Белата куќа ги повикува програмерите да избегнуваат C и C++ во корист на „безбедни“ програмски јазици

У нов извештај Канцеларијата на Националниот сајбер директор на Белата куќа (ONCD) ги повика програмерите да користат „лесни програмски јазици“ - категорија што ги исклучува популарните јазици. Советите се дел од стратегијата за сајбер безбедност на американскиот претседател Бајден и се чекор кон „заштита на градежните блокови на сајбер просторот“.

Неправилното управување со меморијата во софтверскиот код може да доведе до сериозни пропусти, дозволувајќи им на напаѓачите да вршат сајбер напади. Програмските јазици како што е Java, поради механизмите за откривање грешки при извршување, се сметаат за безбедни во однос на управувањето со меморијата. Спротивно на тоа, C и C++ им дозволуваат на програмерите да вршат операции со покажувачот и директно да адресираат адреси во компјутерската меморија. Ова вклучува читање и пишување податоци на која било мемориска локација до која можат да пристапат преку покажувач.

Во 2019 година инженери за безбедност Microsoft објавија дека околу 70% од пропустите се предизвикани од безбедносни проблеми со меморијата. Во 2020 година, Google ја пријави истата бројка, но за грешки пронајдени во прелистувачот Chromium.

„Експертите идентификуваа неколку програмски јазици на кои не само што им недостасуваат карактеристики поврзани со безбедноста на меморијата, туку се и широко распространети во системите кои се клучни за мисијата, како што се C и C++“, се вели во извештајот. „Изборот на програмски јазици безбедни за меморија од почеток, како што е препорачано од патоказот за безбедност на софтвер со отворен код на Агенцијата за сајбер-безбедност и инфраструктура (CISA), е еден пример за развој на безбеден софтвер од основата до крајот на““.

Целта на извештајот од 19 страници е да се осигура дека одговорноста за сајбер безбедноста не лежи само на поединци и мали бизниси. Наместо тоа, одговорноста е на големите организации, технолошки компании и на крајот на владата.

Извештајот не само што укажува на проблемите со C и C++, туку нуди и голем број алтернативи - програмски јазици признати како „безбедни за меморија“. Јазиците препорачани од Агенцијата за национална безбедност (NSA) вклучуваат: Rust, Go, C#, Java, Swift, JavaScript и Ruby. Овие јазици содржат механизми кои спречуваат вообичаени типови на мемориски напади, со што се зголемува безбедноста на системите што се развиваат.

ONCD бара од компаниите и инженерите да ги применат најдобрите практики во развојот на софтвер и да користат хардвер безбеден за меморија за да ја намалат површината на нападот преку која напаѓачите можат да нападнат. Самиот извештај не детализираше што точно се смета за програмски јазик безбеден за меморија. Меѓутоа, во ноември 2022 година, Агенцијата за национална безбедност (НСА) објави билтен за сајбер безбедност, кои ги детализираа програмските јазици за кои тој веруваше дека се безбедни за меморија.

Во извештајот се повикува и на подобро мерење на безбедноста на софтверот. ONCD верува дека подобрите метрики им овозможуваат на давателите на технологија подобро да планираат, предвидуваат и ублажуваат ранливости пред тие да станат проблем.

Овој извештај е последен во низата чекори преземени од американската влада. Во март 2023 година, претседателот Бајден го потпиша Извршниот налог за сајбер безбедност, со кој започна процеси за заштита на софтверот и хардверот, како и за создавање врски во технолошката индустрија.

Прочитајте исто така:

• Microsoft откриле хакери од Кина и Русија кои ги користеле нејзините алатки за вештачка интелигенција
• Пентагон користеше вештачка интелигенција на Google за да ги идентификува целите за воздушни напади