ทำเนียบขาวเรียกร้องให้นักพัฒนาหลีกเลี่ยงภาษา C และ C++ หันไปใช้ภาษาโปรแกรมที่ "ปลอดภัย"

У รายงานใหม่ สำนักงานทำเนียบขาวของผู้อำนวยการไซเบอร์แห่งชาติ (ONCD) กระตุ้นให้นักพัฒนาใช้ "ภาษาโปรแกรมน้ำหนักเบา" ซึ่งเป็นหมวดหมู่ที่ไม่รวมภาษายอดนิยม คำแนะนำดังกล่าวเป็นส่วนหนึ่งของกลยุทธ์ความปลอดภัยทางไซเบอร์ของประธานาธิบดีไบเดนแห่งสหรัฐอเมริกา และเป็นก้าวหนึ่งในการ "ปกป้องหน่วยการสร้างของไซเบอร์สเปซ"

การจัดการหน่วยความจำที่ไม่เหมาะสมในโค้ดซอฟต์แวร์อาจทำให้เกิดช่องโหว่ร้ายแรง ทำให้ผู้โจมตีสามารถโจมตีทางไซเบอร์ได้ ภาษาการเขียนโปรแกรมเช่น Java เนื่องจากกลไกการตรวจจับข้อผิดพลาดรันไทม์ถือว่าปลอดภัยเมื่อเทียบกับการจัดการหน่วยความจำ ในทางตรงกันข้าม C และ C++ ช่วยให้นักพัฒนาสามารถดำเนินการกับตัวชี้และระบุที่อยู่ในหน่วยความจำคอมพิวเตอร์ได้โดยตรง ซึ่งรวมถึงการอ่านและเขียนข้อมูลไปยังตำแหน่งหน่วยความจำใดๆ ที่สามารถเข้าถึงได้ผ่านพอยน์เตอร์

ในปี 2019 วิศวกรด้านความปลอดภัย Microsoft รายงานว่าประมาณ 70% ของช่องโหว่มีสาเหตุมาจากปัญหาความปลอดภัยของหน่วยความจำ ในปี 2020 Google รายงานตัวเลขเดียวกันแต่สำหรับข้อบกพร่องที่พบในเบราว์เซอร์ Chromium

“ผู้เชี่ยวชาญได้ระบุภาษาการเขียนโปรแกรมหลายภาษาที่ไม่เพียงแต่ขาดคุณสมบัติที่เกี่ยวข้องกับความปลอดภัยของหน่วยความจำ แต่ยังแพร่หลายในระบบที่มีความสำคัญต่อภารกิจเช่น C และ C++” รายงานกล่าว "การเลือกภาษาการเขียนโปรแกรมที่ปลอดภัยสำหรับหน่วยความจำตั้งแต่เริ่มต้น ตามที่แนะนำโดยแผนงานด้านความปลอดภัยของซอฟต์แวร์โอเพนซอร์สและความปลอดภัยทางไซเบอร์ (CISA) ของหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) เป็นตัวอย่างหนึ่งของการพัฒนาซอฟต์แวร์ที่ปลอดภัยตั้งแต่ต้นจนจบเมื่อสิ้นสุด""

จุดมุ่งหมายของรายงาน 19 หน้าคือเพื่อให้แน่ใจว่าความรับผิดชอบด้านความปลอดภัยทางไซเบอร์ไม่ได้อยู่เฉพาะกับบุคคลและธุรกิจขนาดเล็กเท่านั้น แต่ความรับผิดชอบตกอยู่กับองค์กรขนาดใหญ่ บริษัทเทคโนโลยี และรัฐบาลในที่สุด

รายงานไม่เพียงชี้ให้เห็นถึงปัญหาของ C และ C++ เท่านั้น แต่ยังเสนอทางเลือกอีกมากมาย - ภาษาโปรแกรมที่ได้รับการยอมรับว่าเป็น "หน่วยความจำที่ปลอดภัย" ภาษาที่แนะนำโดย National Security Agency (NSA) ได้แก่: Rust, Go, C#, Java, Swift, JavaScript และ Ruby ภาษาเหล่านี้มีกลไกที่ป้องกันการโจมตีหน่วยความจำประเภททั่วไป ซึ่งจะเป็นการเพิ่มความปลอดภัยของระบบที่กำลังพัฒนา

ONCD ขอให้บริษัทและวิศวกรใช้แนวทางปฏิบัติที่ดีที่สุดในการพัฒนาซอฟต์แวร์ และใช้ฮาร์ดแวร์ที่ปลอดภัยต่อหน่วยความจำ เพื่อลดพื้นที่การโจมตีที่ผู้โจมตีสามารถโจมตีได้ รายงานไม่ได้ระบุรายละเอียดว่าภาษาโปรแกรมที่ปลอดภัยต่อหน่วยความจำคืออะไร อย่างไรก็ตาม ในเดือนพฤศจิกายน 2022 สำนักงานความมั่นคงแห่งชาติ (NSA) ได้เปิดเผยข้อมูล จดหมายข่าวความปลอดภัยทางไซเบอร์ซึ่งมีรายละเอียดภาษาโปรแกรมที่เขาเชื่อว่าปลอดภัยต่อหน่วยความจำ

รายงานยังเรียกร้องให้มีการวัดความปลอดภัยของซอฟต์แวร์ที่ดีขึ้น ONCD เชื่อว่าตัวชี้วัดที่ดีขึ้นช่วยให้ผู้ให้บริการเทคโนโลยีสามารถวางแผน คาดการณ์ และบรรเทาช่องโหว่ได้ดีขึ้นก่อนที่จะกลายเป็นปัญหา

รายงานนี้เป็นรายงานล่าสุดในชุดขั้นตอนต่างๆ ที่ดำเนินการโดยรัฐบาลสหรัฐฯ ในเดือนมีนาคม พ.ศ. 2023 ประธานาธิบดีไบเดนได้ลงนามในคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ ซึ่งเปิดตัวกระบวนการเพื่อปกป้องซอฟต์แวร์และฮาร์ดแวร์ ตลอดจนสร้างความสัมพันธ์ในอุตสาหกรรมเทคโนโลยี

อ่าน:

• Microsoft ค้นพบแฮกเกอร์จากประเทศจีนและรัสเซียที่ใช้เครื่องมือ AI
• เพนตากอนใช้ AI ของ Google เพื่อระบุเป้าหมายสำหรับการโจมตีทางอากาศ