(资料图片仅供参考)

Windows和其他大多数微软产品主要是用C和C编写的,这两种“内存不安全”的编程语言允许开发人员以精细的粒度控制内存地址并执行代码。管理内存执行的开发人员代码中的漏洞可能会导致一系列内存安全错误,攻击者可以利用这些错误带来危险和侵入性的后果,例如远程代码执行或特权提升漏洞。

因此,探索使用Rust等内存安全语言被提上日程,这可能成为创建更安全的微软应用程序的替代方法。毕竟,Rust最初是Mozilla的一个研究项目,旨在更安全、更快速地重写Firefox浏览器。

最近,勇者浏览器也用Rust版本替换了原本用C写的广告拦截组件。根据2019年StackOverflow开发者调查,Rust已经连续四年成为“开发者最喜欢的编程语言”!开发人员喜欢它,因为语法更简单,用Rust编写的应用程序中的bug更少,所以开发人员可以专注于扩展他们的应用程序,而不是持续维护。

MSRC首席安全工程经理加文托马斯建议第三方开发者也应该学习内存安全语言。他列举了一些理由,比如说开发人员花费时间和精力学习如何调试C应用程序中与内存相关的安全漏洞,但这显然是不合适的。“开发人员的核心工作不是担心安全性,而是开发功能。”Thomas问道:“为什么不在一开始就把内存安全引入开发语言呢?”

推荐内容