美国白宫督促科技公司切换到内存安全语言

美国白宫督促科技公司切换到内存安全语言白宫国家网络主任办公室(ONCD)督促科技公司采用内存安全语言，通过减少内存安全漏洞提高软件的安全性。内存安全漏洞是软件中最常见的编程错误之一，当软件以非预期或不安全的方式访问内存时，会导致各种安全问题，如缓冲区溢出、访问释放后的内存、访问未初始化的内存和双重释放。此类漏洞如被利用会带来严重安全风险，可能允许攻击者能未经授权访问数据，或者允许非法提升权限执行恶意代码。ONCD称，消除内存安全漏洞是一个紧迫而复杂的问题，必须采取新方法减轻风险。尽管ONCD没有明确罗列哪些语言是内存安全编程语言，但强调了C和C++缺乏与内存安全相关的特征。——

谷歌 Android 13 新规，少于 2GB 内存的手机不能预装 GMS

谷歌 Android13新规，少于2GB内存的手机不能预装GMS谷歌在其安卓开发者博客上宣布（通过MishaalRahman），从Android13系统开始，智能手机将需要至少2GB的内存和16GB的存储空间才能预装谷歌移动服（GMS）。即使是对AndroidGo设备的要求也是如此，这些设备通常内存很少。内存小于2GB的新设备不能预装GMS，并且目前运行Android12但不符合上述要求的设备无法升级到Android13。

Android 13上调最低内存要求 不到2GB RAM装不了GMS

Android13上调最低内存要求不到2GBRAM装不了GMS和去年的Windows11类似，谷歌日前也对Android13的最低硬件要求做出上调，意在提高门槛。简单来说，RAM现在最低2GB，ROM最低得是16GB。当然，谷歌的前提条件是，预装GMS的Android13设备，理论上说，如果不打算支持GMS，那么低于这个标准应该也是可行的，不过着尚待验证。PC版：https://www.cnbeta.com/articles/soft/1314559.htm手机版：https://m.cnbeta.com/view/1314559.htm

NSA建议开发者考虑从C和C++转换为内存安全的编程语言

NSA建议开发者考虑从C和C++转换为内存安全的编程语言"NSA建议企业考虑在可能的情况下，从很少或没有提供固有内存保护的编程语言（如C/C++）转向内存安全语言。内存安全语言的一些例子是C#、Go、Java、Ruby和Swift，"NSA说。该机构引用了Google和微软最近的研究，他们在Chrome和Windows中分别有70%的安全问题与内存有关，其中许多是使用C和C++的结果，这两种语言更容易出现基于内存的漏洞。"NSA在"软件内存安全"网络安全信息表中指出："恶意的网络行为者可以利用这些漏洞进行远程代码执行或其他不利影响，这往往可以损害一个设备，成为大规模网络入侵的第一步。常用的语言，如C和C++，在内存管理方面提供了很大的自由度和灵活性，同时严重依赖程序员对内存引用进行必要的检查。"因此，该机构建议尽可能使用内存安全语言，无论是应用开发还是系统编程。虽然大多数信息安全专家都熟悉关于内存安全语言的辩论，但也许不是所有的开发人员都熟悉。不过，也许他们应该熟悉，因为这是一个几十年前就存在的问题，正如Java创建者JamesGosling最近在讨论如何以及为什么创建Java时指出的。如果有的话，NSA的文件为开发者提供了一个清晰的、通俗的解释，说明了向内存安全语言转变背后的技术原因。在内存安全方面讨论最多的语言可能是Rust，它是作为C和C++的"替代品"的主要候选。Linux内核最近引入了Rust作为C语言的第二种语言，继Android开源项目之后。这些项目不会取代旧的C/C++代码，但对于新的代码会优先考虑Rust。另外，微软Azure首席技术官MarkRussinovich最近呼吁所有开发人员在所有新项目中使用Rust而不是C和C++。"通过利用这些类型的内存问题，恶意行为者--他们不受软件使用的正常预期约束--可能会发现他们可以在程序中输入不寻常的输入，导致内存以意想不到的方式被访问、写入、分配或删除，"NSA解释说。但是--正如专家们在关于Rust和C/C++的辩论中所指出的那样--NSA警告说，仅仅使用一种内存安全语言并不能默认排除将内存错误引入软件。此外，语言通常允许使用不是用内存安全语言编写的库。"即使使用内存安全语言，内存管理也不完全是内存安全的。大多数内存安全语言承认，软件有时需要执行不安全的内存管理功能来完成某些任务。因此，有一些类或函数被认为是非内存安全的，并允许程序员执行可能不安全的内存管理任务，"NSA说。"一些语言要求任何内存不安全的东西都要明确注释为内存不安全，以使程序员和程序的任何审查人员意识到它是不安全的。内存安全语言也可以使用以非内存安全语言编写的库，因此可以包含不安全的内存功能。尽管这些包含内存不安全机制的方式颠覆了固有的内存安全，但它们有助于定位可能存在内存问题的地方，允许对这些代码部分进行额外的审查。"NSA指出，向一些内存安全语言的转化可能要付出性能上的代价，这需要开发人员学习一种新的语言。它还指出，开发人员可以采取一些措施来加固非内存安全语言。例如，Google的Chrome团队正在探索多种方法来加固C++，但这些方法也会带来性能开销。在可预见的未来，C++将继续留在Chrome的代码库中。NSA建议进行静态和动态应用程序安全测试，以发现内存问题。它还建议探索内存加固方法，如控制流保护（CFG），它将对代码的执行位置进行限制。同样，建议使用地址空间布局随机化（ASLR）和数据执行预防（DEP）。...PC版：https://www.cnbeta.com.tw/articles/soft/1332577.htm手机版：https://m.cnbeta.com.tw/view/1332577.htm

美国政府建议使用内存安全编程语言 C/C++都被排除在外

美国政府建议使用内存安全编程语言C/C++都被排除在外为什么大型科技公司都关注Rust呢？因为相对来说，Rust安全性更高，微软认为通过Rust重新编写某些组件有助于提高内存安全性。日前美国政府下属的ONCD办公室发布了一份报告就详细介绍了建议开发者们使用各种内存安全编程语言，尽管ONCD没有明确罗列哪些语言是内存安全编程语言，但强调了C和C++缺乏与内存安全相关的特征，因此实际上就是不建议开发者使用C和C++。需要强调的是，这里只是从内存安全角度出发来建议，并不是评判一种编程语言的好坏，ONCD称如果软件一开始就选择使用内存安全编程语言的话，那么可以提高安全性。报告也没有建议使用哪些内存安全语言来替代C和C++，毕竟只是建议，实际上开发者和企业如何选择编程语言还是开发者们自己的事情，毕竟也要考虑到软件本身。...PC版：https://www.cnbeta.com.tw/articles/soft/1421763.htm手机版：https://m.cnbeta.com.tw/view/1421763.htm

Google提醒：Pixel设备升级Android 13后将无法降级至Android 12

Google提醒：Pixel设备升级Android13后将无法降级至Android12Google今天面向Pixel设备发布了Android13稳定版本。不过需要注意的是，本次升级是单向的，也就是说Pixel用户在升级到Android13之后无法通过刷机的方式降级到Android12。Android更新通常是可逆的，意味着用户通过手动侧载更新的方式来安装旧版本。通常情况下这要求重置你的手机，你的数据将会丢失，但是可以降级到旧版本。不过Google提醒道Pixel6,Pixel6Pro和Pixel6a在升级到Android13之后无法降级到Android12。在日志中写道适用于Pixel6,Pixel6Pro和Pixel6a的Android13更新包含了bootloader更新，增强内容阻止回滚到此前版本。设备在刷入Android13之后，将无法重新刷回到Android12版本。PC版：https://www.cnbeta.com/articles/soft/1305013.htm手机版：https://m.cnbeta.com/view/1305013.htm