白宫敦促开发人员避免使用 C 和 C++，转而使用“安全”编程语言

У 新报告 白宫国家网络主任办公室（ONCD）敦促开发人员使用“轻量级编程语言”——排除流行语言的类别。该建议是美国总统拜登网络安全战略的一部分，也是朝着“保护网络空间的组成部分”迈出的一步。

软件代码中的内存管理不当可能会导致严重的漏洞，从而使攻击者能够进行网络攻击。 Java 等编程语言由于其运行时错误检测机制，在内存管理方面被认为是安全的。相比之下，C 和 C++ 允许开发人员执行指针操作并直接寻址计算机内存中的地址。这包括将数据读取和写入到可以通过指针访问的任何内存位置。

2019年安全工程师 Microsoft 报告称，大约70%的漏洞是由内存安全问题引起的。 2020 年，谷歌报告了相同的数字，但针对的是 Chromium 浏览器中发现的错误。

报告称：“专家们已经发现几种编程语言不仅缺乏与内存安全相关的功能，而且在 C 和 C++ 等关键任务系统中也广泛存在。” “按照网络安全和基础设施安全局 (CISA) 开源软件安全路线图的建议，从头开始选择内存安全的编程语言，是到年底从头开始开发安全软件的一个例子”。

这份长达 19 页的报告的目的是确保网络安全的责任不仅仅由个人和小型企业承担。相反，责任在于大型组织、科技公司，最终是政府。

报告不仅指出了C和C++的问题，还提供了多种替代方案——被公认为“内存安全”的编程语言。美国国家安全局（NSA）推荐的语言包括：Rust、Go、C#、Java、Swift、JavaScript 和 Ruby。这些语言包含防止常见类型内存攻击的机制，从而提高了正在开发的系统的安全性。

ONCD 要求公司和工程师在软件开发中应用最佳实践，并使用内存安全硬件来减少攻击者可以进行攻击的攻击面。该报告本身没有详细说明什么是内存安全的编程语言。然而，2022 年 月，美国国家安全局 (NSA) 发布 网络安全通讯，其中详细介绍了他认为内存安全的编程语言。

该报告还呼吁更好地衡量软件安全性。 ONCD 认为，更好的指标使技术提供商能够在漏洞成为问题之前更好地计划、预测和缓解漏洞。

这份报告是美国政府采取的一系列措施中的最新一份。 2023 年 月，拜登总统签署了《网络安全行政命令》，启动了保护软件和硬件以及在技术行业建立联系的流程。

另请阅读：

• Microsoft 发现来自中国和俄罗斯的黑客正在使用其人工智能工具
• 五角大楼使用谷歌的人工智能来识别空袭目标