Gobernanza y gestión de riesgos, tecnologías de próxima generación y desarrollo seguro, evaluación de vulnerabilidades y pruebas de penetración (VA/PT) Google dice que la iniciativa Rust Language elimina las secuencias de comandos entre sitios y otros defectosAkshaya Asokan (asokan_akshaya) •26 de septiembre de 2024 Imagen: Shutterstock un lenguaje seguro para la memoria ha reducido el número de vulnerabilidades en los sistemas Android en un 75% en cinco años. Google dijo que el cambio representa un «cambio fundamental en cómo abordar la seguridad». Ver también: Aliviar los puntos débiles de cumplimiento en la era de la nube El equipo de Android de Google comenzó a confiar en el lenguaje de programación Rust en 2019 bajo el programa de diseño seguro de la compañía llamado Safe Coding. En una actualización del miércoles, los investigadores de seguridad de Android dijeron que desde que se adoptó el lenguaje de programación de seguridad de la memoria, la cantidad de vulnerabilidades descubiertas en dispositivos Android ha caído de más de 200 en 2019 a menos de 50 en 2024. El porcentaje de vulnerabilidades causadas por problemas de seguridad de la memoria en los sistemas Android cayó del 76% en 2019 al 24% en 2024, muy por debajo de la norma de la industria del 70%, dijeron los investigadores. «Informamos por primera vez de esta disminución en 2022 y seguimos viendo caer el número total de vulnerabilidades de seguridad de la memoria», dijo Google. El código de alto rendimiento a nivel de sistema escrito en lenguajes C o C++ carece de seguridad de memoria, lo que genera mayores fallas en los ecosistemas de software. Estas vulnerabilidades a menudo afectan la forma en que se puede acceder, escribir, asignar o desasignar la memoria, pero la buena noticia es que a medida que el código envejece, es menos probable que los atacantes lo comprometan. «El problema radica abrumadoramente en el nuevo código», dijo Google. En el futuro, los expertos de Google y otras organizaciones recomiendan utilizar lenguajes seguros para la memoria, como Rust, para abordar problemas de seguridad de larga data, como desbordamientos del búfer y vulnerabilidades de ejecución remota de código. Para evitar reescribir código inseguro existente con código seguro para la memoria, las organizaciones deben garantizar la interoperabilidad entre los lenguajes de programación. Como parte de la iniciativa, Google dijo que está tratando de facilitar la interoperabilidad entre los lenguajes de programación Rust, C++ y Kotlin. «El cambio hacia lenguajes seguros para la memoria representa más que un simple cambio en la tecnología, es un cambio fundamental en cómo abordar la seguridad», dijeron los investigadores de Google, y agregaron que ya se ha demostrado que la transición elimina las fallas de secuencias de comandos entre sitios. Además de las empresas de tecnología, las agencias gubernamentales del Reino Unido y los EE. UU. han expresado su preocupación por las vulnerabilidades de la memoria insegura debido a las ciberamenazas a la infraestructura crítica. Un estudio reciente de la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. encontró que la mayoría de los proyectos de código abierto están codificados con lenguajes que no son seguros para la memoria (ver: Informe CISA encuentra riesgos críticos para la seguridad de la memoria de código abierto). Un informe de febrero de la Oficina del Director Nacional Cibernético dice que mitigar las fallas de seguridad de la memoria es un paso principal hacia el desarrollo de la resiliencia digital. Google y Arm se encuentran entre un puñado de actores de la industria que forman parte del programa de instrucciones RISC mejoradas de capacidad de hardware de los gobiernos de EE. UU. y el Reino Unido, o CHERI, que está diseñado para eliminar fallas de memoria no seguras a través de chips de hardware especialmente diseñados con acceso y permisos limitados al kernel. (ver: Funcionario del Reino Unido promociona CHERI para computación con memoria segura). URL de la publicación original: https://www.databreachtoday.com/memory-safe-coding-cuts-android-system-flaws-by-75-a-26391
Deja una respuesta