奇客 Android 13 的内存安全漏洞大幅减少
过去十多年内存安全漏洞占到了所有产品漏洞的 65% 以上,但从 2019 到 2022 年 Android 中内存安全漏洞的比例从 76% 降至了 35%,2022 年是第一年内存安全漏洞不再占到 Android 漏洞的半数以上。Google 的 Jeffrey Vander Stoep 表示,虽然相关性不能代表因果性,但内存安全漏洞的减少与采用 Rust 语言有关。 Android 12 开始支持 Rust 作为 C/C++ 的内存安全替代语言。在 Android 13 中,所有新增原生代码(C/C++/Rust) 中有 21% 是 Rust 编写的,Android 开源项目 AOSP 中有大约 150 万行 Rust 代码,到目前为止 Rust 代码中没有发现任何内存安全漏洞。Google 并不预计这个数字会永远保存为零,但相对于 Rust 的代码行数,Rust 实现了其预期的目的,即防止最常见的内存安全漏洞。
https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.html
https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.html