У รายงานใหม่ สำนักงานทำเนียบขาวของผู้อำนวยการไซเบอร์แห่งชาติ (ONCD) กระตุ้นให้นักพัฒนาใช้ "ภาษาโปรแกรมน้ำหนักเบา" ซึ่งเป็นหมวดหมู่ที่ไม่รวมภาษายอดนิยม คำแนะนำดังกล่าวเป็นส่วนหนึ่งของกลยุทธ์ความปลอดภัยทางไซเบอร์ของประธานาธิบดีไบเดนแห่งสหรัฐอเมริกา และเป็นก้าวหนึ่งในการ "ปกป้องหน่วยการสร้างของไซเบอร์สเปซ"
การจัดการหน่วยความจำที่ไม่เหมาะสมในโค้ดซอฟต์แวร์อาจทำให้เกิดช่องโหว่ร้ายแรง ทำให้ผู้โจมตีสามารถโจมตีทางไซเบอร์ได้ ภาษาการเขียนโปรแกรมเช่น Java เนื่องจากกลไกการตรวจจับข้อผิดพลาดรันไทม์ถือว่าปลอดภัยเมื่อเทียบกับการจัดการหน่วยความจำ ในทางตรงกันข้าม C และ C++ ช่วยให้นักพัฒนาสามารถดำเนินการกับตัวชี้และระบุที่อยู่ในหน่วยความจำคอมพิวเตอร์ได้โดยตรง ซึ่งรวมถึงการอ่านและเขียนข้อมูลไปยังตำแหน่งหน่วยความจำใดๆ ที่สามารถเข้าถึงได้ผ่านพอยน์เตอร์
ในปี 2019 วิศวกรด้านความปลอดภัย Microsoft รายงานว่าประมาณ 70% ของช่องโหว่มีสาเหตุมาจากปัญหาความปลอดภัยของหน่วยความจำ ในปี 2020 Google รายงานตัวเลขเดียวกันแต่สำหรับข้อบกพร่องที่พบในเบราว์เซอร์ Chromium
“ผู้เชี่ยวชาญได้ระบุภาษาการเขียนโปรแกรมหลายภาษาที่ไม่เพียงแต่ขาดคุณสมบัติที่เกี่ยวข้องกับความปลอดภัยของหน่วยความจำ แต่ยังแพร่หลายในระบบที่มีความสำคัญต่อภารกิจเช่น C และ C++” รายงานกล่าว "การเลือกภาษาการเขียนโปรแกรมที่ปลอดภัยสำหรับหน่วยความจำตั้งแต่เริ่มต้น ตามที่แนะนำโดยแผนงานด้านความปลอดภัยของซอฟต์แวร์โอเพนซอร์สและความปลอดภัยทางไซเบอร์ (CISA) ของหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐาน (CISA) เป็นตัวอย่างหนึ่งของการพัฒนาซอฟต์แวร์ที่ปลอดภัยตั้งแต่ต้นจนจบเมื่อสิ้นสุด""
จุดมุ่งหมายของรายงาน 19 หน้าคือเพื่อให้แน่ใจว่าความรับผิดชอบด้านความปลอดภัยทางไซเบอร์ไม่ได้อยู่เฉพาะกับบุคคลและธุรกิจขนาดเล็กเท่านั้น แต่ความรับผิดชอบตกอยู่กับองค์กรขนาดใหญ่ บริษัทเทคโนโลยี และรัฐบาลในที่สุด
รายงานไม่เพียงชี้ให้เห็นถึงปัญหาของ C และ C++ เท่านั้น แต่ยังเสนอทางเลือกอีกมากมาย - ภาษาโปรแกรมที่ได้รับการยอมรับว่าเป็น "หน่วยความจำที่ปลอดภัย" ภาษาที่แนะนำโดย National Security Agency (NSA) ได้แก่: Rust, Go, C#, Java, Swift, JavaScript และ Ruby ภาษาเหล่านี้มีกลไกที่ป้องกันการโจมตีหน่วยความจำประเภททั่วไป ซึ่งจะเป็นการเพิ่มความปลอดภัยของระบบที่กำลังพัฒนา
ONCD ขอให้บริษัทและวิศวกรใช้แนวทางปฏิบัติที่ดีที่สุดในการพัฒนาซอฟต์แวร์ และใช้ฮาร์ดแวร์ที่ปลอดภัยต่อหน่วยความจำ เพื่อลดพื้นที่การโจมตีที่ผู้โจมตีสามารถโจมตีได้ รายงานไม่ได้ระบุรายละเอียดว่าภาษาโปรแกรมที่ปลอดภัยต่อหน่วยความจำคืออะไร อย่างไรก็ตาม ในเดือนพฤศจิกายน 2022 สำนักงานความมั่นคงแห่งชาติ (NSA) ได้เปิดเผยข้อมูล จดหมายข่าวความปลอดภัยทางไซเบอร์ซึ่งมีรายละเอียดภาษาโปรแกรมที่เขาเชื่อว่าปลอดภัยต่อหน่วยความจำ
รายงานยังเรียกร้องให้มีการวัดความปลอดภัยของซอฟต์แวร์ที่ดีขึ้น ONCD เชื่อว่าตัวชี้วัดที่ดีขึ้นช่วยให้ผู้ให้บริการเทคโนโลยีสามารถวางแผน คาดการณ์ และบรรเทาช่องโหว่ได้ดีขึ้นก่อนที่จะกลายเป็นปัญหา
รายงานนี้เป็นรายงานล่าสุดในชุดขั้นตอนต่างๆ ที่ดำเนินการโดยรัฐบาลสหรัฐฯ ในเดือนมีนาคม พ.ศ. 2023 ประธานาธิบดีไบเดนได้ลงนามในคำสั่งผู้บริหารด้านความปลอดภัยทางไซเบอร์ ซึ่งเปิดตัวกระบวนการเพื่อปกป้องซอฟต์แวร์และฮาร์ดแวร์ ตลอดจนสร้างความสัมพันธ์ในอุตสาหกรรมเทคโนโลยี
อ่าน:
C++ จะอยู่ด้านบนเสมอเนื่องจากความสามารถในการปรับให้เหมาะสม และความปลอดภัยของหน่วยความจำไม่ใช่จุดบกพร่อง แต่เป็นคุณสมบัติ
ฟิชา ฮุยชา
"แล้วฉันก็งงมุมขวา... (c)" :))
"ภาษาที่แนะนำของสำนักงานความมั่นคงแห่งชาติ (NSA) ได้แก่ Rust, Go, C#, Java, Swift, JavaScript และ Ruby"
ไบเดนจมอยู่ใน Java ชัดเจน...
ปัญหาเชิงกลยุทธ์ที่สำคัญได้รับการดูแล...
เรายังต้องจัดให้มีการบรรยายสรุป”Android เทียบกับ iOS"
1. คุณเรียนรู้เกี่ยวกับ Java จากที่ไหนในโลก? มีการระบุสนิมด้วย
2. ฉันไม่เข้าใจการเสียดสี ตอนนี้มีปัญหาจริงๆ กับซอฟต์แวร์รั่ว โดยเฉพาะอย่างยิ่งหากเป็นซอฟต์แวร์รุ่นเก่า และคำสั่งผสมหากเขียนในสัญญารับเหมาช่วงกับใครสักคน
1. ในแหล่งที่มา – ctrl+F “Java”
2. เป็นการเสียดสีแบบยูเครนล้วนๆ เพื่อทำความเข้าใจว่าคุณจำเป็นต้องเขียนโปรแกรมที่ไหนสักแห่งในคาร์คิฟ หรือใน Kupyansk
1 - ไม่ แหล่งที่มาหลักคือลิงก์แรกในโพสต์ (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
จริงๆ แล้วภาพหน้าจอมาจากตรงนั้น
ปรากฎว่า THD ทำผิดพลาด และคุณก็นำไปแปล
2 - ไม่เข้าใจ
ลองคิดดูสิ ขอขอบคุณสำหรับความสนใจของคุณ.
ทำเนียบขาวจะเปลี่ยนไป แต่ C++ จะยังคงอยู่