Разработчики Google призвали разработать больше стандартов для аудита утечек памяти, чтобы устранить этот класс проблем. По их мнению, это заложит фундамент для разработки безопасного софта в будущем.
Авторы обращения отмечают, что традиционные подходы, такие как аудит кода, фаззинг и смягчение последствий эксплойтов, хотя и были полезны, но не могут решить проблему и приносят всё более высокие издержки.
В Google напомнили, что за последнее десятилетие слияние достижений в области безопасного проектирования достигло точки практического внедрения. Сюда входят языки, безопасные для памяти, теперь включающие высокопроизводительные, такие как Rust, а также более безопасные подмножества языков, такие как Safe Buffers для C++. Например, в Android всё более широкое внедрение Kotlin и Rust привело к значительному сокращению уязвимостей.
Исследователи напомнили и о разработках в области аппаратного обеспечения. Такие технологии, как ARM Memory Tagging Extension (MTE) и архитектура Capability Hardware Enhanced RISC Instructions (CHERI), предлагают дополнительную защиту для существующего кода.
Тем не менее, по их словам, достижение всеобъемлющей безопасности памяти требует стандартизации. В Google предлагают создать общую структуру для объективной оценки гарантий безопасности памяти; это заложит основу для создания рынка, на котором поставщики будут заинтересованы вкладывать средства в эту область. Клиенты же получат возможность требовать соблюдения стандартов, а правительства и предприятия будут применять их при закупках более безопасных систем.
Разработчики считают, что при разработке стандартов не следует привязываться к определённой технологии, а нужно сосредоточиться на желаемых результатах.
Созданная структура будет:
способствовать инновациям и поддерживать различные подходы;
адаптировать требования к безопасности памяти на основе потребностей;
обеспечивать объективную оценку с чёткими критериями и метриками;
разрабатывать практики и рекомендации по эффективному использованию определённых технологий для соответствия стандартам.
В Google заявили, что уже сотрудничают с отраслевыми и академическими партнёрами для разработки потенциальных стандартов, но хотят расширить эту работу. «Путь к безопасности памяти требует коллективной приверженности стандартизации. Нам необходимо построить будущее, в котором безопасность памяти — не второстепенная задача, а основополагающий принцип, будущее, в котором следующее поколение унаследует цифровой мир, изначально безопасный», — заключили разработчики.
Ранее исследователи и эксперты отрасли также призвали стандартизировать безопасность памяти. Они признали, что отсутствие безопасности памяти больше не является узкоспециализированным и техническим, а стало общественной проблемой.
Источник: habr.com
Похожие новости:
Google: для обеспечение безопасности будущего ПО необходимо больше стандартов аудита утечек памяти
Гиперперсонализация: как сделать предложение пользователю релевантным
Уровень «цифровой зрелости» компаний в России выше, чем в среднем по миру
«Слушая подкасты, ничего не узнаешь, ты должен устать, упасть без задних ног — такой должна быть встреча с образованием»