CTOLCTOL Solutions
CTOL Digital SolutionsCTOL Digital Solutions FRCTOL Digital Solutions DACHCTOL 디지털 솔루션希图科技
Nachrichten
Dienstleistungen CIO/CTO-BeratungCloud ComputingDigitales Marketing und VertriebDatenwissenschaft und Business IntelligenceGenerative KI für UnternehmenWeb3 und DeFi für UnternehmenEntwicklung von Web- und Mobil-AppsDigitale UnternehmensberatungModernisierung von Legacy-AppsWebdesign und Benutzererfahrung
Industrien Luft- und Raumfahrt sowie VerteidigungAutomobilindustrieBankwesenKapitalmärkteKommunikation und MedienKonsumgüter und DienstleistungenEnergieGesundheitswesenInternetFertigungVersicherungenÖffentlicher und sozialer SektorEinzelhandelReisenTelekommunikationPharmaPrivate Equity & Venture CapitalBildungÖl und GasImmobilienBauwesen und BaumaterialRechtsdienstleistungenGastronomie und Gastgewerbe
EinblickeSoftwareKI-Werkzeuge
Kontaktieren Sie uns
Googles Drang nach Speichersicherheit: Wie ein CrowdStrike-Absturz 2024 den dringenden Bedarf an sichererem Code hervorhebt

Googles Drang nach Speichersicherheit: Wie ein CrowdStrike-Absturz 2024 den dringenden Bedarf an sichererem Code hervorhebt

Von
Super Mateo
3 Minuten Lesezeit
InternetAnwendung

Was Ist Passiert?

Googles Weg zur Verbesserung der Speicher-Sicherheit begann vor über zwei Jahrzehnten. In einem kürzlich veröffentlichten Blog-Beitrag mit dem Titel „Sicherer mit Google: Fortschritte bei der Speicher-Sicherheit“ enthüllten die Kernentwickler Alex Rebert, Chandler Carruth, Jen Engel und Andy Qin die neuesten Updates des Sicherheitsrahmens von Google. Das Unternehmen konzentriert sich darauf, Schwachstellen im Zusammenhang mit speicherunsicherem Code zu reduzieren, der etwa 70 % der schwerwiegenden Softwareanfälligkeiten ausmacht.

Um dieses Problem zu bekämpfen, verfolgt Google einen zweigleisigen Ansatz: Erstens die Erhöhung der Nutzung von speichersicheren Sprachen (MSLs) wie Rust, Java und Python, und zweitens die Nachrüstung von Sicherheitsfunktionen in bestehendem Code, der in speicherunsicheren Sprachen (MULs), insbesondere in C und C++, geschrieben wurde. Diese Maßnahmen haben bereits erhebliche Ergebnisse gebracht, insbesondere bei Android, wo die Anzahl der Schwachstellen in der Speicher-Sicherheit von 220 im Jahr 2019 auf nur 36 Ende 2024 gesenkt wurde.

Wichtige Erkenntnisse

  1. Annahme speichersicherer Sprachen: Google drängt auf eine weitverbreitete Annahme von MSLs wie Rust, die das Risiko von speicherspezifischen Fehlern drastisch verringern. Die Sicherheitsmerkmale von Rust machen es ideal für Umgebungen, in denen C++ traditionell dominant war.

  2. C++ Härtung: Da der Übergang von C++ Zeit in Anspruch nehmen wird, implementiert Google Sicherheitsmechanismen wie Grenzprüfungen und führt Werkzeuge wie "MiraclePtr" ein, um Schwachstellen im bestehenden Code zu verringern.

  3. Fuzzing und Fehlererkennung: Die Nutzung von Fuzzern, Sanitizern und kontinuierlichen Fuzzing-Tools wie OSS-Fuzz hat bei Google über 8.800 Schwachstellen in 850 Open-Source-Projekten identifiziert und die Wirksamkeit dieser Techniken zur Vermeidung von Softwarefehlern hervorgehoben.

  4. Globale Führung: Durch die Open-Source-Bereitstellung seiner Werkzeuge und die Zusammenarbeit mit der Technologie-Community setzt Google einen Maßstab für globale Fortschritte in der Speicher-Sicherheit, mit dem Potenzial, Cyber-Sicherheitsrisiken in der gesamten Branche erheblich zu verringern.

Tiefenanalyse

Googles Übergang zu speichersicheren Sprachen, insbesondere Rust, ist ein gut durchdachter Schritt, der Leistung und Sicherheit in Einklang bringt. In leistungsstarken Umgebungen wie eingebetteten Systemen oder Android-Geräten, wo traditionell C++ verwendet wurde, bietet Rust eine Alternative mit Funktionen wie dem „Borrow Checker“, der sicherstellt, dass speicherbezogene Fehler an der Quelle verhindert werden. Dieser Übergang hat bereits zu erheblichen Rückgängen der Schwachstellen auf Plattformen wie Android geführt und zeigt die Wirksamkeit von Googles Strategie.

Google erkennt jedoch, dass der vollständige Übergang von speicherunsicheren Sprachen ein langwieriger Prozess sein wird, angesichts der großen Menge an bestehendem C++-Code. Daher wird Google Sicherheitsfunktionen in C++-Code nachrüsten und Risiken durch Techniken wie Grenzprüfungen verringern. Durch die Adressierung sowohl neuer als auch bestehender Legacy-Codebasen ist Googles Ansatz umfassend und stellt sicher, dass die Nutzer geschützt bleiben, während der Übergang zu speichersicheren Sprachen stattfindet.

Darüber hinaus unterstreicht Googles Investition in fortschrittliche Fehlererkennungs- und Minderungstechniken wie maschinelles Lernen gestütztes Fuzzing und hardwarebasierte Lösungen wie die Memory Tagging Extension (MTE) sein Engagement, nicht nur Schwachstellen zu erkennen, sondern auch zu verhindern, bevor sie auftreten.

Wussten Sie schon?

  • Google hat über 8.800 Schwachstellen in 850 Open-Source-Projekten über OSS-Fuzz identifiziert, ein kontinuierliches Fuzzing-Tool, das es entwickelt und mit der globalen Entwicklergemeinschaft geteilt hat.
  • Schwachstellen in der Speicher-Sicherheit machen etwa 75 % aller Zero-Day-Angriffe aus, weshalb Googles Fokus auf Speicher-Sicherheit ein entscheidender Schritt zur Sicherung des digitalen Ecosystems ist.
  • Bis 2024 waren die Schwachstellen in der Speicher-Sicherheit bei Android von über 220 im Jahr 2019 auf nur 36 gesunken, dank des vermehrten Einsatzes von speichersicheren Sprachen wie Rust auf den mobilen Plattformen von Google.

Zusammenfassend lässt sich sagen, dass Googles proaktive Maßnahmen zur Verbesserung der Speicher-Sicherheit einen mutigen und notwendigen Schritt zur Sicherung von Software vor böswilligen Angriffen darstellen. Durch die Integration von speichersicheren Sprachen und die Nachrüstung von Sicherheit in bestehenden Code schützt Google nicht nur seine eigenen Dienste, sondern setzt auch einen neuen Standard für die Software-Sicherheit in der Branche. Dieser vielschichtige Ansatz wird wahrscheinlich weitreichende Auswirkungen haben und die digitale Welt sowohl für Entwickler als auch für Benutzer sicherer machen.

Das könnte Ihnen auch gefallen

Dieser Artikel wurde von unserem Benutzer gemäß den Regeln und Richtlinien für die Einreichung von Nachrichten. Das Titelbild ist computererzeugte Kunst nur zu illustrativen Zwecken; nicht indikativ für den tatsächlichen Inhalt. Wenn Sie glauben, dass dieser Artikel gegen Urheberrechte verstößt, zögern Sie bitte nicht, dies zu melden, indem Sie uns eine E-Mail senden. Ihre Wachsamkeit und Zusammenarbeit sind unschätzbar, um eine respektvolle und rechtlich konforme Community aufrechtzuerhalten.

Abonnieren Sie unseren Newsletter

Erhalten Sie das Neueste aus dem Unternehmensgeschäft und der Technologie mit exklusiven Einblicken in unsere neuen Angebote