微软正探索将 Rust 作为 C 和 C++ 的安全替代方案
微软正在探索使用 Rust 编程语言作为 C、C++ 和其他语言的替代方案,以此来改善应用程序的安全状况。
自 2004 年以来,微软安全响应中心(MSRC)已对所有报告过的微软安全漏洞进行了分类。根据他们提供的数据,所有微软年度补丁中约有 70% 是针对内存安全漏洞的修复程序。
▲微软每年约有 70% 的漏洞仍然是内存安全问题
这样高的百分比是因为 Windows 和大多数其他微软产品主要使用 C 和 C++ 编写,这两种“内存不安全”(memory-unsafe)的编程语言允许开发人员对内存地址进行细粒度控制,并且可以执行代码。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误,攻击者可以利用这些错误带来危险和侵入性后果,例如远程代码执行或权限提升漏洞。
于是,探索使用诸如 Rust 之类的内存安全(memory-safe)语言被提上日程,这或将成为创建更安全的微软应用程序的替代方法。
Rust 最初是 Mozilla 的一个研究项目,用于更安全、更快速地重写 Firefox 浏览器。最近,Brave 浏览器还用 Rust 版本替换了原先用 C++ 编写的广告拦截组件。2019 年的 StackOverflow 开发者调查显示,Rust 已连续四年蝉联“最受开发者喜爱的编程语言”。开发人员喜欢它,因为它的语法更简单,并且使用 Rust 编写的应用程序 bug 更少,因此开发人员可以专注于扩展他们的应用程序,而不是进行持续的维护工作。
MSRC 首席安全工程经理 Gavin Thomas 建议第三方开发人员也应该研究内存安全语言,他列举了一些原因,例如开发人员花时间和精力学习如何调试 C++ 应用程序中出现的与内存相关的安全漏洞。但这显然是不合适的,“开发人员的核心工作不是担心安全性,而是要做功能开发”,Thomas 提出疑问,“为什么不在一开始就将内存安全问题引入开发语言呢?”
为此,他呼吁:“如果这个行业真正关心安全,应该专注于开发人员的工具,而不应当被所有安全设备和过时的方法弄傻眼。我们首先得努力防止开发人员陷入缺陷,而不是提供解决缺陷的指导和工具。”
MSRC 官方博客原文:https://msrc-blog.microsoft.com/2019/07/16/a-proactive-approach-to-more-secure-code/
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
微软又向 Chromium 做贡献,让其与 Windows 10 更深地集成
微软对改进 Chromium 显得很积极,已经在几个方面做了改进,其中包括滚动改进和更好的 Web 应用程序支持等。 不久前,还实现了 Edge(基于 Chromium)对现代颜色选择器的支持,如下(前者是传统颜色选择器,后者是现代颜色选择器): 而现在,微软正在改进基于 Chromium 的浏览器,让其与 Windows 10 现代设置更深程度的集成。 微软提出了一项新的改进,让Chrome 和其他基于 Chromium 浏览器能够打开现代打印机设置,而不是传统的基于资源管理器(Explorer)的打印机页面。微软在 Commit 中指出,实现简单的协议启动支持,可以将用户重定向到现代打印机页面。 微软在 Commit 中写道: 在 Windows 10 上,在现代设置应用程序中,会有一个新的 Manage/Add (管理/添加)打印机 UI,它比传统的控制面板 UI 会更友好。在 RS1+上有一个简单的协议启动,可以把用户重定向到它 谷歌也正在进行相应的改进,Google Chrome Canary 版本已经通过上述进行了更新。Chrome Canary 中的“打印机”链接现在打开...
- 下一篇
这款数据库将企业版100%开源还不收费,不用恰饭嘛?
在越来越多的数据库选择变更开源协议以防止被“滥用”的时候,这款数据库为何反其道而行之,选择将包括企业版在内的功能 100% 完全开源? YugaByte DB 是一个高性能、云原生的分布式 SQL 数据库,包括企业版和社区版两个版本。相较于社区版,企业版提供了更丰富的功能,不过这些功能收费且闭源。但就在前两天,YugaByte DB 创始人兼 CTOKarthik Ranganathan宣布YugaByte DB已100% 完全开源,采用的是 Apache-2.0 开源许可证。 由于 100% 开源,创始人表示YugaByte DB 此前闭源的商业化和企业版功能也会完全开源,如分布式备份、数据加密和只读副本(Read Replicas)功能均已在开源版本中提供,并且完全免费使用。除此之外,即将推出的新功能如Change Data Capture(CDC,数据变更捕获)和2 Data Center Deployments(双活数据中心部署)同样可在开源版本中免费使用。闭源的管理软件Polyform Project也转为source available 且只能免费试用的模式。 简单来说就是...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS关闭SELinux安全模块
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS7编译安装Gcc9.2.0,解决mysql等软件编译问题