Google ha revelado datos convincentes que destacan la eficacia de su enfoque de «codificación segura» para reducir las vulnerabilidades de seguridad de la memoria. La estrategia del gigante tecnológico, que prioriza el uso de lenguajes de programación seguros para la memoria para desarrollar código nuevo, ha producido resultados impresionantes. En particular, Android ha experimentado una fuerte disminución en las vulnerabilidades de seguridad de la memoria, cayendo del 76% de todas las vulnerabilidades en 2019 a solo el 24% en 2024. Esta reducción es especialmente significativa dado que la norma de la industria para la seguridad de la memoria es de alrededor del 70%. El éxito de Google en este campo ofrece un rayo de esperanza para los desarrolladores que enfrentan desafíos de seguridad similares. El quid del enfoque de Google radica en una idea contraria a la intuición: centrarse en prácticas de codificación segura para código nuevo puede reducir rápidamente el riesgo de seguridad general de una base de código, incluso si el volumen de memoria de código inseguro continúa creciendo. El análisis de Google revela que las vulnerabilidades disminuyen exponencialmente con el tiempo, con una vida media pronunciada. “Un estudio de vida útil de vulnerabilidades a gran escala publicado en 2022 en Usenix Security confirmó este fenómeno. Los investigadores han descubierto que la gran mayoría de las vulnerabilidades residen en código nuevo o modificado recientemente”, señala la empresa. Este hallazgo resalta dos puntos críticos para los desarrolladores: la mayor parte del problema radica en el código nuevo, lo que requiere un cambio fundamental en las prácticas de desarrollo. El código madura y se vuelve más seguro con el tiempo, de manera exponencial, lo que disminuye el rendimiento de inversiones como las reescrituras completas. Los datos de Google sugieren que el código de hace 5 años tiene una densidad de vulnerabilidad de 3,4 a 7,4 veces menor que el código nuevo, según el contexto específico. El gigante tecnológico no aboga por una reescritura a gran escala del código existente que no es seguro para la memoria. En cambio, enfatiza la importancia de la interoperabilidad entre lenguajes seguros y no seguros para la memoria. Este enfoque permite a las organizaciones aprovechar las inversiones existentes y al mismo tiempo acelerar el desarrollo de capacidades nuevas y más seguras. Para respaldar esta estrategia, Google otorgó una subvención de £ 790 000 a la Fundación Rust y desarrolló herramientas de interoperabilidad como Crubit y autocxx. A medida que la industria avanza hacia la codificación segura, Google espera depender menos de las mitigaciones tradicionales de exploits y de los métodos de detección proactiva como la fuzzing. Sin embargo, se espera que estas técnicas sean más específicas y efectivas cuando se apliquen a fragmentos de código más pequeños y bien encapsulados. Para los desarrolladores de software, los hallazgos de Google ofrecen una directiva clara: priorizar lenguajes seguros para la memoria para nuevos desarrollos puede traer importantes beneficios de seguridad, incluso en grandes sistemas existentes. Al «desactivar» nuevas vulnerabilidades, los desarrolladores pueden aprovechar la decadencia natural de los problemas existentes para mejorar la seguridad general del sistema. Mientras la industria del software continúa enfrentando desafíos de seguridad, la estrategia Safe Coding de Google presenta un camino prometedor a seguir, ofreciendo un enfoque escalable y sustentable para crear software altamente seguro. (Foto de Arthur Osipyan) Ver también: La estabilidad general de la aplicación mejora a medida que las sesiones sin fallas se acercan al 100% ¿Quiere aprender más sobre ciberseguridad y la nube de la mano de los líderes de la industria? Consulte la Cyber Security & Cloud Expo que se llevará a cabo en Ámsterdam, California y Londres. El evento completo se llevará a cabo simultáneamente con otros eventos importantes, incluidos BlockX, Digital Transformation Week, IoT Tech Expo y AI & Big Data Expo. Explore otros próximos eventos y seminarios web de tecnología empresarial proporcionados por TechForge aquí. Etiquetas: Android, codificación, ciberseguridad, desarrollo, Google, seguridad de la memoria, programación, oxidación, codificación segura, seguridad, vulnerabilidad
Check Also
¿Qué son las aplicaciones CRUD y cómo crearlas?
Si le gusta el desarrollo de software personalizado, debe haber oído hablar del acrónimo CRUD. …