Google ने अनावरण किया हाल ही में झुकाव प्रोग्रामिंग भाषा अनुमत भाषाओं के बीच जंग Android के विकास के लिए।
चूंकि 2019 में रस्ट कंपाइलर को एंड्रॉइड सोर्स ट्री में शामिल किया गया था, लेकिन भाषा का समर्थन प्रयोगात्मक रहा। एंड्रॉइड पर जहाज करने के लिए पहले जंग घटकों में से कुछ बाइंडर अंतर-प्रक्रिया संचार तंत्र और ब्लूटूथ स्टैक के नए कार्यान्वयन हैं।
जंग कार्यान्वयन सुरक्षा को मजबूत करने के लिए एक परियोजना के हिस्से के रूप में किया गया थाएंड्रॉइड में मेमोरी के साथ काम करते समय सुरक्षित कोडिंग तकनीकों को बढ़ावा दें और समस्याओं की पहचान करने की दक्षता में सुधार करें। यह देखा गया है कि एंड्रॉइड में पहचाने जाने वाले सभी खतरनाक कमजोरियों का लगभग 70% मेमोरी के साथ काम करते समय त्रुटियों के कारण होता है।
जंग भाषा का उपयोग, कि सुरक्षित मेमोरी प्रबंधन पर केंद्रित है और स्वत: मेमोरी प्रबंधन प्रदान करता है, यह मेमोरी हैंडलिंग के दौरान त्रुटियों के कारण होने वाली कमजोरियों के जोखिम को कम करेगा, जैसे कि मेमोरी क्षेत्र तक पहुंचने के बाद इसे मुक्त किया गया है और बफर सीमा से अधिक बह रहा है।
संदर्भों की जांच, ऑब्जेक्ट ओनरशिप और ऑब्जेक्ट लाइफ (स्कोप) पर नज़र रखने के साथ-साथ रनटाइम के दौरान मेमोरी तक पहुंच की शुद्धता का मूल्यांकन करने के लिए सुरक्षित मेमोरी हैंडलिंग सुनिश्चित की जाती है।
जंग ओवरफ्लो से बचाव के साधन भी प्रदान करता है पूर्णांक, उपयोग से पहले चर मानों के अनिवार्य आरंभ की आवश्यकता होती है, मानक पुस्तकालय में त्रुटियों को बेहतर ढंग से संभालता है, डिफ़ॉल्ट रूप से संदर्भों और अपरिवर्तनीय चर की अवधारणा को अपनाता है और तार्किक त्रुटियों को कम करने के लिए मजबूत स्थैतिक लेखन प्रदान करता है।
एंड्रॉइड पर, कोटलिन और जावा भाषाओं में सुरक्षित मेमोरी प्रबंधन प्रदान किया गया है पहले से ही समर्थित है, लेकिन भारी ओवरहेड के कारण सिस्टम घटकों के विकास के लिए उपयुक्त नहीं है।
जंग सी और सी ++ भाषाओं के करीब एक प्रदर्शन प्राप्त करने की अनुमति देता है, प्लेटफ़ॉर्म के निम्न-स्तरीय भागों और घटकों को हार्डवेयर के साथ इंटरफ़ेस करने के लिए इसका उपयोग करने की अनुमति देता है।
C और C ++ कोड की सुरक्षा सुनिश्चित करने के लिए, एंड्रॉइड सैंडबॉक्स अलगाव, स्थैतिक विश्लेषण और फ़ज़िंग परीक्षणों का उपयोग करता है। सैंडबॉक्स अलगाव क्षमताएं सीमित हैं और उनकी क्षमताओं की सीमा तक पहुंच गई हैं (संसाधन खपत के दृष्टिकोण से प्रक्रियाओं में विखंडन व्यावहारिक नहीं है)।
सैंडबॉक्स का उपयोग करने की सीमाओं के बीच, वे नई प्रक्रियाओं को उत्पन्न करने की आवश्यकता के कारण उच्च ओवरहेड और उच्च मेमोरी खपत का उल्लेख करते हैं, साथ ही साथ आईपीसी के उपयोग से जुड़े अतिरिक्त विलंबता का भी उल्लेख करते हैं।
उसी समय, सैंडबॉक्स कोड में कमजोरियों को समाप्त नहीं करता है, लेकिन केवल जोखिमों को कम करता है और हमले को जटिल करता है, क्योंकि शोषण के लिए किसी एक की पहचान की आवश्यकता नहीं होती है, लेकिन कई कमजोरियां होती हैं।
कोड परीक्षण विधियां सीमित हैं, क्योंकि त्रुटियों का पता लगाने के लिए, आपको समस्या के प्रकटीकरण के लिए स्थितियां बनाने की आवश्यकता है। सभी संभावित विकल्पों को कवर करना संभव नहीं है, इसलिए कई त्रुटियां ध्यान से नहीं जाती हैं।
Android पर सिस्टम प्रक्रियाओं के लिए, Google 'दो का नियम' का पालन करता हैके अनुसार, के अनुसार किसी भी जोड़े गए कोड को तीन में से दो शर्तों से अधिक नहीं मिलना चाहिए- असत्यापित इनपुट डेटा के साथ काम करें, असुरक्षित प्रोग्रामिंग भाषा (C / C ++) का उपयोग करें, और हार्ड सैंडबॉक्स आइसोलेशन (उन्नत विशेषाधिकार के साथ) के बिना चलाएं।
यह इस नियम का अनुसरण करता है कि बाहरी डेटा को संसाधित करने के लिए कोड को कम से कम विशेषाधिकार (पृथक) या एक सुरक्षित प्रोग्रामिंग भाषा में लिखा जाना चाहिए।
Google कोड को फिर से लिखने का लक्ष्य नहीं रखता है जंग में विद्यमान C / C ++, लेकिन वह नए कोड विकसित करने के लिए इस भाषा का उपयोग करने की योजना बना रहा है।
यह नए कोड के लिए रस्ट का उपयोग करने के लिए समझ में आता है, क्योंकि सांख्यिकीय रूप से अधिकांश त्रुटियां नए या हाल ही में संशोधित कोड में दिखाई देती हैं। विशेष रूप से, एंड्रॉइड में पाई जाने वाली मेमोरी त्रुटियों का लगभग 50% एक वर्ष से भी कम समय पहले लिखे गए कोड में पाया गया है।
Fuente: https://security.googleblog.com
विडंबना यह है कि, जब आपका सबसे बड़ा प्रतियोगी अपने उद्देश्यों के लिए आपके द्वारा विकसित की गई कुछ चीजों को अपनाता है ... जंग बढ़ रही है।