Google will sich stärker um die Speichersicherheit kümmern. Sicherheitslücken in Verbindung mit fehlerhaften Speicherzugriffen seien laut einer Studie für rund 70 Prozent der jährlich durch Security-Updates behandelten Bugs verantwortlich.
Die Studie zur Sicherheit, die Google im Sicherheitsblog zitiert stammt von Microsoft und ist auf Github zu finden. Um die Speicherproblematik in Open-Source-Software verstärkt anzugehen, will Google die Zusammenarbeit mit der Internet Security Research Group (ISRG) ausbauen. Ziel ist es, eine Reimplementierung von wichtiger Open-Source-Software in speichersicheren Sprachen zu erreichen.
Google nennt die neuen Rust-basierten HTTP-und TLS-Backends für Curl als Beispiel und die neue TLS-Bibliothek für Apache HTTPD. Die hier genannten Open-Source-Codebasen sitzen am Gateway zum Internet und ihre Sicherheit sei entsprechend wichtig, schreibt Google.
Der Ansatz der ISRG, direkt mit den Maintainern der jeweiligen Software zusammenzuarbeiten, entspreche auch dem Ansatz von Google. Der Konzern stellt mit OSS-Fuzz ein Testwerkzeug zur Verfügung, mit dem Google rund 5500 Memory-Bugs in 375 Open-Source-Projekten gefunden habe, heißt es im Blog. Das Reward-Programm, der Kernel-Fuzzer Syzkaller und Sanboxes wie Gvisor seien weitere Bestandteile der Sicherheitsoffensive, so Google.





