Bijela kuća poziva programere da izbjegavaju C i C++ u korist "sigurnih" programskih jezika

У novi izvještaj Ured Nacionalnog sajber direktora Bijele kuće (ONCD) pozvao je programere da koriste "lake programske jezike" - kategoriju koja isključuje popularne jezike. Savjet je dio strategije kibernetičke sigurnosti američkog predsjednika Bidena i korak je ka "zaštiti građevnih blokova sajber prostora".

Nepravilno upravljanje memorijom u softverskom kodu može dovesti do ozbiljnih ranjivosti, omogućavajući napadačima da izvrše sajber napade. Programski jezici kao što je Java, zbog svojih mehanizama za otkrivanje grešaka u toku rada, smatraju se sigurnima u pogledu upravljanja memorijom. Nasuprot tome, C i C++ dozvoljavaju programerima da izvode operacije pokazivača i direktno adresiraju adrese u memoriji računara. Ovo uključuje čitanje i pisanje podataka na bilo koju memorijsku lokaciju kojoj mogu pristupiti preko pokazivača.

2019. inženjeri sigurnosti Microsoft izvijestili su da je oko 70% ranjivosti uzrokovano problemima sigurnosti memorije. U 2020. godini, Google je objavio istu cifru, ali za greške pronađene u Chromium pretraživaču.

„Stručnjaci su identifikovali nekoliko programskih jezika kojima ne samo da nedostaju funkcije vezane za bezbednost memorije, već su takođe široko rasprostranjeni u sistemima koji su kritični za misiju kao što su C i C++“, navodi se u izveštaju. „Odabir memorijsko sigurnih programskih jezika iz temelja, kao što je preporučeno od strane Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), jedan je primjer razvoja sigurnog softvera od temelja do kraja”“.

Cilj izvještaja od 19 stranica je osigurati da odgovornost za sajber sigurnost ne leži samo na pojedincima i malim preduzećima. Umjesto toga, odgovornost je na velikim organizacijama, tehnološkim kompanijama i na kraju na vladi.

Izveštaj ne samo da ukazuje na probleme sa C i C++, već nudi i brojne alternative – programske jezike koji su prepoznati kao „bezbedni za memoriju“. Jezici koje preporučuje Agencija za nacionalnu sigurnost (NSA) uključuju: Rust, Go, C#, Java, Swift, JavaScript i Ruby. Ovi jezici sadrže mehanizme koji sprečavaju uobičajene vrste napada na memoriju, čime se povećava sigurnost sistema koji se razvija.

ONCD traži od kompanija i inženjera da primjene najbolje prakse u razvoju softvera i koriste hardver koji je siguran u memoriju kako bi smanjili površinu napada kroz koju napadači mogu napasti. Sam izvještaj nije detaljno naveo šta se tačno smatra programskim jezikom koji je siguran u memoriju. Međutim, u novembru 2022. objavila je Agencija za nacionalnu sigurnost (NSA). bilten o sajber sigurnosti, koji detaljno opisuje programske jezike za koje je vjerovao da su sigurni u memoriju.

Izveštaj takođe poziva na bolje merenje bezbednosti softvera. ONCD vjeruje da bolje metrike omogućavaju dobavljačima tehnologije da bolje planiraju, predviđaju i ublaže ranjivosti prije nego što postanu problem.

Ovaj izvještaj je posljednji u nizu koraka koje je poduzela američka vlada. U martu 2023., predsjednik Bajden potpisao je Izvršnu naredbu o kibernetičkoj sigurnosti, kojom su pokrenuti procesi zaštite softvera i hardvera, kao i stvaranje veza u tehnološkoj industriji.

Pročitajte također:

• Microsoft otkrili su hakere iz Kine i Rusije koji su koristili njene AI alate
• Pentagon je koristio Guglov AI za identifikaciju ciljeva za zračne napade