У ny rapport Det hvite hus-kontoret til National Cyber Director (ONCD) oppfordret utviklere til å bruke "lette programmeringsspråk" - en kategori som ekskluderer populære språk. Rådene er en del av USAs president Bidens cybersikkerhetsstrategi og er et skritt mot å «beskytte byggesteinene i cyberspace».
Feil minnehåndtering i programvarekode kan føre til alvorlige sårbarheter, slik at angripere kan utføre cyberangrep. Programmeringsspråk som Java, på grunn av deres kjøretidsfeildeteksjonsmekanismer, anses som trygge med hensyn til minnehåndtering. I kontrast tillater C og C++ utviklere å utføre pekeroperasjoner og adressere adresser direkte i datamaskinens minne. Dette inkluderer lesing og skriving av data til et hvilket som helst minnested de kan få tilgang til via en peker.
I 2019, sikkerhetsingeniører Microsoft rapporterte at rundt 70 % av sårbarhetene var forårsaket av minnesikkerhetsproblemer. I 2020 rapporterte Google det samme tallet, men for feil funnet i Chromium-nettleseren.
"Eksperter har identifisert flere programmeringsspråk som ikke bare mangler funksjoner relatert til minnesikkerhet, men som også er utbredt i oppdragskritiske systemer som C og C++," heter det i rapporten. "Å velge minnesikre programmeringsspråk fra grunnen av, som anbefalt av Cybersecurity and Infrastructure Security Agency (CISA) Open Source Software Security Roadmap, er ett eksempel på utvikling av sikker programvare fra grunnen av innen slutten av"".
Målet med den 19 sider lange rapporten er å sikre at ansvaret for cybersikkerhet ikke kun ligger hos enkeltpersoner og små bedrifter. I stedet ligger ansvaret hos store organisasjoner, teknologiselskaper og til syvende og sist myndighetene.
Rapporten påpeker ikke bare problemene med C og C++, men tilbyr også en rekke alternativer - programmeringsspråk som er anerkjent som "minnesikkert". Språk anbefalt av National Security Agency (NSA) inkluderer: Rust, Go, C#, Java, Swift, JavaScript og Ruby. Disse språkene inneholder mekanismer som forhindrer vanlige typer minneangrep, og øker dermed sikkerheten til systemene som utvikles.
ONCD ber selskaper og ingeniører om å anvende beste praksis innen programvareutvikling og bruke minnesikker maskinvare for å redusere angrepsoverflaten som angripere kan angripe gjennom. Selve rapporten beskrev ikke nøyaktig hva som regnes som et minnesikkert programmeringsspråk. I november 2022 slapp imidlertid National Security Agency (NSA). nyhetsbrev om cybersikkerhet, som beskrev programmeringsspråk som han mente var minnesikre.
Rapporten etterlyser også bedre måling av programvaresikkerhet. ONCD mener bedre beregninger gjør at teknologileverandører bedre kan planlegge, forutse og redusere sårbarheter før de blir et problem.
Denne rapporten er den siste i en rekke skritt tatt av den amerikanske regjeringen. I mars 2023 signerte president Biden Cybersecurity Executive Order, som lanserte prosesser for å beskytte programvare og maskinvare, samt knytte bånd i teknologiindustrien.
Les også:
C++ vil alltid være i toppen på grunn av dens evne til å optimalisere. Og minnesikkerhet er ikke en feil, men en funksjon
Ficha huicha
"Så forvirret jeg en rett vinkel... (c)" :))
"National Security Agency (NSA) anbefalte språk inkluderer: Rust, Go, C#, Java, Swift, JavaScript og Ruby."
Biden drukner i java, det er klart...
Viktige strategiske spørsmål ivaretas...
Vi trenger fortsatt å organisere en briefing"Android vs iOS".
1. Hvor i verden lærte du om Java? Rust er også angitt der.
2. Jeg forstår ikke sarkasme, nå er det virkelig et problem med lekk programvare, spesielt hvis det er en slags arv, og en kombinasjon hvis det ble skrevet på en underkontrakt med noen.
1. I kilden – ctrl+F “Java”
2. Det er ren ukrainsk sarkasme, for å forstå om du trenger å programmere et sted i Kharkiv, for eksempel, eller i Kupyansk.
1 - nei, primærkilden er den første lenken i innlegget (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
faktisk skjermbildet er derfra.
Det viser seg at THD gjorde en feil, og du tok den og oversatte den.
2 - forsto ikke.
La oss prøve å finne ut av det. Takk for din oppmerksomhet.
Det hvite hus vil endre seg, men C++ vil forbli