白宮敦促開發人員避免使用 C 和 C++，轉而使用「安全」程式語言

У 新報告 白宮國家網路主任辦公室（ONCD）敦促開發人員使用「輕量級程式語言」—排除流行語言的類別。該建議是美國總統拜登網路安全戰略的一部分，也是朝著「保護網路空間的組成部分」邁出的一步。

軟體程式碼中的記憶體管理不當可能會導致嚴重的漏洞，使攻擊者能夠進行網路攻擊。 Java 等程式語言由於其運行時錯誤檢測機制，在記憶體管理方面被認為是安全的。相較之下，C 和 C++ 允許開發人員執行指標操作並直接定址電腦記憶體中的位址。這包括將資料讀取和寫入到可以透過指標存取的任何記憶體位置。

2019年安全工程師 Microsoft 報告稱，大約70%的漏洞是由記憶體安全問題引起的。 2020 年，Google報告了相同的數字，但針對的是 Chromium 瀏覽器中發現的錯誤。

報告稱：“專家們已經發現幾種程式語言不僅缺乏與記憶體安全相關的功能，而且在 C 和 C++ 等關鍵任務系統中也廣泛存在。” 「按照網路安全與基礎設施安全局 (CISA) 開源軟體安全路線圖的建議，從頭開始選擇記憶體安全的程式語言，是到年底從頭開始開發安全軟體的一個例子」。

這份長達 19 頁的報告的目的是確保網路安全的責任不僅由個人和小型企業承擔。相反，責任在於大型組織、科技公司，最終也是政府。

報告不僅指出了C和C++的問題，還提供了多種替代方案——被公認為「記憶體安全」的程式語言。美國國家安全局（NSA）推薦的語言包括：Rust、Go、C#、Java、Swift、JavaScript 和 Ruby。這些語言包含防止常見類型記憶體攻擊的機制，從而提高了正在開發的系統的安全性。

ONCD 要求公司和工程師在軟體開發中應用最佳實踐，並使用記憶體安全硬體來減少攻擊者可以進行攻擊的攻擊面。報告本身沒有詳細說明什麼是記憶體安全的程式語言。然而，2022 年 月，美國國家安全局 (NSA) 發布 網路安全通訊，其中詳細介紹了他認為記憶體安全的程式語言。

該報告還呼籲更好地衡量軟體安全性。 ONCD 認為，更好的指標使技術提供者在漏洞成為問題之前更好地規劃、預測和緩解漏洞。

這份報告是美國政府採取的一系列措施中的最新一份。 2023 年 月，拜登總統簽署了《網路安全行政命令》，啟動了保護軟體和硬體以及在科技產業建立聯繫的流程。

另請閱讀：

• Microsoft 發現來自中國和俄羅斯的駭客正在使用其人工智慧工具
• 五角大廈使用谷歌的人工智慧來識別空襲目標