Nhà Trắng kêu gọi các nhà phát triển tránh C và C++ để ủng hộ các ngôn ngữ lập trình "an toàn"

У báo cáo mới Văn phòng Giám đốc Mạng Quốc gia (ONCD) của Nhà Trắng kêu gọi các nhà phát triển sử dụng "ngôn ngữ lập trình nhẹ" - một danh mục loại trừ các ngôn ngữ phổ biến. Lời khuyên này là một phần trong chiến lược an ninh mạng của Tổng thống Mỹ Biden và là một bước hướng tới “bảo vệ các nền tảng của không gian mạng”.

Việc quản lý bộ nhớ không đúng cách trong mã phần mềm có thể dẫn đến các lỗ hổng nghiêm trọng, cho phép kẻ tấn công thực hiện các cuộc tấn công mạng. Các ngôn ngữ lập trình như Java, do cơ chế phát hiện lỗi thời gian chạy của chúng, được coi là an toàn trong việc quản lý bộ nhớ. Ngược lại, C và C++ cho phép các nhà phát triển thực hiện các thao tác con trỏ và đánh địa chỉ trực tiếp vào bộ nhớ máy tính. Điều này bao gồm việc đọc và ghi dữ liệu vào bất kỳ vị trí bộ nhớ nào mà chúng có thể truy cập thông qua con trỏ.

Năm 2019, kỹ sư an toàn Microsoft báo cáo rằng khoảng 70% lỗ hổng là do vấn đề bảo mật bộ nhớ. Năm 2020, Google cũng báo cáo con số tương tự nhưng đối với các lỗi được tìm thấy trong trình duyệt Chrome.

Báo cáo cho biết: “Các chuyên gia đã xác định một số ngôn ngữ lập trình không chỉ thiếu các tính năng liên quan đến an toàn bộ nhớ mà còn phổ biến trong các hệ thống quan trọng như C và C++”. "Việc chọn ngôn ngữ lập trình an toàn cho bộ nhớ ngay từ đầu, theo khuyến nghị của Lộ trình bảo mật phần mềm nguồn mở của Cơ quan an ninh mạng và cơ sở hạ tầng (CISA), là một ví dụ về việc phát triển phần mềm bảo mật từ đầu đến cuối"".

Mục đích của báo cáo dài 19 trang là đảm bảo rằng trách nhiệm về an ninh mạng không chỉ thuộc về các cá nhân và doanh nghiệp nhỏ. Thay vào đó, trách nhiệm thuộc về các tổ chức lớn, công ty công nghệ và cuối cùng là chính phủ.

Báo cáo không chỉ chỉ ra các vấn đề với C và C++ mà còn đưa ra một số lựa chọn thay thế - ngôn ngữ lập trình được công nhận là "an toàn bộ nhớ". Các ngôn ngữ được Cơ quan An ninh Quốc gia (NSA) khuyến nghị bao gồm: Rust, Go, C#, Java, Swift, JavaScript và Ruby. Các ngôn ngữ này chứa các cơ chế ngăn chặn các kiểu tấn công bộ nhớ phổ biến, do đó làm tăng tính bảo mật cho các hệ thống đang được phát triển.

ONCD đang yêu cầu các công ty và kỹ sư áp dụng các phương pháp hay nhất trong phát triển phần mềm và sử dụng phần cứng an toàn cho bộ nhớ để giảm bề mặt tấn công mà qua đó kẻ tấn công có thể tấn công. Bản thân báo cáo không nêu chi tiết chính xác ngôn ngữ lập trình an toàn với bộ nhớ. Tuy nhiên, vào tháng 2022 năm , Cơ quan An ninh Quốc gia (NSA) đã phát hành bản tin an ninh mạng, ngôn ngữ lập trình chi tiết mà ông tin là an toàn cho bộ nhớ.

Báo cáo cũng kêu gọi đo lường tốt hơn về bảo mật phần mềm. ONCD tin rằng các số liệu tốt hơn sẽ giúp các nhà cung cấp công nghệ lập kế hoạch, dự đoán và giảm thiểu các lỗ hổng tốt hơn trước khi chúng trở thành vấn đề.

Báo cáo này là báo cáo mới nhất trong một loạt các bước đi được chính phủ Mỹ thực hiện. Vào tháng 2023 năm , Tổng thống Biden đã ký Sắc lệnh Điều hành An ninh mạng, trong đó đưa ra các quy trình bảo vệ phần mềm và phần cứng, cũng như củng cố các mối quan hệ trong ngành công nghệ.

Đọc thêm:

• Microsoft phát hiện tin tặc từ Trung Quốc và Nga đang sử dụng các công cụ AI của họ
• Lầu Năm Góc sử dụng AI của Google để xác định mục tiêu không kích