Vita huset uppmanar utvecklare att undvika C och C++ till förmån för "säkra" programmeringsspråk

У ny rapport Vita husets kontor för National Cyber ​​​​Director (ONCD) uppmanade utvecklare att använda "lätta programmeringsspråk" - en kategori som utesluter populära språk. Råden är en del av USA:s president Bidens cybersäkerhetsstrategi och är ett steg mot att "skydda byggstenarna i cyberrymden."

Felaktig minneshantering i programvarukod kan leda till allvarliga sårbarheter, vilket gör att angripare kan utföra cyberattacker. Programmeringsspråk som Java, på grund av deras mekanismer för upptäckt av runtime-fel, anses vara säkra med avseende på minneshantering. Däremot tillåter C och C++ utvecklare att utföra pekoperationer och adressera adresser direkt i datorns minne. Detta inkluderar att läsa och skriva data till vilken minnesplats de kan komma åt via en pekare.

2019, säkerhetsingenjörer Microsoft rapporterade att cirka 70 % av sårbarheterna orsakades av minnessäkerhetsproblem. 2020 rapporterade Google samma siffra, men för buggar som hittats i Chromium-webbläsaren.

"Experter har identifierat flera programmeringsspråk som inte bara saknar funktioner relaterade till minnessäkerhet, utan också är utbredda i verksamhetskritiska system som C och C++", står det i rapporten. "Att välja minnessäkra programmeringsspråk från grunden, som rekommenderas av Cybersecurity and Infrastructure Security Agency (CISA) Open Source Software Security Roadmap, är ett exempel på att utveckla säker programvara från grunden i slutet av"".

Syftet med den 19 sidor långa rapporten är att säkerställa att ansvaret för cybersäkerhet inte enbart ligger hos privatpersoner och småföretag. Ansvaret vilar istället på stora organisationer, teknikföretag och i slutändan regeringen.

Rapporten pekar inte bara på problemen med C och C++, utan erbjuder också ett antal alternativ - programmeringsspråk som känns igen som "minnessäkra". Språk som rekommenderas av National Security Agency (NSA) inkluderar: Rust, Go, C#, Java, Swift, JavaScript och Ruby. Dessa språk innehåller mekanismer som förhindrar vanliga typer av minnesattacker, vilket ökar säkerheten för de system som utvecklas.

ONCD ber företag och ingenjörer att tillämpa bästa praxis inom mjukvaruutveckling och använda minnessäker hårdvara för att minska attackytan genom vilken angripare kan attackera. Rapporten i sig beskrev inte exakt vad som anses vara ett minnessäkert programmeringsspråk. Men i november 2022 släppte National Security Agency (NSA). nyhetsbrev om cybersäkerhet, som detaljerade programmeringsspråk som han trodde var minnessäkra.

Rapporten efterlyser också bättre mätning av mjukvarusäkerhet. ONCD anser att bättre mätvärden gör det möjligt för teknikleverantörer att bättre planera, förutse och mildra sårbarheter innan de blir ett problem.

Denna rapport är den senaste i en rad åtgärder som den amerikanska regeringen har tagit. I mars 2023 undertecknade president Biden Cybersecurity Executive Order, som lanserade processer för att skydda mjukvara och hårdvara, samt knyta band i teknikindustrin.

Läs också:

• Microsoft upptäckte hackare från Kina och Ryssland som använde dess AI-verktyg
• Pentagon använde Googles AI för att identifiera mål för flyganfall