IT之家 11 月 15 日消息,谷歌 Android 团队周四发布了最新报告,称其在系统开发中引入 Rust 所带来的安全性与开发效率提升正在持续显现。
官方数据显示,2025 年 Android 内存安全类漏洞占比首次降至全部漏洞的 20% 以下。
据介绍,目前 Android 平台约有 500 万行 Rust 代码,出现 1 个在发布前修复的潜在内存安全问题,对应的漏洞密度为每百万行 0.2 个;相比之下,其 C/C++ 历史数据约为每百万行 1000 个。
报告指出,Rust 原本因其内存安全特性被引入 Android,但实际效果超出预期:Rust 代码的回滚率仅有 C++ 的四分之一,且代码审查耗时减少约 25%。
Android 团队表示,对比基于系统编程语言(IT之家注:不含 Java 与 Kotlin)的数据,Rust 的使用量快速增长,而新 C++ 代码量呈持续下降趋势。
在软件交付方面,Android 使用 DORA 评估框架衡量软件开发效率。结果显示,Rust 提交的代码修改需要的审查轮次更少,自 2023 年起这一趋势持续稳定;与此同时,Rust 的低回滚率也提升了整体交付速度,避免大量返工、重新构建与额外审查等组织性成本。
在安全上,Google 表示正在扩大 Rust 的应用范围,包括:
Linux 内核:Android 6.12 内核首次启用 Rust 支持,并上线首个 Rust 编写的生产版驱动,同时与 Arm 和 Collabora 合作推进 Rust 版 GPU 驱动。
固件:Google 已在部分固件中使用 Rust,并继续与合作伙伴推进 Rusted Firmware-A 等项目,目标是降低固件层面的高风险。
应用层:Google 多款关键应用已采用 Rust,如:
--Nearby Presence(蓝牙附近设备发现协议)
--RCS 消息的 MLS 安全通信协议(未来将进入 Google 信息 app)
--Chromium 中的 PNG、JSON 和网页字体解析器
Android 团队也披露了首个“几乎发生”的 Rust 内存安全漏洞(CVE-2025-48530),这是出现在 CrabbyAVIF 组件中的线性缓冲区溢出。
由于 Android 默认的 Scudo 加固分配器使用保护页(guard pages),漏洞未进入公开版本。报告指出,Scudo 能将溢出从静默损坏变成可检测的崩溃,促成及时修复。Google 表示已改善相关崩溃报告机制,以便未来更快识别原因。
报告显示,过去安全改进常需牺牲性能或增加流程成本,而 Rust 带来的是一种“更安全也更高效”的路径,使 Android 可以“在提升速度的同时修复问题”,改善产品稳定性与开发效率。
“掌”握科技鲜闻 (微信搜索techsina或扫描左侧二维码关注)
