Google, kodunu giderek Java, Go, Carbon ve özellikle Rust gibi bellek açısından güvenli dillere dönüştürüyor. Bu, yeni yazılan tüm kodları ve mevcut güvenlikle ilgili temelin bölümlerini etkiler. Şirket, bilgisayar sistemlerine yönelik çoğu saldırının, bellek erişimindeki güvenlik açıklarından yararlanıldığında hâlâ başarılı olduğuna dikkat çekiyor.
Duyuru
Google'ın yeni stratejisini sunduğu teknik inceleme, bellekle ilgili ciddi güvenlik açıklarının ayrıntılı bir dökümünü sunuyor:
Bundan Google şu sonucu çıkarıyor: “Google olarak onlarca yıllık deneyime sahibiz [Google gibt es seit 1998, Anm. d. Red] “Yüksek güvenilirliğe sahip bellek güvenliğinin yalnızca, sıkı bellek güvenliği garantileriyle dillerin yaygın biçimde benimsenmesine odaklanan tasarım gereği güvenlik yaklaşımıyla elde edilebileceğini umuyoruz.”
CWE güvenlik açığı listesine göre, en çok yararlanılan 10 güvenlik açığından yalnızca ilk üçü bellek erişimini etkiliyor.
Güvenli olmayan eski kaynaklara ne olur?
Şirket özellikle bunu güvenli dillerde yeni kod yazmaya yönelerek başarmak istiyor: Java/Kotlin, Go, Rust veya Carbon. Google için en büyük sorunlar, bir yanda mevcut, güvensiz ancak henüz keşfedilmemiş C++ satırlarının mirası, diğer yanda “bazı durumlarda daha büyük programların güvensiz yapıların kullanımını gerektirdiğinin” farkındalığıdır. Bu durumda belge aşağıdaki önlemleri önermektedir:
Rust'un yeni kodda merkezi bir rol oynaması bekleniyor ve Google, şirket ekiplerinin şu ana kadar bu yönde attığı adımları vurguluyor:
Şirketin stratejisine ilişkin daha fazla bilgiyi yukarıda adı geçen teknik incelemede ve genel olarak depolama güvenliğine ilişkin bilgileri Internet Security Research Group web sitesinde bulabilirsiniz.
(DSÖ)
Haberin Sonu
Duyuru
Google'ın yeni stratejisini sunduğu teknik inceleme, bellekle ilgili ciddi güvenlik açıklarının ayrıntılı bir dökümünü sunuyor:
- Chrome: Tüm yüksek/kritik riskli güvenlik açıklarının %70'i
- Android: Tüm güvenlik açıklarının %70'i yüksek/kritik risk altında
- Google Sunucusu: Tüm güvenlik açıklarının %16 ila 29'u
- Project Zero: Kullanılan tüm sıfır gün güvenlik açıklarının %68'i (vahşi ortamda)
- Microsoft: Tüm boşlukların %70'inde CVE girişi var.
Bundan Google şu sonucu çıkarıyor: “Google olarak onlarca yıllık deneyime sahibiz [Google gibt es seit 1998, Anm. d. Red] “Yüksek güvenilirliğe sahip bellek güvenliğinin yalnızca, sıkı bellek güvenliği garantileriyle dillerin yaygın biçimde benimsenmesine odaklanan tasarım gereği güvenlik yaklaşımıyla elde edilebileceğini umuyoruz.”
CWE güvenlik açığı listesine göre, en çok yararlanılan 10 güvenlik açığından yalnızca ilk üçü bellek erişimini etkiliyor.
Güvenli olmayan eski kaynaklara ne olur?
Şirket özellikle bunu güvenli dillerde yeni kod yazmaya yönelerek başarmak istiyor: Java/Kotlin, Go, Rust veya Carbon. Google için en büyük sorunlar, bir yanda mevcut, güvensiz ancak henüz keşfedilmemiş C++ satırlarının mirası, diğer yanda “bazı durumlarda daha büyük programların güvensiz yapıların kullanımını gerektirdiğinin” farkındalığıdır. Bu durumda belge aşağıdaki önlemleri önermektedir:
- Güvenli olmayan kodu kapsülleyin ve yalnızca bir API aracılığıyla erişilebilir hale getirin.
- Sürüm 8.5a'dan itibaren ARM işlemcilerde bellek etiketleme gibi donanım işlevleri: Bellek alanları ve işaretçiler, hatalı referans kaldırmanın bir hataya yol açması için işaretlenebilir.
- CHERI (Yetenek Donanımı Geliştirilmiş RISC Talimatı) projesi, donanım düzeyinde bellek alanlarını sanal olarak karantinaya almak için işlevler sağlar. Ancak ek yük bir performans sorunu olabilir.
- Yaklaşan 0.2 sürümünde, Carbon programlama dili ideal olarak büyük miktardaki eski C++ kodunun güvenli alanlara kolayca taşınmasına olanak tanıyacaktır.
Rust'un yeni kodda merkezi bir rol oynaması bekleniyor ve Google, şirket ekiplerinin şu ana kadar bu yönde attığı adımları vurguluyor:
Şirketin stratejisine ilişkin daha fazla bilgiyi yukarıda adı geçen teknik incelemede ve genel olarak depolama güvenliğine ilişkin bilgileri Internet Security Research Group web sitesinde bulabilirsiniz.
(DSÖ)
Haberin Sonu