Google observă o scădere cu 68% a unor erori în Android

Procentul de vulnerabilități Android cauzate de erori de tip memory safety a scăzut de la 76% în anul 2019 la doar 24% în anul 2024, reprezentând o scădere masivă de peste 68% în cinci ani.

Acest lucru este cu mult sub procentul de 70% constatat anterior în Chromium, ceea ce face din Android un exemplu excelent al modului în care un proiect mare se poate transforma treptat și metodic într-un teritoriu sigur, fără a distruge compatibilitatea retroactivă.

Google spune că a obținut acest rezultat prin prioritizarea scrierii noului cod în limbaje sigure pentru memorie, precum Rust, minimizând astfel introducerea de noi vulnerabiltăți în timp.

În același timp, codul vechi a fost menținut cu modificări minime, axate pe remedieri importante de securitate, mai degrabă decât pe rescrieri ample care ar submina, de asemenea, interoperabilitatea.

Google explică faptul că, deși poate părea riscant să se lase codul mai vechi în esență neschimbat și deși se așteaptă ca noul cod să fie mai bine testat și revizuit, se întâmplă contrariul, în ciuda faptului cât de contraintuitiv poate părea.

Acest lucru se datorează faptului că modificările recente ale codului introduc majoritatea vulnerabilităților, astfel încăt cadoul nou conține aproape întotdeauna și erorile de securitate. În același timp, erorile din codul mai vechi sunt eliminate, cu excepția cazului în care dezvoltatorii efectuează modificări ample ale acestuia.

Chiar și proiectele scrise în limbaje de tip memory-safe depind adesea de componente scrise în limbaje de tip memory-unsafe, astfel încât riscul de securitate este complicat de gestionat.

De asemenea, se recomandă dezvoltatorilor de software să scrie coduri noi în limbaje de tip memory-safe, precum Rust, Java și GO, și să treacă proiectele existente, în special componentele critice, la aceste limbaje.

Sursă: https://www.bleepingcomputer.com/news/security/google-sees-68-percent-drop-in-android-memory-safety-flaws-over-5-years/