A Fehér Ház arra kéri a fejlesztőket, hogy kerüljék a C és C++ nyelvet a "biztonságos" programozási nyelvek javára

У új jelentés A Fehér Házban működő National Cyber ​​​​Director (ONCD) hivatala arra szólította fel a fejlesztőket, hogy használjanak "könnyű programozási nyelveket" - ez a kategória kizárja a népszerű nyelveket. A tanács Biden amerikai elnök kiberbiztonsági stratégiájának részét képezi, és egy lépést jelent "a kibertér építőköveinek védelme" felé.

A szoftverkód nem megfelelő memóriakezelése komoly sebezhetőségekhez vezethet, ami lehetővé teszi a támadók számára, hogy kibertámadásokat hajtsanak végre. Az olyan programozási nyelvek, mint a Java, futásidejű hibaészlelési mechanizmusaik miatt biztonságosnak tekinthetők a memóriakezelés szempontjából. Ezzel szemben a C és a C++ lehetővé teszi a fejlesztők számára, hogy mutatóműveleteket hajtsanak végre, és címeket közvetlenül címezzenek a számítógép memóriájában. Ez magában foglalja az adatok olvasását és írását bármely memóriahelyre, amelyhez mutatón keresztül hozzáférhetnek.

2019-ben biztonsági mérnökök Microsoft arról számolt be, hogy a sérülékenységek mintegy 70%-át memóriabiztonsági problémák okozták. 2020-ban a Google ugyanezt az adatot jelentette, de a Chromium böngészőben talált hibák miatt.

"A szakértők számos programozási nyelvet azonosítottak, amelyek nem csak a memóriabiztonsággal kapcsolatos funkciókat hiányoznak, hanem a kritikus fontosságú rendszerekben is elterjedtek, mint például a C és a C++" - áll a jelentésben. „A memóriabiztos programozási nyelvek kiválasztása az alapoktól kezdve, amint azt a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) nyílt forráskódú szoftverbiztonsági ütemterve is ajánlja, az egyik példa a biztonságos szoftverek fejlesztésére az alapoktól kezdve a” végére”.

A 19 oldalas jelentés célja, hogy a kiberbiztonságért ne kizárólag a magánszemélyeket és a kisvállalkozásokat terhelje a felelősség. Ehelyett a felelősség a nagy szervezeteket, technológiai vállalatokat és végső soron a kormányt terheli.

A jelentés nemcsak a C és C++ problémákra hívja fel a figyelmet, hanem számos alternatívát is kínál - a "memóriabiztos"-ként elismert programozási nyelveket. A Nemzetbiztonsági Ügynökség (NSA) által javasolt nyelvek a következők: Rust, Go, C#, Java, Swift, JavaScript és Ruby. Ezek a nyelvek olyan mechanizmusokat tartalmaznak, amelyek megakadályozzák a gyakori memóriatámadásokat, így növelve a fejlesztés alatt álló rendszerek biztonságát.

Az ONCD arra kéri a vállalatokat és a mérnököket, hogy alkalmazzák a legjobb gyakorlatokat a szoftverfejlesztésben, és használjanak memóriabiztos hardvert, hogy csökkentsék a támadási felületet, amelyen keresztül a támadók támadhatnak. Maga a jelentés nem részletezte, hogy pontosan mi tekinthető memóriabiztos programozási nyelvnek. 2022 novemberében azonban a Nemzetbiztonsági Ügynökség (NSA) kiadta kiberbiztonsági hírlevél, amely olyan programozási nyelveket részletezett, amelyekről azt hitte, hogy memóriabiztosak.

A jelentés a szoftverbiztonság jobb mérésére is felszólít. Az ONCD úgy véli, hogy a jobb mérőszámok lehetővé teszik a technológiai szolgáltatók számára, hogy jobban megtervezzék, előre jelezzék és enyhítsék a sebezhetőségeket, mielőtt azok problémává válnának.

Ez a jelentés a legújabb az Egyesült Államok kormánya által tett lépések sorában. 2023 márciusában Biden elnök aláírta a Cybersecurity Executive Ordert, amely folyamatokat indított el a szoftverek és hardverek védelmére, valamint kapcsolatokat kovácsol a technológiai iparban.

Olvassa el még:

• Microsoft Kínából és Oroszországból származó hackereket fedezett fel, akik a mesterséges intelligencia eszközeit használták
• A Pentagon a Google mesterséges intelligenciáját használta a légicsapások célpontjainak azonosítására