏洞：這一代人使用模糊處理和消毒器等工具主動發(fā)現(xiàn)漏洞。這種方法雖然有用，但只能治標(biāo)，需要持續(xù)的關(guān)注和努力。
• 高保障預(yù)防（安全編碼）： 最新的方法強調(diào)通過使用 Rust 等內(nèi)存安全語言從源頭上預(yù)防漏洞。這種 “設(shè)計安全 ”方法提供了可擴展的長期保證，打破了被動修復(fù)和代價高昂的緩解措施的循環(huán)。
• 谷歌解釋稱：通過這些方法，整個行業(yè)的產(chǎn)品都得到了顯著增強，我們將繼續(xù)致力于應(yīng)對、緩解和主動查找漏洞。

盡管如此，越來越明顯的是，這些方法不僅不足以在內(nèi)存安全領(lǐng)域達到可接受的風(fēng)險水平，而且還會給開發(fā)人員、用戶、企業(yè)和產(chǎn)品帶來持續(xù)且不斷增加的成本。

正如包括 CISA 在內(nèi)的眾多政府機構(gòu)在其 “按設(shè)計保證安全 ”報告中所強調(diào)的，只有采用按設(shè)計保證安全的做法，我們才能打破不斷創(chuàng)建和應(yīng)用修復(fù)程序的惡性循環(huán)”。

去年 6 月，美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）警告說，在使用最廣泛的開源項目中，有 52% 使用了內(nèi)存不安全的語言。

即使是用內(nèi)存安全語言編寫的項目，也往往依賴于用內(nèi)存不安全語言編寫的組件，因此安全風(fēng)險的解決非常復(fù)雜。

CISA 建議軟件開發(fā)人員使用 Rust、Java 和 GO 等內(nèi)存安全語言編寫新代碼，并將現(xiàn)有項目，特別是關(guān)鍵組件過渡到這些語言。