Det Hvide Hus opfordrer udviklere til at undgå C og C++ til fordel for "sikre" programmeringssprog

У ny rapport Det Hvide Hus Office of the National Cyber ​​​​Director (ONCD) opfordrede udviklere til at bruge "lette programmeringssprog" - en kategori, der udelukker populære sprog. Rådgivningen er en del af den amerikanske præsident Bidens cybersikkerhedsstrategi og er et skridt i retning af at "beskytte byggestenene i cyberspace."

Forkert hukommelsesstyring i softwarekode kan føre til alvorlige sårbarheder, hvilket gør det muligt for angribere at udføre cyberangreb. Programmeringssprog som Java, på grund af deres runtime fejldetektionsmekanismer, anses for sikre med hensyn til hukommelsesstyring. I modsætning hertil tillader C og C++ udviklere at udføre markøroperationer og adressere adresser direkte i computerens hukommelse. Dette inkluderer læsning og skrivning af data til enhver hukommelsesplacering, de kan få adgang til via en markør.

I 2019 sikkerhedsingeniører Microsoft rapporterede, at omkring 70 % af sårbarhederne var forårsaget af hukommelsessikkerhedsproblemer. I 2020 rapporterede Google det samme tal, men for fejl fundet i Chromium-browseren.

"Eksperter har identificeret adskillige programmeringssprog, der ikke kun mangler funktioner relateret til hukommelsessikkerhed, men også er udbredt i missionskritiske systemer som C og C++," hedder det i rapporten. "Valg af hukommelsessikre programmeringssprog fra bunden, som anbefalet af Cybersecurity and Infrastructure Security Agency (CISA) Open Source Software Security Roadmap, er et eksempel på udvikling af sikker software fra bunden ved udgangen af"".

Formålet med den 19 sider lange rapport er at sikre, at ansvaret for cybersikkerhed ikke alene ligger hos enkeltpersoner og små virksomheder. I stedet ligger ansvaret hos store organisationer, teknologivirksomheder og i sidste ende regeringen.

Rapporten påpeger ikke kun problemerne med C og C++, men tilbyder også en række alternativer - programmeringssprog, der er anerkendt som "hukommelsessikre". Sprog anbefalet af National Security Agency (NSA) inkluderer: Rust, Go, C#, Java, Swift, JavaScript og Ruby. Disse sprog indeholder mekanismer, der forhindrer almindelige typer hukommelsesangreb og dermed øger sikkerheden for de systemer, der udvikles.

ONCD beder virksomheder og ingeniører om at anvende bedste praksis inden for softwareudvikling og bruge hukommelsessikker hardware til at reducere angrebsfladen, hvorigennem angribere kan angribe. Selve rapporten beskrev ikke, hvad der præcist betragtes som et hukommelsessikkert programmeringssprog. I november 2022 frigav National Security Agency (NSA) dog nyhedsbrev om cybersikkerhed, som detaljerede programmeringssprog, som han mente var hukommelsessikre.

Rapporten efterlyser også bedre måling af softwaresikkerhed. ONCD mener, at bedre målinger gør det muligt for teknologiudbydere bedre at planlægge, forudse og afbøde sårbarheder, før de bliver et problem.

Denne rapport er den seneste i rækken af ​​skridt taget af den amerikanske regering. I marts 2023 underskrev præsident Biden Cybersecurity Executive Order, som lancerede processer til at beskytte software og hardware samt skabe bånd i teknologiindustrien.

Læs også:

• Microsoft opdagede hackere fra Kina og Rusland, der brugte deres AI-værktøjer
• Pentagon brugte Googles AI til at identificere mål for luftangreb