ホワイトハウスは開発者にCとC++を避け、「安全な」プログラミング言語を優先するよう呼び掛けている

У 新しいレポート ホワイトハウス国家サイバー局長室（ONCD）は開発者に対し、人気のある言語を除外するカテゴリーである「軽量プログラミング言語」を使用するよう促した。このアドバイスはバイデン米大統領のサイバーセキュリティ戦略の一環であり、「サイバー空間の構成要素の保護」に向けた一歩となる。

ソフトウェア コードのメモリ管理が不適切だと重大な脆弱性が生じ、攻撃者がサイバー攻撃を実行できる可能性があります。 Java などのプログラミング言語は、その実行時エラー検出メカニズムにより、メモリ管理に関して安全であると考えられています。対照的に、C および C++ を使用すると、開発者はポインター操作を実行し、コンピューター メモリ内のアドレスを直接アドレス指定できます。これには、ポインタを介してアクセスできる任意のメモリ位置へのデータの読み取りおよび書き込みが含まれます。

2019年、安全技術者 Microsoft 脆弱性の約 70% はメモリ セキュリティの問題によって引き起こされていると報告しました。 2020 年に Google は同じ数字を報告しましたが、これは Chromium ブラウザで見つかったバグに関するものでした。

「専門家らは、メモリの安全性に関連する機能が欠けているだけでなく、CやC++などのミッションクリティカルなシステムに広く普及しているいくつかのプログラミング言語を特定した」と報告書は述べている。 「サイバーセキュリティ・インフラストラクチャー・セキュリティ庁 (CISA) のオープンソース ソフトウェア セキュリティ ロードマップで推奨されているように、メモリに安全なプログラミング言語を最初から選択することは、年末までに安全なソフトウェアを最初から開発する一例です。」

19ページの報告書の目的は、サイバーセキュリティに対する責任が個人や中小企業だけに負わないようにすることだ。その代わり、責任は大規模な組織、テクノロジー企業、そして最終的には政府にあります。

このレポートは、C と C++ の問題を指摘するだけでなく、「メモリ安全」と認められるプログラミング言語など、多くの代替案も提供しています。米国家安全保障局 (NSA) が推奨する言語には、Rust、Go、C#、Java、Swift、JavaScript、Ruby などがあります。これらの言語には、一般的なタイプのメモリ攻撃を防ぐメカニズムが含まれているため、開発中のシステムのセキュリティが向上します。

ONCDは企業やエンジニアに対し、ソフトウェア開発のベストプラクティスを適用し、メモリセーフなハードウェアを使用して攻撃者が攻撃できる攻撃対象領域を減らすよう求めている。レポート自体は、正確にメモリセーフなプログラミング言語とみなされるものについては詳しく述べていません。しかし、2022 年 月に国家安全保障局 (NSA) は、 サイバーセキュリティニュースレター、彼がメモリセーフであると信じていたプログラミング言語について詳しく説明しました。

このレポートでは、ソフトウェアのセキュリティの測定を改善することも求められています。 ONCD は、より優れた指標により、テクノロジー プロバイダーが脆弱性が問題になる前に、より適切な計画を立て、予測し、軽減できるようになると考えています。

この報告書は、米国政府が講じた一連の措置の最新のものである。 2023年月、バイデン大統領はソフトウェアとハ​​ードウェアを保護し、テクノロジー業界との関係を強化するプロセスを開始するサイバーセキュリティ大統領令に署名した。

また読む：

• Microsoft AIツールを使用していた中国とロシアのハッカーを発見
• 国防総省はグーグルのAIを利用して空爆の対象を特定した