Det hvite hus oppfordrer utviklere til å unngå C og C++ til fordel for «trygge» programmeringsspråk

У ny rapport Det hvite hus-kontoret til National Cyber ​​​​Director (ONCD) oppfordret utviklere til å bruke "lette programmeringsspråk" - en kategori som ekskluderer populære språk. Rådene er en del av USAs president Bidens cybersikkerhetsstrategi og er et skritt mot å «beskytte byggesteinene i cyberspace».

Feil minnehåndtering i programvarekode kan føre til alvorlige sårbarheter, slik at angripere kan utføre cyberangrep. Programmeringsspråk som Java, på grunn av deres kjøretidsfeildeteksjonsmekanismer, anses som trygge med hensyn til minnehåndtering. I kontrast tillater C og C++ utviklere å utføre pekeroperasjoner og adressere adresser direkte i datamaskinens minne. Dette inkluderer lesing og skriving av data til et hvilket som helst minnested de kan få tilgang til via en peker.

I 2019, sikkerhetsingeniører Microsoft rapporterte at rundt 70 % av sårbarhetene var forårsaket av minnesikkerhetsproblemer. I 2020 rapporterte Google det samme tallet, men for feil funnet i Chromium-nettleseren.

"Eksperter har identifisert flere programmeringsspråk som ikke bare mangler funksjoner relatert til minnesikkerhet, men som også er utbredt i oppdragskritiske systemer som C og C++," heter det i rapporten. "Å velge minnesikre programmeringsspråk fra grunnen av, som anbefalt av Cybersecurity and Infrastructure Security Agency (CISA) Open Source Software Security Roadmap, er ett eksempel på utvikling av sikker programvare fra grunnen av innen slutten av"".

Målet med den 19 sider lange rapporten er å sikre at ansvaret for cybersikkerhet ikke kun ligger hos enkeltpersoner og små bedrifter. I stedet ligger ansvaret hos store organisasjoner, teknologiselskaper og til syvende og sist myndighetene.

Rapporten påpeker ikke bare problemene med C og C++, men tilbyr også en rekke alternativer - programmeringsspråk som er anerkjent som "minnesikkert". Språk anbefalt av National Security Agency (NSA) inkluderer: Rust, Go, C#, Java, Swift, JavaScript og Ruby. Disse språkene inneholder mekanismer som forhindrer vanlige typer minneangrep, og øker dermed sikkerheten til systemene som utvikles.

ONCD ber selskaper og ingeniører om å anvende beste praksis innen programvareutvikling og bruke minnesikker maskinvare for å redusere angrepsoverflaten som angripere kan angripe gjennom. Selve rapporten beskrev ikke nøyaktig hva som regnes som et minnesikkert programmeringsspråk. I november 2022 slapp imidlertid National Security Agency (NSA). nyhetsbrev om cybersikkerhet, som beskrev programmeringsspråk som han mente var minnesikre.

Rapporten etterlyser også bedre måling av programvaresikkerhet. ONCD mener bedre beregninger gjør at teknologileverandører bedre kan planlegge, forutse og redusere sårbarheter før de blir et problem.

Denne rapporten er den siste i en rekke skritt tatt av den amerikanske regjeringen. I mars 2023 signerte president Biden Cybersecurity Executive Order, som lanserte prosesser for å beskytte programvare og maskinvare, samt knytte bånd i teknologiindustrien.

Les også:

• Microsoft oppdaget hackere fra Kina og Russland som brukte AI-verktøyene deres
• Pentagon brukte Googles AI for å identifisere mål for luftangrep