Sûr par conception : la perspective de Google sur la sécurité de la mémoire

Les vulnérabilités de sécurité de la mémoire, une menace persistante depuis des décennies, proviennent d'erreurs de codage dans la manière dont les programmes accèdent à la mémoire. Ces vulnérabilités sont responsables de deux tiers des exploits zero-day, soulignant la nécessité d'améliorer la sécurité de la mémoire malgré les efforts en cours. Google, à travers un document technique exhaustif, met en avant l'importance de passer à des langages de programmation sécurisés en matière de mémoire comme Java, Go et Rust pour atténuer ces risques. Reconnaissant les défis de la réécriture du code C++ existant, Google propose une approche à plusieurs volets. Cela implique d'adopter des langages sécurisés en matière de mémoire pour le nouveau code, de transformer progressivement le code C++ existant en un sous-ensemble partiellement sécurisé, et d'utiliser les fonctionnalités de sécurité matérielle. L'engagement de Google en faveur de la sécurité de la mémoire est évident dans ses investissements dans diverses initiatives. Ces dernières incluent l'utilisation de Rust dans Android et Chrome, l'octroi d'un million de dollars à la Fondation Rust, et le soutien à des projets comme ISRG Prossimo et OpenSSF's Alpha-Omega. En renforçant l'écosystème sécurisé en matière de mémoire et en encourageant l'adoption plus large de pratiques sécurisées en matière de mémoire, Google vise à améliorer la sécurité logicielle pour tous. Bien que les langages sécurisés en matière de mémoire ne soient pas une solution miracle, ils représentent un pas significatif vers la réduction d'une classe prévalente de vulnérabilités, permettant aux efforts de sécurité de se concentrer sur d'autres menaces émergentes. Le document technique de Google offre une analyse exhaustive de cette question critique et esquisse un avenir potentiel plus sécurisé.