Rustdan foydalanish boshlangandan beri Androidda xotira xavfsizligi muammolari ilk bor 20%dan pasaydi
0
5
0
Google kompaniyasi Android operatsion tizimida Rust dasturlash tilini qo'llashni boshlagani natijasida xotira xavfsizligi bilan bog'liq zaifliklarning umumiy zaifliklar ichidagi ulushi birinchi marta 20% dan pastga tushganini ma'lum qildi.
Google kompaniyasi xodimi Jeff Vander Stoep quyidagilarni aytdi: "Biz Rust tilini u xavfsiz ekanligi uchun qabul qildik va Androidning C va C++ kodlariga nisbatan xotira xavfsizligi zaifliklari doirasida 1000 barobarga kamayishni ko'rmoqdamiz. Ammo eng ajablantirgani Rustning dasturiy ta'minotni yetkazib berishga ta'siri bo'ldi. Rustda yozilgan koddagi o'zgarishlarining qaytarib olinish darajasi 4 barobar past va kod ko'rib chiqishda 25% kamroq vaqt sarflanishi bilan, xavfsizroq yo'l endi tezroq yo'lga aylandi."
Bu o'zgarishlar texnologiya giganti Rust tiliga o'tishi natijasida xotira xavfsizligi zaifliklari 2019-yilgi 223 tadan 2024-yil 50 dan quyiga tushganini e'lon qilganidan bir yildan sal ko'proq vaqt o'tgach yuz berdi.
Kompaniya Rust kodi kamroq tahrir etilayotganini, C++ kodlariga nisbatan taxminan 20% kamroq qayta ko'rib chiqishlarni talab qilishini va qaytarib olinish darajasining pasayishiga hissa qo'shib, ishlab chiqish samaradorligini umumiy oshirganini ta'kidladi.
Google shuningdek, Rust tilining "xavfsizlik va samaradorlik afzalliklarini" Android ekotizimining boshqa qismlariga, jumladan, kernel, firmware va Nearby Presence, Message Layer Security (MLS) va Chromium kabi muhim birinchi toifali ilovalarga kengaytirishni rejalashtirayotganini aytdi. Chromiumda PNG, JSON va veb-shriftlar uchun parserlar xotira xavfsizligini ta'minlovchi Rust tilidagi dasturlar bilan almashtirilgan.
Bundan tashqari, kompaniya chuqur mudofaa yondashuvining zarurligini ta'kidlab, dasturlash tilining o'rnatilgan xotira xavfsizligi xususiyatlari keng qamrovli xotira xavfsizligi strategiyasining faqat bir qismi ekanligini aytdi.
Misol tariqasida, Google xavfli (unsafe) Rust tilida yozilgan AVIF (AV1 rasm fayli) parser/dekoder dasturi CrabbyAVIF'da xotira xavfsizligi zaifligini (CVE-2025-48530, CVSS ball: 8.1) topganini ta'kidladi, bu masofadan kod bajarilishiga olib kelishi mumkin edi. Chiziqli bufer to'lib ketish kamchiligi hech qachon ommaga e'lon qilinmasada, Google tomonidan 2025-yil avgust oyidagi Android xavfsizlik yangilanishi doirasida tuzatilgani ochiqlandi.
"Deyarli sodir bo'lgan" zaiflikning so'nggi tahlil qilish shuni ko'rsatdiki, u Androiddagi Scudo tomonidan foydalanib bo'lmaydigan holga keltirilgan. Scudo - bu samaradorlikni yo'qotmasdan bufer toshib ketishi, bo'shatgandan keyin foydalanish va ikki marta bo'shatish kabi heap bilan bog'liq zaifliklarni bartaraf etish uchun mo'ljallangan Androiddagi dinamik foydalanuvchi rejimidagi xotira ajratuvchisidir.
Xavfli (unsafe) Rust "allaqachon juda xavfsiz" ekanligini ta'kidlab, Google zaiflik doirasi C va C++ ga nisbatan sezilarli darajada past ekanligini aytdi va Rustda "unsafe" kod blokini qo'shish dasturlash tilining xavfsizlik tekshiruvlarini avtomatik ravishda o'chirmasligini qo'shimcha qildi.
"C va C++ saqlanishi va dasturiy ta'minot hamda apparat xavfsizligi mexanizmlari qatlamli mudofaa uchun muhim bo'lib qolsa-da, Rustga o'tish boshqacha yondashuv bo'lib, unda xavfsizroq yo'l bir vaqtning o'zida aniq samaraliroq ekanligi isbotlangan," deyilgan bayonotda.
