أعلنت جوجل عن انخفاض ملحوظ في عدد ثغرات سلامة الذاكرة في نظام أندرويد، وذلك للمرة الأولى، لتصبح أقل من 20% من إجمالي الثغرات المكتشفة. يأتي هذا الإنجاز كنتيجة مباشرة لتبني الشركة المتزايد للغة البرمجة Rust في تطوير النظام.
ووفقاً لبيانات الفريق الهندسي لجوجل، أدى استخدام لغة Rust إلى تقليل كثافة ثغرات سلامة الذاكرة بمقدار 1000 مرة مقارنةً بالكود المكتوب بلغتي C و C++، وهما اللغتان اللتان طالما استخدمتا في تطوير أندرويد. وأضافت جوجل أن هذا التحول لم يؤثر سلباً على سرعة التطوير، بل ساهم في تسريعها.
Rust: أداء آمن وسرعة تطوير غير مسبوقة في أندرويد
وقد أشار جيف فاندير ستوييب، من قسم تطوير البرمجيات في جوجل، إلى أن المفاجأة الأكبر كانت في تأثير Rust على عملية توصيل البرمجيات. وبيّن أن التغييرات التي تتم باستخدام Rust تنخفض معدلات التراجع عنها أربع مرات، وتقضي وقتاً أقل بنسبة 25% في مراجعة الكود.
ويؤكد ذلك على أن المسار الأكثر أماناً أصبح أيضاً هو المسار الأسرع لتطوير البرمجيات. وتأتي هذه النتائج بعد أكثر من عام من الكشف عن خطة جوجل للتحول التدريجي إلى Rust.
تراجع ملحوظ في ثغرات سلامة الذاكرة
كشفت جوجل في العام الماضي أن انتقالها إلى Rust ساهم في انخفاض ثغرات سلامة الذاكرة من 223 ثغرة في عام 2019 إلى أقل من 50 ثغرة في عام 2024، مما يمثل انخفاضاً يقل عن 77%.
إضافة إلى ذلك، أوضحت الشركة أن كود Rust يتطلب مراجعات أقل بنسبة 20% تقريباً مقارنةً بنظيره المكتوب بلغة C++، مما أدى إلى تحسين الإنتاجية الإجمالية للتطوير.
توسيع نطاق استخدام Rust في منظومة أندرويد
تخطط جوجل لتوسيع فوائد Rust، المتعلقة بالأمان والكفاءة، لتشمل أجزاء أخرى من منظومة أندرويد. وتضم القائمة نواة النظام، والبرامج الثابتة (firmware)، والتطبيقات الأساسية التي تطورها جوجل مباشرةً.
و من بين هذه التطبيقات Nearby Presence و Message Layer Security (MLS)، بالإضافة إلى متصفح Chromium. فقد تم بالفعل استبدال المحللات (parsers) الخاصة بملفات PNG و JSON وخطوط الويب في Chromium بتطبيقات آمنة للذاكرة مكتوبة بلغة Rust.
نهج الدفاع المتعدد الطبقات
شددت جوجل على أهمية تبني نهج “الدفاع في العمق”؛ حيث تعتبر ميزات الأمان المضمنة في لغة Rust جزءاً واحداً فقط من استراتيجية شاملة لضمان سلامة الذاكرة.
وفي هذا الصدد، سلطت جوجل الضوء على اكتشاف ثغرة تتعلق بسلامة الذاكرة (CVE-2025-48530) في CrabbyAVIF، وهو محلل لأحد صيغ الصور، مكتوب بلغة Rust “غير آمنة” (unsafe Rust). وكانت هذه الثغرة، التي تم اكتشافها في August 2025، تحمل درجة خطورة 8.1 على مقياس CVSS، وكان يمكن استغلالها لتنفيذ تعليمات برمجية عن بعد.
أمان Rust والآليات الإضافية
بالرغم من أن الثغرة المذكورة لم تصل إلى الإصدار العام، إلا أن جوجل قامت بإصلاحها ضمن تحديثات الأمان الخاصة بأندرويد. وقد وُجد أن هذه الثغرة لم تكن قابلة للاستغلال بفضل Scudo، وهو مدير ذاكرة ديناميكي في وضع المستخدم مصمم لمواجهة ثغرات الذاكرة.
وأكدت جوجل أن حتى استخدام “الكود غير الآمن” في Rust يعتبر آمناً للغاية، وأن كثافة الثغرات أقل بكثير مقارنةً بلغة C و C++. وأوضحت أن إدراج كتلة “غير آمنة” من الكود لا يعطل فحوصات الأمان الخاصة باللغة تلقائياً.
وتختتم جوجل بالقول: “بينما ستستمر لغتا C و C++ في الوجود، وستظل آليات الأمان للبرامج والأجهزة ذات أهمية حاسمة للدفاع متعدد الطبقات، فإن الانتقال إلى Rust يمثل منهجاً مختلفاً حيث يصبح المسار الأكثر أماناً هو أيضاً المسار الأكثر كفاءة بشكل ملموس.”