У ny rapport Det Hvide Hus Office of the National Cyber Director (ONCD) opfordrede udviklere til at bruge "lette programmeringssprog" - en kategori, der udelukker populære sprog. Rådgivningen er en del af den amerikanske præsident Bidens cybersikkerhedsstrategi og er et skridt i retning af at "beskytte byggestenene i cyberspace."
Forkert hukommelsesstyring i softwarekode kan føre til alvorlige sårbarheder, hvilket gør det muligt for angribere at udføre cyberangreb. Programmeringssprog som Java, på grund af deres runtime fejldetektionsmekanismer, anses for sikre med hensyn til hukommelsesstyring. I modsætning hertil tillader C og C++ udviklere at udføre markøroperationer og adressere adresser direkte i computerens hukommelse. Dette inkluderer læsning og skrivning af data til enhver hukommelsesplacering, de kan få adgang til via en markør.
I 2019 sikkerhedsingeniører Microsoft rapporterede, at omkring 70 % af sårbarhederne var forårsaget af hukommelsessikkerhedsproblemer. I 2020 rapporterede Google det samme tal, men for fejl fundet i Chromium-browseren.
"Eksperter har identificeret adskillige programmeringssprog, der ikke kun mangler funktioner relateret til hukommelsessikkerhed, men også er udbredt i missionskritiske systemer som C og C++," hedder det i rapporten. "Valg af hukommelsessikre programmeringssprog fra bunden, som anbefalet af Cybersecurity and Infrastructure Security Agency (CISA) Open Source Software Security Roadmap, er et eksempel på udvikling af sikker software fra bunden ved udgangen af"".
Formålet med den 19 sider lange rapport er at sikre, at ansvaret for cybersikkerhed ikke alene ligger hos enkeltpersoner og små virksomheder. I stedet ligger ansvaret hos store organisationer, teknologivirksomheder og i sidste ende regeringen.
Rapporten påpeger ikke kun problemerne med C og C++, men tilbyder også en række alternativer - programmeringssprog, der er anerkendt som "hukommelsessikre". Sprog anbefalet af National Security Agency (NSA) inkluderer: Rust, Go, C#, Java, Swift, JavaScript og Ruby. Disse sprog indeholder mekanismer, der forhindrer almindelige typer hukommelsesangreb og dermed øger sikkerheden for de systemer, der udvikles.
ONCD beder virksomheder og ingeniører om at anvende bedste praksis inden for softwareudvikling og bruge hukommelsessikker hardware til at reducere angrebsfladen, hvorigennem angribere kan angribe. Selve rapporten beskrev ikke, hvad der præcist betragtes som et hukommelsessikkert programmeringssprog. I november 2022 frigav National Security Agency (NSA) dog nyhedsbrev om cybersikkerhed, som detaljerede programmeringssprog, som han mente var hukommelsessikre.
Rapporten efterlyser også bedre måling af softwaresikkerhed. ONCD mener, at bedre målinger gør det muligt for teknologiudbydere bedre at planlægge, forudse og afbøde sårbarheder, før de bliver et problem.
Denne rapport er den seneste i rækken af skridt taget af den amerikanske regering. I marts 2023 underskrev præsident Biden Cybersecurity Executive Order, som lancerede processer til at beskytte software og hardware samt skabe bånd i teknologiindustrien.
Læs også:
C++ vil altid være i top på grund af dets evne til at optimere. Og hukommelsessikkerhed er ikke en fejl, men en funktion
Ficha huicha
"Så forvekslede jeg en ret vinkel... (c)" :))
"National Security Agency (NSA) anbefalede sprog inkluderer: Rust, Go, C#, Java, Swift, JavaScript og Ruby."
Biden drukner i java, det er klart...
Vigtige strategiske spørgsmål tages hånd om...
Vi mangler stadig at arrangere en briefing"Android vs iOS".
1. Hvor i verden lærte du om Java? Rust er også angivet der.
2. Jeg forstår ikke sarkasme, nu er der virkelig et problem med utæt software, især hvis det er en form for arv, og en kombination, hvis det er skrevet på en underkontrakt med nogen.
1. I kilden – ctrl+F “Java”
2. Det er rent ukrainsk sarkasme, for at forstå, om du skal programmere et sted i Kharkiv, for eksempel, eller i Kupyansk.
1 - nej, den primære kilde er det første link i indlægget (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
faktisk er skærmbilledet derfra.
Det viser sig, at THD lavede en fejl, og du tog den og oversatte den.
2 - forstod ikke.
Lad os prøve at finde ud af det. Tak for din opmærksomhed.
Det Hvide Hus vil ændre sig, men C++ forbliver