ตั้งแต่วันที่ 27 มีนาคม 2025 เป็นต้นไป เราขอแนะนำให้ใช้ android-latest-release แทน aosp-main เพื่อสร้างและมีส่วนร่วมใน AOSP โปรดดูข้อมูลเพิ่มเติมที่หัวข้อการเปลี่ยนแปลงใน AOSP

หน้านี้ได้รับการแปลโดย Cloud Translation API

Scudo

Scudo เป็นตัวจัดสรรหน่วยความจำแบบไดนามิกในโหมดผู้ใช้หรือตัวจัดสรรกองที่ออกแบบมาเพื่อรับมือกับช่องโหว่ที่เกี่ยวข้องกับกอง (เช่น บัฟเฟอร์ที่อิงตามกองที่ล้น การใช้หลังจากมีการเรียกคืน และการเรียกคืนซ้ำ) ขณะเดียวกันก็รักษาประสิทธิภาพไว้ โดยจะมีฟังก์ชันพื้นฐานสำหรับการจองและการยกเลิกการจองหน่วยความจำของ C (เช่น malloc และ free) รวมถึงฟังก์ชันพื้นฐานของ C++ (เช่น new และ delete)

Scudo เป็นการบรรเทามากกว่าเครื่องตรวจหาข้อผิดพลาดด้านหน่วยความจำที่สมบูรณ์แบบอย่าง AddressSanitizer (ASan)

ตั้งแต่ Android 11 เป็นต้นไป ระบบจะใช้ scudo สำหรับโค้ดเนทีฟทั้งหมด (ยกเว้นในอุปกรณ์ที่มีหน่วยความจำต่ำซึ่งยังคงใช้ jemalloc) ขณะรันไทม์ Scudo จะจัดการการจัดสรรและการจัดสรรใหม่ของฮีปแบบเนทีฟทั้งหมดสําหรับไฟล์ปฏิบัติการและไลบรารีที่เกี่ยวข้องทั้งหมด และกระบวนการจะหยุดลงหากตรวจพบความเสียหายหรือลักษณะการทำงานที่น่าสงสัยในฮีป

Scudo เป็น โครงการโอเพนซอร์สและเป็นส่วนหนึ่งของโปรเจ็กต์ compiler-rt ของ LLVM ดูเอกสารประกอบได้ที่ https://llvm.org/docs/ScudoHardenedAllocator.html รันไทม์ Scudo จะมาพร้อมกับชุดเครื่องมือของ Android และมีการเพิ่มการรองรับใน Soong และ Make เพื่อให้เปิดใช้ตัวจัดสรรในไบนารีได้ง่าย

คุณสามารถเปิดหรือปิดใช้การบรรเทาเพิ่มเติมภายในตัวจัดสรรได้โดยใช้ตัวเลือกที่อธิบายไว้ด้านล่าง

การปรับแต่ง

คุณกำหนดพารามิเตอร์บางอย่างของผู้จัดสรรตามกระบวนการได้หลายวิธี ดังนี้

แบบคงที่: กำหนดฟังก์ชัน __scudo_default_options ในโปรแกรมที่จะแสดงผลสตริงตัวเลือกที่จะแยกวิเคราะห์ ฟังก์ชันนี้ต้องมีโปรโตไทป์ต่อไปนี้ extern "C" const char *__scudo_default_options()
แบบไดนามิก: ใช้ตัวแปรสภาพแวดล้อม SCUDO_OPTIONS ที่มีสตริงตัวเลือกที่จะแยกวิเคราะห์ ตัวเลือกที่กําหนดด้วยวิธีนี้จะลบล้างคําจํากัดความที่กําหนดผ่าน __scudo_default_options

โดยมีตัวเลือกต่อไปนี้

ตัวเลือก	ค่าเริ่มต้น 64 บิต	ค่าเริ่มต้น 32 บิต	คำอธิบาย
`QuarantineSizeKb`	`256`	`64`	ขนาด (เป็น KB) ของการกักกันที่ใช้เพื่อเลื่อนเวลาการจัดสรรหน่วยข้อมูลจริง ค่าที่ต่ำลงอาจลดการใช้หน่วยความจํา แต่ประสิทธิภาพของการบรรเทาก็ลดลงด้วย ค่าติดลบจะกลับไปใช้ค่าเริ่มต้น การตั้งค่าทั้งค่านี้และ `ThreadLocalQuarantineSizeKb` เป็น 0 จะปิดใช้การกักเก็บโดยสมบูรณ์
`QuarantineChunksUpToSize`	`2048`	`512`	ขนาด (เป็นไบต์) สูงสุดของข้อมูลที่จะแยกออกได้
`ThreadLocalQuarantineSizeKb`	`64`	`16`	ขนาด (เป็น KB) ของการใช้แคชต่อเธรดเพื่อลดภาระการกักเก็บข้อมูลทั่วโลก ค่าที่ต่ำลงอาจลดการใช้หน่วยความจํา แต่อาจเพิ่มการแย่งชิงในกักเก็บทั่วโลก การตั้งค่าทั้ง 2 รายการนี้และ `QuarantineSizeKb` เป็น 0 จะปิดใช้การกักเก็บโดยสมบูรณ์
`DeallocationTypeMismatch`	`false`	`false`	เปิดใช้การรายงานข้อผิดพลาดเกี่ยวกับ malloc/delete, new/free, new/delete[]
`DeleteSizeMismatch`	`true`	`true`	เปิดใช้การรายงานข้อผิดพลาดเกี่ยวกับขนาดของรายการใหม่และรายการที่ลบไม่ตรงกัน
`ZeroContents`	`false`	`false`	เปิดใช้เนื้อหากลุ่ม 0 ในการจองและการยกเลิกการจอง
`allocator_may_return_null`	`false`	`false`	ระบุว่าตัวจัดสรรสามารถแสดงผลเป็นค่า Null ได้เมื่อเกิดข้อผิดพลาดที่กู้คืนได้ แทนที่จะสิ้นสุดกระบวนการ
`hard_rss_limit_mb`	`0`	`0`	เมื่อ RSS ของกระบวนการถึงขีดจำกัดนี้ กระบวนการก็จะสิ้นสุดลง
`soft_rss_limit_mb`	`0`	`0`	เมื่อ RSS ของกระบวนการถึงขีดจํากัดนี้ การจัดสรรเพิ่มเติมจะไม่สําเร็จหรือแสดงผลเป็น `null` (ขึ้นอยู่กับค่าของ `allocator_may_return_null`) จนกว่า RSS จะลดลงเพื่อให้จัดสรรใหม่ได้
`allocator_release_to_os_interval_ms`	`5000`	ไม่มี	มีผลต่อตัวจัดสรรแบบ 64 บิตเท่านั้น หากตั้งค่าไว้ ระบบจะพยายามปล่อยหน่วยความจำที่ไม่ได้ใช้ให้กับระบบปฏิบัติการ แต่ไม่เกินช่วงเวลานี้ (เป็นมิลลิวินาที) หากค่าเป็นลบ ระบบจะไม่คืนหน่วยความจำให้กับระบบปฏิบัติการ
`abort_on_error`	`true`	`true`	หากตั้งค่าไว้ เครื่องมือจะเรียกใช้ `abort()` แทน `_exit()`หลังจากพิมพ์ข้อความแสดงข้อผิดพลาด

การตรวจสอบความถูกต้อง

ปัจจุบันยังไม่มีการทดสอบ CTS สำหรับ Scudo โดยเฉพาะ แต่ให้ตรวจสอบว่าไบนารีหนึ่งๆ ผ่านการทดสอบ CTS ไม่ว่าจะเปิดใช้ Scudo หรือไม่ เพื่อยืนยันว่าไม่ส่งผลต่ออุปกรณ์

การแก้ปัญหา

หากตรวจพบปัญหาที่กู้คืนไม่ได้ ผู้จัดสรรจะแสดงข้อความแสดงข้อผิดพลาดต่อตัวบ่งชี้ข้อผิดพลาดมาตรฐาน จากนั้นจะสิ้นสุดกระบวนการ ระบบจะเพิ่มสแต็กเทรซที่ทําให้เกิดการสิ้นสุดลงในบันทึกของระบบ โดยปกติเอาต์พุตจะขึ้นต้นด้วย Scudo ERROR: ตามด้วยสรุปสั้นๆ ของปัญหาพร้อมคำแนะนำ

ต่อไปนี้คือรายการข้อความแสดงข้อผิดพลาดในปัจจุบันและสาเหตุที่เป็นไปได้

corrupted chunk header: การตรวจสอบ checksum ของส่วนหัวของข้อมูลโค้ดไม่สำเร็จ ปัญหานี้อาจเกิดจากสาเหตุอย่างใดอย่างหนึ่งต่อไปนี้ มีการเขียนทับส่วนหัว (บางส่วนหรือทั้งหมด) หรือตัวชี้ที่ส่งไปยังฟังก์ชันไม่ใช่กลุ่ม
race on chunk header: มี 2 เทรดพยายามที่จะดัดแปลงส่วนหัวเดียวกันในเวลาเดียวกัน โดยทั่วไปแล้ว อาการนี้แสดงถึงเงื่อนไขการแข่งขันหรือการล็อกทั่วไปไม่เพียงพอเมื่อดำเนินการกับข้อมูลดังกล่าว
invalid chunk state: ข้อมูลไม่ได้อยู่ในสถานะที่คาดไว้สําหรับการดำเนินการหนึ่งๆ เช่น ไม่ได้จัดสรรเมื่อพยายามเพิ่มพื้นที่ว่าง หรือไม่ได้กักเก็บเมื่อพยายามรีไซเคิล สาเหตุที่พบบ่อยของข้อผิดพลาดนี้คือการใช้หน่วยความจำซ้ำ
misaligned pointer: ระบบจะบังคับใช้ข้อกำหนดการจัดแนวพื้นฐานอย่างเข้มงวด โดยกำหนดให้มีขนาด 8 ไบต์บนแพลตฟอร์ม 32 บิตและ 16 ไบต์บนแพลตฟอร์ม 64 บิต หากเคอร์เซอร์ที่ส่งไปยังฟังก์ชันของเราไม่ตรงกับเคอร์เซอร์เหล่านั้น แสดงว่าเคอร์เซอร์ที่ส่งไปยังฟังก์ชันใดฟังก์ชันหนึ่งไม่สอดคล้องกัน
allocation type mismatch: เมื่อเปิดใช้ตัวเลือกนี้ ฟังก์ชันการจัดสรรหน่วยความจำใหม่ซึ่งเรียกใช้กับข้อมูลโค้ดต้องตรงกับประเภทของฟังก์ชันที่เรียกใช้เพื่อจัดสรรหน่วยความจำ ความไม่ตรงกันประเภทนี้อาจทำให้เกิดปัญหาด้านความปลอดภัย
invalid sized delete: เมื่อใช้โอเปอเรเตอร์ลบขนาด C++14 และเปิดใช้การตรวจสอบที่ไม่บังคับ ขนาดที่ส่งเมื่อจัดสรรพื้นที่ใหม่ให้กับกลุ่มจะไม่ตรงกับขนาดที่ขอเมื่อจัดสรรพื้นที่ใหม่ให้กับกลุ่ม โดยทั่วไปแล้วปัญหานี้เกิดจากคอมไพเลอร์หรือความสับสนเกี่ยวกับประเภทของออบเจ็กต์ที่กำลังจะยกเลิกการจัดสรร
RSS limit exhausted: เกินจำนวน RSS สูงสุดที่ระบุไว้ (ไม่บังคับ)

หากกำลังแก้ไขข้อขัดข้องในระบบปฏิบัติการเอง คุณสามารถใช้บิลด์ HWASan OS หากกำลังแก้ไขข้อขัดข้องในแอป คุณก็ใช้บิลด์แอป HWASan ได้ด้วย