Casa Albă îndeamnă dezvoltatorii să evite C și C++ în favoarea limbajelor de programare „sigure”.

У nou raport Biroul National Cyber ​​​​Director (ONCD) de la Casa Albă a îndemnat dezvoltatorii să folosească „limbaje de programare ușoare” - o categorie care exclude limbajele populare. Sfatul face parte din strategia de securitate cibernetică a președintelui american Biden și reprezintă un pas către „protecția elementelor de bază ale spațiului cibernetic”.

Gestionarea incorectă a memoriei în codul software poate duce la vulnerabilități grave, permițând atacatorilor să efectueze atacuri cibernetice. Limbajele de programare precum Java, datorită mecanismelor lor de detectare a erorilor de rulare, sunt considerate sigure în ceea ce privește gestionarea memoriei. În schimb, C și C++ le permit dezvoltatorilor să efectueze operații cu pointer și să adreseze direct adresele din memoria computerului. Aceasta include citirea și scrierea datelor în orice locație de memorie pe care o pot accesa printr-un pointer.

În 2019, inginerii de siguranță Microsoft au raportat că aproximativ 70% dintre vulnerabilități au fost cauzate de probleme de securitate a memoriei. În 2020, Google a raportat aceeași cifră, dar pentru erorile găsite în browserul Chromium.

„Experții au identificat mai multe limbaje de programare cărora nu numai că le lipsește caracteristicile legate de siguranța memoriei, dar sunt și răspândite în sistemele critice, cum ar fi C și C++”, se arată în raport. „Alegerea de la zero a limbajelor de programare sigure pentru memorie, așa cum este recomandat de Foaia de parcurs pentru securitatea software-ului cu sursă deschisă a Agenției pentru securitate cibernetică și infrastructură (CISA), este un exemplu de dezvoltare a software-ului securizat de la zero până la sfârșitul „”.

Scopul raportului de 19 pagini este de a se asigura că responsabilitatea pentru securitatea cibernetică nu revine exclusiv persoanelor fizice și întreprinderilor mici. În schimb, responsabilitatea revine organizațiilor mari, companiilor de tehnologie și, în cele din urmă, guvernului.

Raportul nu numai că evidențiază problemele cu C și C++, dar oferă și o serie de alternative - limbaje de programare recunoscute ca „sigure pentru memorie”. Limbile recomandate de Agenția Națională de Securitate (NSA) includ: Rust, Go, C#, Java, Swift, JavaScript și Ruby. Aceste limbaje conțin mecanisme care împiedică tipurile comune de atacuri de memorie, crescând astfel securitatea sistemelor în curs de dezvoltare.

ONCD le cere companiilor și inginerilor să aplice cele mai bune practici în dezvoltarea de software și să utilizeze hardware sigur pentru memorie pentru a reduce suprafața de atac prin care atacatorii pot ataca. Raportul în sine nu a detaliat ceea ce este considerat un limbaj de programare sigur pentru memorie. Cu toate acestea, în noiembrie 2022, Agenția Națională de Securitate (NSA) a eliberat buletin informativ de securitate cibernetică, care a detaliat limbaje de programare pe care le credea a fi sigure pentru memorie.

Raportul solicită, de asemenea, o mai bună măsurare a securității software-ului. ONCD consideră că valorile mai bune le permit furnizorilor de tehnologie să planifice, să anticipeze și să atenueze mai bine vulnerabilitățile înainte ca acestea să devină o problemă.

Acest raport este cel mai recent dintr-o serie de măsuri luate de guvernul SUA. În martie 2023, președintele Biden a semnat Ordinul executiv de securitate cibernetică, care a lansat procese de protecție a software-ului și hardware-ului, precum și de stabilire a legăturilor în industria tehnologiei.

Citeste si:

• Microsoft au descoperit hackeri din China și Rusia care își foloseau instrumentele AI
• Pentagonul a folosit IA Google pentru a identifica ținte pentru atacuri aeriene