Chrome 探索使用 Rust 解决内存安全问题-低调大师

Chrome 探索使用 Rust 解决内存安全问题

2021-09-24 543

Chrome 安全团队发表文章称，谷歌正在探索使用内存安全语言 Rust 重写或开发 Chrome 的部分模块。

去年谷歌曾指出，Chrome 70% 的安全漏洞是内存安全问题，主要由 C/C++ 中的指针错误导致。针对此问题，谷歌表示 Chrome 探索通过以下三个方向来解决：

在编译时检查指针是否正确，使 C++ 更安全
在运行时检查指针是否正确，使 C++ 更安全
调查代码库中内存安全语言的使用情况

“编译时检查”意味着在 Chrome 构建过程中保证安全，“运行时”意味着在设备上运行 Chrome 时进行检查。理想情况下，通常会选择选项 1 —— 在编译时使 C++ 更安全。不过语言的设计理念并非如此，因此 Chrome 没有选择此方法，而是试验了 2 和 3。

Chrome 安全团队介绍了他们对 C++ 安全解决方案的重大投入 —— 例如 MiraclePtr 和 ABSL/STL 强化模式。他们希望消除相当一部分可利用的安全漏洞，同时也预计会出现部分性能损失的情况。

此外，他们还在探索未来是否可以使用内存安全语言 Rust 重写或开发 Chrome 的部分模块。Rust 是由 Mozilla 开发的编程语言，能在编译时发现指针错误，因此不会造成性能损失。但要让 Rust 和 C++ 一起良好地搭配使用仍存在不少问题。

Chrome 安全团队表示，即使从明天开始使用 Rust 编写新的大型组件，他们也不太可能在几年内消除大部分安全漏洞。能否让语言边界足够干净，以便可以使用 Rust 编写部分现有组件?Chrome 安全团队也无法回答这个问题。不过他们已经开始在 Chromium 源代码树中进行有限的、非面向用户的 Rust 实验，暂时没有在 Chrome 的生产版本中使用 Rust，这些进行中的方案仍处于实验阶段。

本文转自OSCHINA

本文标题：Chrome 探索使用 Rust 解决内存安全问题

本文地址：https://www.oschina.net/news/161500/an-update-on-memory-safety-in-chrome

【责任编辑：未丽燕 TEL：（010）68476606】

微信关注我们

原文链接：http://netsecurity.51cto.com/art/202109/683306.htm

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

如何利用人工智能驱动的实时威胁情报应对网络威胁

对于许多企业的安全运营中心团队来说，防御网络攻击在很大程度上是被动的措施，因为他们面临着日益复杂的威胁和不断扩大的攻击面，这些威胁来自远程工作和大量云计算应用程序，这些应用程序为未经授权的用户提供了无数的系统访问点。对安全事件做出迅速而彻底的响应是关键，了解事件发生的方式、时间和原因的大局也很重要。对网络威胁作出反应而不从整体上防御可能会陷入无限的恶性循环中，在这种情况下，遏制安全威胁只是为了等待网络攻击者再次利用相同的网络攻击方法。不幸的是，当企业开始遏制网络威胁时，其行为可能会为威胁行为者敲响警钟，促进他们加快网络攻击或改变技术。因此，安全运营中心团队分析网络威胁事件发生的方式、时间和原因至关重要。网络威胁情报的重要性网络威胁情报包含有关网络攻击者的战术、技术和程序的信息，它使企业能够对其网络安全计划做出更明智和数据驱动的决策，从而推动更成功地保护和检测，并应对当今的网络攻击。正如调研机构Gartner公司所确认的那样，“基于证据的知识，包括背景、机制、指标、影响以及关于现有或正在出现的资产威胁或危害的可操作建议……可用于告知有关主体对该威胁或危害的反应的决策。” 网络威...

2021-09-24

496

技术和市场研究公司 Forrester 为 VMWare 进行一项调查研究指出，安全和开发团队之间的鸿沟已经变得越来越大。调查结果表明，有超过一半的受访开发者(52.4%)表示，他们认为安全政策扼杀了他们的创新;只有 22% 的开发者表示他们已经了解哪些安全政策是他们应该遵守的。且仅有三分之一(38.4%)的开发者报告称，他们已经接受了有关预期执行的安全程序的全面教育。有意思的是，有 45.1% 的开发受访者表示他们在进行安全规划;但却只有 37.8% 的安全受访者表示他们涉及了开发团队。这也表明，开发人员参与安全战略规划的程度比他们想象的要低。尽管有 73% 的受访者认为，他们的高层领导已经比两年前更注重加强开发和安全之间的关系，但其实双方的关系仍然十分紧张。事实上，有三分之一(34%)的决策者透露，他们组织的团队并没有进行有效的合作。 VMware 首席网络安全策略师 Rick McElroy 称，“我们的研究表明，安全需要转变观念。与其被视为只是为了修复漏洞和漏洞而介入的团队，或者被视为‘阻碍’创新的团队;安全更应该嵌入到人员、流程和技术中。安全需要是一项有效的团队运动，与...

2021-09-24

526

资源下载

更多资源

Mario

马里奥是站在游戏界顶峰的超人气多面角色。马里奥靠吃蘑菇成长，特征是大鼻子、头戴帽子、身穿背带裤，还留着胡子。与他的双胞胎兄弟路易基一起，长年担任任天堂的招牌角色。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。