Oq uy dasturchilarni “xavfsiz” dasturlash tillari foydasiga C va C++ tillaridan qochishga chaqiradi

У yangi hisobot Milliy kiberdirektorning Oq uy idorasi (ONCD) ishlab chiquvchilarni "engil dasturlash tillari" dan foydalanishga chaqirdi - mashhur tillarni istisno qiladigan toifa. Maslahat AQSh prezidenti Baydenning kiberxavfsizlik strategiyasining bir qismi bo‘lib, “kiberfazoning qurilish bloklarini himoya qilish” sari qadamdir.

Dasturiy ta'minot kodida xotirani noto'g'ri boshqarish jiddiy zaifliklarga olib kelishi mumkin, bu esa tajovuzkorlarga kiberhujumlarni amalga oshirishga imkon beradi. Java kabi dasturlash tillari ish vaqtidagi xatolarni aniqlash mexanizmlari tufayli xotirani boshqarishda xavfsiz hisoblanadi. Bundan farqli o'laroq, C va C++ ishlab chiquvchilarga ko'rsatgich operatsiyalarini bajarishga va kompyuter xotirasidagi manzillarni to'g'ridan-to'g'ri adreslashga imkon beradi. Bunga ular ko'rsatgich orqali kirishlari mumkin bo'lgan istalgan xotira joyiga ma'lumotlarni o'qish va yozish kiradi.

2019 yilda xavfsizlik muhandislari Microsoft Xabar berishlaricha, zaifliklarning taxminan 70 foizi xotira xavfsizligi bilan bog'liq muammolardan kelib chiqqan. 2020-yilda Google xuddi shu ko‘rsatkichni xabar qildi, ammo Chromium brauzerida topilgan xatolar haqida.

"Mutaxassislar nafaqat xotira xavfsizligi bilan bog'liq funksiyalarga ega bo'lmagan, balki C va C++ kabi muhim tizimlarda ham keng tarqalgan bir nechta dasturlash tillarini aniqladilar", deyiladi hisobotda. "Kiberxavfsizlik va infratuzilma xavfsizligi agentligining (CISA) ochiq manbali dasturiy ta'minot xavfsizligi bo'yicha yo'l xaritasi tomonidan tavsiya etilganidek, xotira uchun xavfsiz dasturlash tillarini boshidan boshlab tanlash - bu yil oxirigacha xavfsiz dasturiy ta'minotni yaratishning bir misolidir".

19 sahifalik hisobotdan maqsad kiberxavfsizlik uchun javobgarlik faqat jismoniy shaxslar va kichik korxonalar zimmasiga tushmasligini ta'minlashdan iborat. Buning o'rniga mas'uliyat yirik tashkilotlar, texnologiya kompaniyalari va pirovardida hukumat zimmasiga tushadi.

Hisobot nafaqat C va C++ bilan bog'liq muammolarni ko'rsatibgina qolmay, balki bir qator alternativalarni ham taklif etadi - "xotira uchun xavfsiz" deb tan olingan dasturlash tillari. Milliy xavfsizlik agentligi (NSA) tomonidan tavsiya etilgan tillarga quyidagilar kiradi: Rust, Go, C#, Java, Swift, JavaScript va Ruby. Ushbu tillar xotira hujumlarining umumiy turlarini oldini olish mexanizmlarini o'z ichiga oladi va shu bilan ishlab chiqilayotgan tizimlarning xavfsizligini oshiradi.

ONCD kompaniyalar va muhandislardan dasturiy ta'minotni ishlab chiqishda ilg'or tajribalarni qo'llashni va tajovuzkorlar hujum qilishi mumkin bo'lgan hujum maydonini kamaytirish uchun xotira uchun xavfsiz uskunadan foydalanishni so'raydi. Hisobotning o'zi aniq nima xotira uchun xavfsiz dasturlash tili deb hisoblanishi haqida batafsil ma'lumot bermagan. Biroq, 2022 yil noyabr oyida Milliy xavfsizlik agentligi (NSA) ozod qildi kiberxavfsizlik xabarnomasi, u xotira uchun xavfsiz deb hisoblagan dasturlash tillarini batafsil bayon qildi.

Hisobot shuningdek, dasturiy ta'minot xavfsizligini yaxshiroq o'lchashni talab qiladi. ONCDning fikricha, yaxshiroq ko'rsatkichlar texnologiya provayderlariga zaifliklarni muammoga aylanishidan oldin yaxshiroq rejalashtirish, oldindan bilish va yumshatish imkonini beradi.

Bu hisobot AQSh hukumati tomonidan amalga oshirilgan bir qator qadamlarning so‘nggisidir. 2023 yil mart oyida Prezident Bayden dasturiy ta'minot va apparat vositalarini himoya qilish, shuningdek, texnologiya sanoatida aloqalarni o'rnatish jarayonlarini ishga tushirgan Kiberxavfsizlik bo'yicha buyruqni imzoladi.

Shuningdek o'qing:

• Microsoft AI vositalaridan foydalangan Xitoy va Rossiyadan kelgan xakerlarni topdi
• Pentagon havo hujumlari nishonlarini aniqlash uchun Google sunʼiy intellektidan foydalangan