谷歌安卓团队：Rust代码漏洞密度仅C/C++千分之一，回滚率降低75%

花花

IT之家 11 月 15 日消息，谷歌 Android 团队周四发布了最新报告，称其在系统开发中引入 Rust 所带来的安全性与开发效率提升正在持续显现。

官方数据显示，2025 年 Android 内存安全类漏洞占比首次降至全部漏洞的 20% 以下。

据介绍，目前 Android 平台约有 500 万行 Rust 代码，出现 1 个在发布前修复的潜在内存安全问题，对应的漏洞密度为每百万行 0.2 个；相比之下，其 C/C++ 历史数据约为每百万行 1000 个。

报告指出，Rust 原本因其内存安全特性被引入 Android，但实际效果超出预期：Rust 代码的回滚率仅有 C++ 的四分之一，且代码审查耗时减少约 25%。

Android 团队表示，对比基于系统编程语言（IT之家注：不含 Java 与 Kotlin）的数据，Rust 的使用量快速增长，而新 C++ 代码量呈持续下降趋势。

在软件交付方面，Android 使用 DORA 评估框架衡量软件开发效率。结果显示，Rust 提交的代码修改需要的审查轮次更少，自 2023 年起这一趋势持续稳定；与此同时，Rust 的低回滚率也提升了整体交付速度，避免大量返工、重新构建与额外审查等组织性成本。

在安全上，Google 表示正在扩大 Rust 的应用范围，包括：

Android 团队也披露了首个“几乎发生”的 Rust 内存安全漏洞（CVE-2025-48530），这是出现在 CrabbyAVIF 组件中的线性缓冲区溢出。

由于 Android 默认的 Scudo 加固分配器使用保护页（guard pages），漏洞未进入公开版本。报告指出，Scudo 能将溢出从静默损坏变成可检测的崩溃，促成及时修复。Google 表示已改善相关崩溃报告机制，以便未来更快识别原因。

报告显示，过去安全改进常需牺牲性能或增加流程成本，而 Rust 带来的是一种“更安全也更高效”的路径，使 Android 可以“在提升速度的同时修复问题”，改善产品稳定性与开发效率。