Nem szakad el teljesen a Google a C és C++ kódoktól
A memóriabiztos nyelvek szorgalmazása mellett a keresőcég erősíteni kíván a már meglévő kódjain is, melyek C és C++ használatával készültek.
A Google az elmúlt évben a memóriabiztonság szószólójaként népszerűsítette a Rust programnyelv használatának előnyeit. Ahol lehetséges, ott a keresőcég elszakad a C-től és a C++-tól, de az átállás nem fog egyik napról a másikra történni. Az elmúlt évtizedekben a Java és Go kódbázisok mellett a Google több száz millió sornyi, aktívan használatban lévő C++ kódot fejlesztett és halmozott fel, ami jelentős kihívást jelent a memóriabiztonságra való átállásban.
A keresőcég elmondása szerint nem tartja valószínűnek, hogy a C++-nak sikerülhet nagyot fejlődnie memóriabiztonsági szempontból, viszont az összes létező C++ kód átírása egy másik nyelvre nagy falatnak tűnik, így az új kódok és a kritikus komponensek memóriabiztonságos nyelveire való átállást a meglévő C++ kódok biztonsági fejlesztéseivel egészítik ki.
A Google szerint a nulladik napi exploitokban használt CVE-k 75 százaléka memóriabiztonsági sebezhetőség. A nagy kódbázisok súlyos sebezhetőségeinek körülbelül 70 százaléka az ilyen hibáknak tulajdonítható. Friss statisztikákkal is szolgált a vállalat: a memóriabiztonsági problémák okozta Android-sebezhetőségek százalékos aránya a 2019-es 76%-ról 2024-re már csak 24%-ra esett vissza, ami hatalmas, több mint 68%-os csökkenést jelent öt év alatt.
Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.
A keresőcég legfrissebb bejegyzésében arról ír, hogy a régi C és C++ kódokat nem lehet teljesen leváltani, így megpróbálja egyensúlyba hozni a memóriabiztonsági evangelizációt a valósággal, miszerint a C és C++ kódbázisok még évtizedekig létezni fognak.
A cég szakemberei szerint a hosszútávú cél, hogy a memóriabiztos nyelveket fokozatosan és következetesen integrálják a Google kódbázisaiba. Tekintettel a Google által használt C++ kódok mennyiségére, a belátható jövőben még megmaradnak az érett, de stabil, memória szempontjából nem biztonságos kódok is, melyeknek biztonságán erősíteni szeretnének, ennek érdekében a Google folyamatosan fejleszti például az olyan izolációs technikáit, mint a sandboxing. Az Open Source Security Foundation nemrég szintén útmutatót adott ki a C és C++ kódok erősítésére.