7月19日消息 从微软安全响应中心(MSRC)公布的数据来看,所有微软年度补丁中约有70%是针对内存安全漏洞的修复程序!而据最新消息显示,为了改善应用程序的安全状况,微软正试图将Rust作为C和C++的安全替代品。
微软每年约有70%的漏洞仍然是内存安全问题
据了解,Windows和大多数其他微软产品主要使用C和C++编写,这两种“内存不安全”(memory-unsafe)的编程语言允许开发人员对内存地址进行细粒度控制,并且可以执行代码;管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误,攻击者可以利用这些错误带来危险和侵入性后果,例如远程代码执行或特权提升漏洞。
而探索使用诸如Rust之类的内存安全(memory-safe)语言也因此被提上日程,这或将成为创建更安全的微软应用程序的替代方法,毕竟Rust最初是Mozilla的一个用于更安全、更快速地重写Firefox浏览器的研究项目。
最近,Brave浏览器还用Rust版本替换了原先用C++编写的广告拦截组件。2019年的StackOverflow 开发者调查则显示,Rust已连续四年蝉联“最受开发者喜爱的编程语言”!而开发人员喜欢它是因为语法更简单,并且使用Rust编写的应用程序bug更少,因此开发人员可以专注于扩展他们的应用程序,而不是进行持续的维护工作。
MSRC首席安全工程经理Gavin Thomas建议第三方开发人员也应该研究内存安全语言,他列举了一些原因,例如开发人员花时间和精力学习如何调试C++应用程序中出现的与内存相关的安全漏洞,但这显然是不合适的,“开发人员的核心工作不是担心安全性,而是要做功能开发”,Thomas提出疑问,“为什么不在一开始就将内存安全问题引入开发语言呢?”
另外,Thomas还呼吁,“如果这个行业真正关心安全,应该专注于开发人员的工具,而不应当被所有安全设备和过时的方法弄傻眼。我们首先得努力防止开发人员陷入缺陷,而不是提供解决缺陷的指导和工具!”那么,你怎么看呢?
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:/microsoft/2021-03-07/14185.html