A Casa Branca insta os desenvolvedores a evitarem C e C++ em favor de linguagens de programação “seguras”

У novo relatório O Escritório do Diretor Cibernético Nacional da Casa Branca (ONCD) instou os desenvolvedores a usarem “linguagens de programação leves” – uma categoria que exclui linguagens populares. O conselho faz parte da estratégia de segurança cibernética do presidente dos EUA, Biden, e é um passo em direção à “proteção dos blocos de construção do ciberespaço”.

O gerenciamento inadequado de memória no código de software pode levar a vulnerabilidades graves, permitindo que invasores realizem ataques cibernéticos. Linguagens de programação como Java, devido aos seus mecanismos de detecção de erros em tempo de execução, são consideradas seguras no que diz respeito ao gerenciamento de memória. Em contraste, C e C++ permitem que os desenvolvedores executem operações com ponteiros e enderecem diretamente endereços na memória do computador. Isso inclui ler e gravar dados em qualquer local de memória que eles possam acessar por meio de um ponteiro.

Em 2019, engenheiros de segurança Microsoft relataram que cerca de 70% das vulnerabilidades foram causadas por problemas de segurança de memória. Em 2020, o Google relatou o mesmo número, mas por bugs encontrados no navegador Chromium.

“Especialistas identificaram diversas linguagens de programação que não apenas carecem de recursos relacionados à segurança da memória, mas também são difundidas em sistemas de missão crítica, como C e C++”, disse o relatório. "A escolha de linguagens de programação seguras para memória desde o início, conforme recomendado pelo Roteiro de segurança de software de código aberto da Agência de Segurança Cibernética e de Infraestrutura (CISA), é um exemplo de desenvolvimento de software seguro desde o início até o final de"".

O objetivo do relatório de 19 páginas é garantir que a responsabilidade pela segurança cibernética não cabe apenas aos indivíduos e às pequenas empresas. Em vez disso, a responsabilidade cabe às grandes organizações, às empresas de tecnologia e, em última análise, ao governo.

O relatório não apenas aponta os problemas com C e C++, mas também oferece uma série de alternativas – linguagens de programação reconhecidas como “seguras para a memória”. As linguagens recomendadas pela Agência de Segurança Nacional (NSA) incluem: Rust, Go, C#, Java, Swift, JavaScript e Ruby. Essas linguagens contêm mecanismos que evitam tipos comuns de ataques à memória, aumentando assim a segurança dos sistemas em desenvolvimento.

A ONCD está pedindo às empresas e engenheiros que apliquem as melhores práticas no desenvolvimento de software e usem hardware com memória segura para reduzir a superfície de ataque através da qual os invasores podem atacar. O relatório em si não detalhou o que exatamente é considerado uma linguagem de programação segura para memória. No entanto, em novembro de 2022, a Agência de Segurança Nacional (NSA) divulgou boletim informativo sobre segurança cibernética, que detalhou linguagens de programação que ele acreditava serem seguras para a memória.

O relatório também pede uma melhor medição da segurança do software. A ONCD acredita que melhores métricas permitem que os fornecedores de tecnologia planejem, antecipem e mitiguem melhor as vulnerabilidades antes que elas se tornem um problema.

Este relatório é o mais recente de uma série de medidas tomadas pelo governo dos EUA. Em março de 2023, o Presidente Biden assinou a Ordem Executiva de Cibersegurança, que lançou processos para proteger software e hardware, bem como estreitar laços na indústria tecnológica.

Leia também:

• Microsoft descobriu hackers da China e da Rússia que estavam usando suas ferramentas de IA
• O Pentágono usou a IA do Google para identificar alvos de ataques aéreos