为了让 Android 更安全,谷歌推荐开发者使用 Rust 编写系统代码
技术编辑:王治治丨发自 思否编辑部
SegmentFault 思否报道丨公众号:SegmentFault
C 和 C++ 的局限性
Android 系统的底层需要 C 和 C++ 等系统编程语言。这些语言为开发者提供了控制和可预测性,这在访问低级系统资源和硬件时非常重要。不幸的是,C 和 C++ 并不能提供内存安全保证,使得它们容易出现错误和安全漏洞。开发者有责任在这些语言上管理内存寿命,但在复杂和多线程的代码库中,这说起来容易做起来难。
C 和 C++ 共同构成了 Android 平台上数以千万计的代码行。这些内存安全漏洞成为最难解决的代码错误来源,占 Android 高严重度安全漏洞的 70% 左右。单纯的修复这些 bug 变得不足以处理问题,更好的方法是在一开始就预防这些 bug。
由于缺乏内存安全保障,迫使开发者在严格约束的无权限沙盒内运行Android进程。但沙盒在资源上的成本很高,会消耗额外的开销,并引入延迟。沙盒也不能完全消除代码的漏洞,而且由于 bug 密度高,沙盒的功效会降低,进一步!
另一个限制,虽然不是 C 和 C++ 独有的,但适用于所有的内存安全问题,那就是错误状态必须在工具化的代码中实际触发,才能被检测到。所以即使你的代码有很好的测试,实际的 bug 也可能一直没有被发现。而当发现bug时,让它们得到修复又是另一项任务,涉及到一个漫长而昂贵的过程,不一定能得到正确的修复。因此,bug 检测变得不可靠,鉴于这些局限性,bug 预防是更好的方法。
Rust 及其优势
2020 年底,Rust 官方在调研了全球 8323 位开发者后,最新发布了 2020 年 Rust 调查报告。通过报告,我们发现 Rust 开发者的用户黏度较高,有 83% 的受访者表示他们一直在使用该语言。
众所周知,当提及 Rust 语言时,安全、性能、并发等特性是其优势。Rust 通过使用编译时检查和运行时检查相结合的方式提供内存安全保证,以强制执行对象的寿命/所有权,并确保内存访问是有效的。在实现这种安全性的同时,还能提供与C和C++相当的性能。Rust 还减少了对沙盒的需求,让开发人员有更多的开销空间来引入更安全、更轻量的新功能。
但是据官方调查报告显示,Rust 仍有许多亟需完善之处。譬如以下几点:
与 C++ 的交互兼容需要进一步提升
Rust 上手难度太高
编译时间过长
库的支持不够丰富
虽然 Rust 确实有它的好处,但一夜之间将整个 Android 操作系统换成 Rust 是不可行的,并且现阶段的 Rust 也远非尽善尽美。而且可能根本不需要这样做,因为大多数 Android 的内存错误都发生在新的或最近修改的代码中,大约有 50% 的代码是不到一年的。谷歌认为,其内存安全语言的工作最好集中在新的开发上,而不是重写成熟的 C 和 C++ 代码。
据 Android 开发人员关系小组的成员称,Google 目前还不打算发布 Rust NDK。应用开发支持的语言将继续是 Kotlin,Java,C 和 C ++。
部分参考资料:
xda-developers:《Google is developing parts of Android in Rust to improve security》
Rust 官方:《Rust 语言 2020 调查报告》