IT商业新闻网-解读信息时代的商业变革
当前位置: 首页 > 软件 > 正文

微软计划将Rust编程语言作为C和C++的安全替代品

2019-07-19 11:07:11 来源:开源中国   

  微软正在探索使用Rust编程语言作为C、C++和其他语言的替代方案,以此来改善应用程序的安全状况。

  自2004年以来,微软安全响应中心(MSRC)已对所有报告过的微软安全漏洞进行了分类。根据他们提供的数据,所有微软年度补丁中约有70% 是针对内存安全漏洞的修复程序。

  

 

  ▲微软每年约有70%的漏洞仍然是内存安全问题

  这样高的百分比是因为Windows和大多数其他微软产品主要使用C和C++编写,这两种“内存不安全”(memory-unsafe)的编程语言允许开发人员对内存地址进行细粒度控制,并且可以执行代码。管理内存执行的开发人员代码中的一个漏洞可能导致一系列内存安全错误,攻击者可以利用这些错误带来危险和侵入性后果,例如远程代码执行或特权提升漏洞。

  于是,探索使用诸如Rust之类的内存安全(memory-safe)语言被提上日程,这或将成为创建更安全的微软应用程序的替代方法。

  Rust最初是Mozilla的一个研究项目,用于更安全、更快速地重写Firefox浏览器。最近,Brave浏览器还用Rust版本替换了原先用C++编写的广告拦截组件。2019年的StackOverflow 开发者调查显示,Rust已连续四年蝉联“最受开发者喜爱的编程语言”。开发人员喜欢它,因为它的语法更简单,并且使用Rust编写的应用程序bug更少,因此开发人员可以专注于扩展他们的应用程序,而不是进行持续的维护工作。

  MSRC首席安全工程经理Gavin Thomas建议第三方开发人员也应该研究内存安全语言,他列举了一些原因,例如开发人员花时间和精力学习如何调试C++应用程序中出现的与内存相关的安全漏洞。但这显然是不合适的,“开发人员的核心工作不是担心安全性,而是要做功能开发”,Thomas提出疑问,“为什么不在一开始就将内存安全问题引入开发语言呢?”

  为此,他呼吁:“如果这个行业真正关心安全,应该专注于开发人员的工具,而不应当被所有安全设备和过时的方法弄傻眼。我们首先得努力防止开发人员陷入缺陷,而不是提供解决缺陷的指导和工具。”

免责声明: IT商业新闻网遵守行业规则,本站所转载的稿件都标注作者和来源。 IT商业新闻网原创文章,请转载时务必注明文章作者和来源“IT商业新闻网”, 不尊重本站原创的行为将受到IT商业新闻网的追责,转载稿件或作者投稿可能会经编辑修改或者补充, 如有异议可投诉至:post@itxinwen.com
微信公众号:您想你获取IT商业新闻网最新原创内容, 请在微信公众号中搜索“IT商业网”或者搜索微信号:itxinwen,或用扫描左侧微信二维码。 即可添加关注。
标签:

品牌、内容合作请点这里: 寻求合作 ››

相关阅读RELEVANT