Insinyur Google pada hari Rabu memposting serangkaian tambalan “permintaan komentar” awal yang mengimplementasikan ulang kode Binder Android dalam kernel Linux dalam bahasa pemrograman Rust, bukan C.
Binder tetap menjadi bagian penting dari tumpukan perangkat lunak Android dan untuk meningkatkan ketahanan dan keamanan, Google sedang melakukan penulisan ulang kode C di Rust. Binder bertanggung jawab atas komunikasi antar-proses (IPC) dan tugas-tugas lain di Android, sementara menggantinya dengan kode Rust yang aman untuk memori harus menjadi langkah besar untuk keamanan sistem.
Binder telah menjadi sangat kompleks untuk dipelihara dan dikembangkan lebih lanjut serta sangat penting bagi strategi sandboxing Android.
“Ini #1 (kompleksitas tinggi) yang membuat Binder terus berkembang dan menyelesaikan #2 (utang teknologi) menjadi sangat sulit tanpa menyebabkan #3 (masalah keamanan). Agar Binder dapat terus memenuhi kebutuhan Android, kami memerlukan cara yang lebih baik untuk mengelola ( dan mengurangi!) kompleksitas tanpa meningkatkan risiko.
Perubahan terbesar jelas pada pilihan bahasa pemrograman. Kami memutuskan untuk menggunakan Rust karena Rust secara langsung mengatasi sejumlah tantangan dalam Binder yang kami hadapi selama beberapa tahun terakhir. Ini mencegah kesalahan dalam penghitungan ref, penguncian, pemeriksaan batas, dan juga melakukan banyak hal untuk mengurangi kompleksitas penanganan kesalahan. Selain itu, kami dapat menggunakan sistem tipe yang lebih ekspresif untuk menyandikan semantik kepemilikan berbagai struct dan pointer, yang menghilangkan kompleksitas pengelolaan masa pakai objek dari tangan pemrogram, sehingga mengurangi risiko penggunaan setelahnya. membebaskan dan masalah serupa.
Rust memiliki banyak tipe penunjuk berbeda yang digunakannya untuk menyandikan semantik kepemilikan ke dalam sistem tipe, dan ini mungkin salah satu aspek terpenting yang membantu dalam Binder. Driver Binder memiliki banyak objek berbeda yang memiliki semantik kepemilikan kompleks; beberapa pointer memiliki penghitungan ulang, beberapa pointer memiliki kepemilikan eksklusif, dan beberapa pointer hanya mereferensikan objek dan objek tersebut tetap hidup dengan cara lain. Dengan Rust, kita dapat menggunakan tipe pointer yang berbeda untuk setiap jenis pointer, yang memungkinkan compiler untuk memastikan bahwa semantik kepemilikan diterapkan dengan benar.
Fitur berguna lainnya adalah penanganan kesalahan Rust. Rust memungkinkan penanganan kesalahan yang lebih sederhana dengan fitur seperti destruktor, dan Anda akan mengalami kegagalan kompilasi jika kesalahan tidak ditangani dengan benar. Ini berarti bahwa meskipun Rust mengharuskan Anda menghabiskan lebih banyak baris kode daripada C pada hal-hal seperti menuliskan invarian yang dibiarkan implisit di C, driver Rust masih sedikit lebih kecil daripada pengikat C: Rust adalah 5,5kLOC dan C adalah 5,8kLOC . (Angka-angka ini tidak termasuk baris kosong, komentar, binderf, dan fasilitas debugging apa pun di C yang belum diterapkan di driver Rust. Angka-angka tersebut termasuk abstraksi di karat/kernel/ yang kemungkinan tidak akan digunakan oleh driver lain selain Binder.)
Meskipun penulisan ulang ini sepenuhnya memikirkan kembali bagaimana kode disusun dan bagaimana asumsi diterapkan, kami tidak secara mendasar mengubah *bagaimana* pengemudi melakukan hal-hal yang dilakukannya. Banyak pemikiran cermat telah dilakukan pada desain yang ada. Penulisan ulang ini lebih ditujukan untuk meningkatkan kesehatan kode, struktur, keterbacaan, ketahanan, keamanan, pemeliharaan, dan ekstensibilitas. Kami juga menyertakan lebih banyak dokumentasi inline, dan meningkatkan cara penerapan asumsi dalam kode. Selain itu, semua kode yang tidak aman dianotasi dengan komentar SAFETY yang menjelaskan mengapa kode tersebut benar.
Kami telah meninggalkan komponen sistem file binderfs di C. Menulis ulang di Rust akan memakan banyak pekerjaan dan memerlukan banyak pengikatan ke antarmuka sistem file. Binderfs secara historis tidak memiliki tantangan yang sama dalam hal keamanan dan kompleksitas, jadi menulis ulang binderf tampaknya memiliki nilai yang lebih rendah dibandingkan Binder lainnya.”Pelajari lebih lanjut tentang implementasi Rust`ed Binder melalui pengumuman RFC ini di milis kernel Linux.
Binder yang ditulis oleh Rust lulus semua tes untuk kebenaran Binder dalam konteks Proyek Sumber Terbuka Android. Kode Rust dapat menghasilkan perangkat yang bisa boot dan berfungsi. Dengan pengecualian beberapa fitur debugging, versi Rust mengimplementasikan semua fitur implementasi C Binder.
Tolok ukur Rust Binder IPC menunjukkan hasil yang menjanjikan dibandingkan dengan implementasi C Binder, namun pengujian lebih lanjut dengan beban kerja dunia nyata masih perlu dilakukan. Setidaknya dalam benchmark throughput Binder, versi Rust adalah +/- 2% dari versi C.
Itulah berita seputar Google Menulis Ulang Binder Android Berkarat Dengan Hasil Menjanjikan, semoga bermanfaat. Disadur dari Phoronix.com.