Bijela kuća poziva programere da izbjegavaju C i C++ u korist "sigurnih" programskih jezika

У novo izvješće Ured Bijele kuće Nacionalnog cyber direktora (ONCD) pozvao je programere da koriste "lake programske jezike" - kategoriju koja isključuje popularne jezike. Savjeti su dio kibersigurnosne strategije američkog predsjednika Bidena i korak su prema "zaštiti sastavnih dijelova kibernetičkog prostora".

Nepravilno upravljanje memorijom u softverskom kodu može dovesti do ozbiljnih ranjivosti, omogućujući napadačima izvođenje kibernetičkih napada. Programski jezici kao što je Java, zbog svojih mehanizama otkrivanja pogrešaka u vremenu izvođenja, smatraju se sigurnima u pogledu upravljanja memorijom. Nasuprot tome, C i C++ programerima omogućuju izvođenje operacija pokazivača i izravno adresiranje adresa u memoriji računala. To uključuje čitanje i pisanje podataka na bilo koju memorijsku lokaciju kojoj mogu pristupiti putem pokazivača.

U 2019. inženjeri sigurnosti Microsoft izvijestio je da je oko 70% ranjivosti uzrokovano problemima sigurnosti memorije. Godine 2020. Google je objavio istu brojku, ali za greške pronađene u pregledniku Chromium.

"Stručnjaci su identificirali nekoliko programskih jezika koji ne samo da nemaju značajke povezane sa sigurnošću memorije, već su također široko rasprostranjeni u kritičnim sustavima kao što su C i C++", stoji u izvješću. "Odabir programskih jezika sigurnih za memoriju iz temelja, kao što preporučuje Agencija za kibernetičku sigurnost i sigurnost infrastrukture (CISA) Sigurnosni plan softvera otvorenog koda, jedan je primjer razvoja sigurnog softvera iz temelja do kraja"".

Cilj izvješća na 19 stranica je osigurati da odgovornost za kibernetičku sigurnost ne leži samo na pojedincima i malim tvrtkama. Umjesto toga, odgovornost leži na velikim organizacijama, tehnološkim tvrtkama i naposljetku na vladi.

Izvješće ne samo da ukazuje na probleme s C i C++, već nudi i brojne alternative - programske jezike koji su prepoznati kao "sigurni za memoriju". Jezici koje preporučuje Agencija za nacionalnu sigurnost (NSA) uključuju: Rust, Go, C#, Java, Swift, JavaScript i Ruby. Ovi jezici sadrže mehanizme koji sprječavaju uobičajene vrste napada na memoriju, čime se povećava sigurnost sustava koji se razvijaju.

ONCD traži od tvrtki i inženjera da primijene najbolju praksu u razvoju softvera i koriste hardver siguran za memoriju kako bi smanjili površinu napada kroz koju napadači mogu napadati. U samom izvješću nije navedeno što se točno smatra programskim jezikom sigurnim za memoriju. Međutim, u studenom 2022. Agencija za nacionalnu sigurnost (NSA) objavila je bilten o kibernetičkoj sigurnosti, koji je detaljno opisao programske jezike za koje je vjerovao da su sigurni za memoriju.

Izvješće također poziva na bolje mjerenje sigurnosti softvera. ONCD vjeruje da bolja metrika omogućuje pružateljima tehnologije bolje planiranje, predviđanje i ublažavanje ranjivosti prije nego što postanu problem.

Ovo izvješće posljednji je u nizu koraka koje je poduzela američka vlada. U ožujku 2023. predsjednik Biden potpisao je Izvršnu uredbu o kibersigurnosti, kojom su pokrenuti procesi za zaštitu softvera i hardvera, kao i stvaranje veza u tehnološkoj industriji.

Pročitajte također:

• Microsoft otkrio hakere iz Kine i Rusije koristeći svoje AI alate
• Pentagon je koristio Googleovu umjetnu inteligenciju za identificiranje ciljeva za zračne napade