Hinihimok ng White House ang mga developer na iwasan ang C at C++ pabor sa "ligtas" na mga programming language

У bagong ulat Hinimok ng White House Office of the National Cyber ​​​​Director (ONCD) ang mga developer na gumamit ng "light-weight programming language" - isang kategorya na hindi kasama ang mga sikat na wika. Ang payo ay bahagi ng diskarte sa cybersecurity ni US President Biden at isang hakbang patungo sa "pagprotekta sa mga bloke ng gusali ng cyberspace."

Ang hindi wastong pamamahala ng memorya sa software code ay maaaring humantong sa mga seryosong kahinaan, na nagpapahintulot sa mga umaatake na magsagawa ng mga cyber attack. Ang mga programming language tulad ng Java, dahil sa kanilang runtime error detection mechanism, ay itinuturing na ligtas na may kinalaman sa memory management. Sa kabaligtaran, pinapayagan ng C at C++ ang mga developer na magsagawa ng mga pagpapatakbo ng pointer at direktang tugunan ang mga address sa memorya ng computer. Kabilang dito ang pagbabasa at pagsusulat ng data sa anumang lokasyon ng memory na maa-access nila sa pamamagitan ng isang pointer.

Sa 2019, mga inhinyero sa kaligtasan Microsoft iniulat na ang tungkol sa 70% ng mga kahinaan ay sanhi ng mga isyu sa seguridad ng memorya. Noong 2020, iniulat ng Google ang parehong bilang, ngunit para sa mga bug na matatagpuan sa Chromium browser.

"Natukoy ng mga eksperto ang ilang mga programming language na hindi lamang kulang sa mga tampok na nauugnay sa kaligtasan ng memorya, ngunit laganap din sa mga mission-critical system tulad ng C at C++," sabi ng ulat. "Ang pagpili ng memory-safe programming language mula sa simula, gaya ng inirerekomenda ng Cybersecurity and Infrastructure Security Agency (CISA) Open Source Software Security Roadmap, ay isang halimbawa ng pagbuo ng secure na software mula sa simula hanggang sa katapusan ng"".

Ang layunin ng 19-pahinang ulat ay upang matiyak na ang responsibilidad para sa cyber security ay hindi nakasalalay lamang sa mga indibidwal at maliliit na negosyo. Sa halip, ang responsibilidad ay nakasalalay sa malalaking organisasyon, kumpanya ng teknolohiya, at sa huli ang gobyerno.

Hindi lamang itinuturo ng ulat ang mga problema sa C at C++, ngunit nag-aalok din ng ilang mga alternatibo - mga programming language na kinikilala bilang "memory safe". Ang mga wikang inirerekomenda ng National Security Agency (NSA) ay kinabibilangan ng: Rust, Go, C#, Java, Swift, JavaScript, at Ruby. Ang mga wikang ito ay naglalaman ng mga mekanismo na pumipigil sa mga karaniwang uri ng pag-atake sa memorya, kaya nadaragdagan ang seguridad ng mga system na binuo.

Ang ONCD ay humihiling sa mga kumpanya at inhinyero na ilapat ang pinakamahuhusay na kagawian sa pagbuo ng software at gumamit ng memory-safe na hardware upang bawasan ang pag-atake kung saan maaaring umatake ang mga umaatake. Ang ulat mismo ay hindi nagdetalye kung ano ang eksaktong itinuturing na isang memory-safe na programming language. Gayunpaman, noong Nobyembre 2022, inilabas ng National Security Agency (NSA). newsletter ng cyber security, na nagdetalye ng mga programming language na pinaniniwalaan niyang ligtas sa memorya.

Ang ulat ay tumatawag din para sa mas mahusay na pagsukat ng seguridad ng software. Naniniwala ang ONCD na ang mas mahusay na sukatan ay nagbibigay-daan sa mga provider ng teknolohiya na mas mahusay na magplano, mahulaan at mabawasan ang mga kahinaan bago sila maging problema.

Ang ulat na ito ay ang pinakabago sa isang serye ng mga hakbang na ginawa ng gobyerno ng US. Noong Marso 2023, nilagdaan ni Pangulong Biden ang Cybersecurity Executive Order, na naglunsad ng mga proseso para protektahan ang software at hardware, pati na rin ang pag-uugnayan sa industriya ng teknolohiya.

Basahin din:

• Microsoft nakatuklas ng mga hacker mula sa China at Russia na gumagamit ng mga tool nito sa AI
• Ginamit ng Pentagon ang AI ng Google upang matukoy ang mga target para sa mga airstrike