这一数据是谷歌工程师分析了自 2015 年以来在chrome中修复的 912 个安全漏洞后得出的,这些漏洞的严重性评级为“高危”或“严重”。
值得一提的是,在 2019 年 2 月的一次安全会议上,微软工程师说,在过去的 12 年里,微软产品中大约70%的安全更新都是针对内存安全漏洞。说明这两家公司基本上都在处理同样的问题,即c和c 这两种主要的编程语言在它们的代码库中是“不安全的”语言。
chrome,谷歌浏览器
谷歌表示,自 2019 年 3 月以来,在 130 个级别为“严重”的chrome漏洞中,有 125 个是与内存破坏相关的问题。这表明,尽管在修复其他bug类方面取得了进展,但内存管理仍然是一个问题。
这70%的漏洞中有一半是由于错误地管理内存指针(地址)管理不当产生的安全问题,为攻击者攻击chrome内部组件打开了大门。
在软件公司尝试修复c和c 的内存管理问题时,mozilla已经通过赞助、推广和大量采用firefox中的rust编程语言取得了突破。微软也在大力投资探索c和c 的替代方案,谷歌也宣布了类似的计划。
谷歌表示,它计划开发定制的c 库,与chrome的代码库一起使用,这些库可以更好地保护内存相关的bug。
谷歌还表示,它计划在可能的情况下探索使用“安全”语言。候选包括rust、swift、javascript、kotlin和java。
试用申请