Ağ Ev tərtibatçıları "təhlükəsiz" proqramlaşdırma dillərinin xeyrinə C və C++ dillərindən qaçmağa çağırır

У yeni hesabat Ağ Ev Milli Kiber Direktorunun Ofisi (ONCD) tərtibatçıları populyar dilləri istisna edən "yüngül proqramlaşdırma dillərindən" istifadə etməyə çağırdı. Məsləhət ABŞ prezidenti Baydenin kibertəhlükəsizlik strategiyasının bir hissəsidir və “kiberməkanın tikinti bloklarının qorunmasına” doğru bir addımdır.

Proqram kodunda yaddaşın düzgün idarə edilməməsi təcavüzkarlara kiberhücumlar həyata keçirməyə imkan verən ciddi boşluqlara səbəb ola bilər. Java kimi proqramlaşdırma dilləri, işləmə zamanı səhvlərinin aşkarlanması mexanizmlərinə görə yaddaşın idarə edilməsi baxımından təhlükəsiz hesab olunur. Bunun əksinə olaraq, C və C++ tərtibatçılara göstərici əməliyyatlarını yerinə yetirməyə və kompüter yaddaşında ünvanları birbaşa ünvanlamağa imkan verir. Buraya verilənlərin göstərici vasitəsilə daxil ola bildikləri istənilən yaddaş yerinə oxumaq və yazmaq daxildir.

2019-cu ildə təhlükəsizlik mühəndisləri Microsoft Zəifliklərin təxminən 70%-nin yaddaş təhlükəsizliyi problemlərindən qaynaqlandığını bildirdi. 2020-ci ildə Google eyni rəqəmi bildirdi, lakin Chromium brauzerində aşkar edilən səhvlər üçün.

"Mütəxəssislər nəinki yaddaş təhlükəsizliyi ilə bağlı xüsusiyyətləri olmayan, həm də C və C++ kimi kritik sistemlərdə geniş yayılmış bir neçə proqramlaşdırma dilini müəyyən ediblər", - hesabatda deyilir. "Kibertəhlükəsizlik və İnfrastruktur Təhlükəsizliyi Agentliyinin (CISA) Açıq Mənbəli Proqram Təhlükəsizliyi Yol Xəritəsi tərəfindən tövsiyə edildiyi kimi, yaddaş üçün təhlükəsiz proqramlaşdırma dillərinin sıfırdan seçilməsi bu ilin sonuna qədər təhlükəsiz proqram təminatının sıfırdan hazırlanmasının bir nümunəsidir".

19 səhifəlik hesabatın məqsədi kibertəhlükəsizliyə görə məsuliyyətin təkcə fərdlərin və kiçik müəssisələrin üzərinə düşməməsini təmin etməkdir. Bunun əvəzinə məsuliyyət böyük təşkilatların, texnologiya şirkətlərinin və son nəticədə hökumətin üzərinə düşür.

Hesabat yalnız C və C++ ilə bağlı problemləri qeyd etmir, həm də bir sıra alternativlər - "yaddaş üçün təhlükəsiz" kimi tanınan proqramlaşdırma dilləri təklif edir. Milli Təhlükəsizlik Agentliyi (NSA) tərəfindən tövsiyə edilən dillərə daxildir: Rust, Go, C#, Java, Swift, JavaScript və Ruby. Bu dillər yaddaş hücumlarının ümumi növlərinin qarşısını alan mexanizmləri ehtiva edir və bununla da inkişaf etdirilən sistemlərin təhlükəsizliyini artırır.

ONCD şirkətlərdən və mühəndislərdən proqram təminatının hazırlanmasında ən yaxşı təcrübələri tətbiq etməyi və təcavüzkarların hücum edə biləcəyi hücum səthini azaltmaq üçün yaddaş üçün təhlükəsiz aparatdan istifadə etməyi xahiş edir. Hesabatın özündə yaddaş üçün təhlükəsiz proqramlaşdırma dili hesab olunanların təfərrüatları açıqlanmayıb. Ancaq 2022-ci ilin noyabrında Milli Təhlükəsizlik Agentliyi (NSA) azad etdi kibertəhlükəsizlik bülleteni, yaddaş üçün təhlükəsiz olduğuna inandığı proqramlaşdırma dillərini ətraflı izah etdi.

Hesabat həmçinin proqram təminatının təhlükəsizliyinin daha yaxşı ölçülməsinə çağırır. ONCD hesab edir ki, daha yaxşı ölçülər texnologiya təminatçılarına zəiflikləri problemə çevrilməzdən əvvəl daha yaxşı planlaşdırmağa, qabaqcadan görməyə və azaltmağa imkan verir.

Bu hesabat ABŞ hökumətinin atdığı addımların sonuncusudur. 2023-cü ilin martında Prezident Bayden proqram təminatı və aparat təminatının qorunması, eləcə də texnologiya sənayesində əlaqələri gücləndirmək üçün prosesləri işə salan Kibertəhlükəsizlik Sərəncamını imzaladı.

Həmçinin oxuyun:

• Microsoft AI alətlərindən istifadə edərək Çin və Rusiyadan olan hakerləri aşkar etdi
• Pentaqon hava hücumları üçün hədəfləri müəyyən etmək üçün Google-un süni intellektindən istifadə edib