Le gouvernement américain recommande aux développeurs d'arrêter d'utiliser C/C++ et de passer à des langages de programmation sécurisés en mémoire.

Selon les informations de ce site le 29 février, le gouvernement américain a récemment publié un rapport sur la cybersécurité appelant les développeurs à cesser d'utiliser des langages de programmation sujets à des vulnérabilités de sécurité de la mémoire, tels que C et C++, et à utiliser plutôt une programmation sécurisée. langages pour le développement. Le rapport a été publié par le Bureau du directeur du cyberespace (ONCD) pour mettre en œuvre la stratégie de cybersécurité du président américain Joe Biden, dans le but de « protéger le fondement du cyberespace ».

La sécurité de la mémoire signifie qu'un programme peut éviter efficacement les erreurs et vulnérabilités potentielles lors de l'accès à la mémoire, telles que les débordements de mémoire tampon et les pointeurs suspendus. Java est considéré comme un langage de programmation sécurisé en raison de ses capacités de détection des erreurs d'exécution. En revanche, C et C++ permettent un accès direct aux adresses mémoire et manquent de vérification des limites, ce qui les rend plus sujets aux problèmes de sécurité de la mémoire. Par conséquent, lors du développement d’applications, le choix du bon langage de programmation et l’adoption de stratégies de gestion de mémoire correspondantes sont essentiels pour garantir la sécurité de la mémoire.

Selon les données de recherche de Microsoft et Google citées dans le rapport, plus de 70 % des vulnérabilités de sécurité sont étroitement liées à des problèmes de sécurité de la mémoire. En outre, le rapport mentionne également la feuille de route sur la sécurité des logiciels open source publiée par l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), qui encourage les développeurs à utiliser des langages de programmation sécurisés en mémoire dès les premiers stades des projets et à mettre en œuvre un " méthode de développement « security by design ». Cette approche vise à réduire le risque de failles de sécurité devant être corrigées ultérieurement en se concentrant sur la sécurité dès les premières étapes de la conception et du développement des logiciels. Par conséquent, il est crucial de mettre l’accent sur la sécurité de la mémoire lors du développement de logiciels, ce qui peut réduire efficacement les vulnérabilités et les risques potentiels en matière de sécurité.

Ce rapport de 19 pages vise à souligner que la cybersécurité n'est pas seulement la responsabilité des individus, mais aussi la responsabilité partagée des grandes organisations, des entreprises technologiques et des gouvernements. Le rapport ne recommande pas de langage de programmation spécifique pour remplacer le C et le C++, mais souligne qu'il existe une variété de langages de programmation sécurisés en mémoire parmi lesquels choisir. Le rapport appelle également les entreprises et les ingénieurs à adopter les meilleures pratiques de développement de logiciels et à utiliser du matériel sécurisé en matière de mémoire pour réduire le risque d'attaques malveillantes.

La National Security Agency (NSA) des États-Unis a mentionné certains langages de programmation considérés comme sûrs dans un document d'information sur la cybersécurité récemment publié.

• java

• swift

• javascript

• ruby

• mais selon l'indice Tiobe (une mesure de la popularité des langages de programmation), C # se classe 5e dans le classement et Java se classe 4e, JavaScript est classé 6e, Go est classé 8e, Swift est classé 16e, Rust est classé 18e et Ruby est classé 20e. On constate que seuls 4 des langages recommandés par la NSA font partie des langages les plus couramment utilisés par les développeurs.

Le rapport souligne également l'importance de l'évaluation de la sécurité des logiciels et estime que de meilleures normes d'évaluation peuvent aider les entreprises technologiques à mieux planifier, prédire et atténuer les risques de vulnérabilité. Le rapport souligne également l'importance d'utiliser un code sécurisé pour la mémoire dans des domaines critiques tels que l'exploration spatiale, citant comme exemple la mission d'alunissage Apollo 13.

• Ce rapport fait partie d'une série d'initiatives de cybersécurité du gouvernement américain. En mars 2023, le président Biden a signé un décret sur la cybersécurité visant à renforcer la sécurité des logiciels et du matériel et à établir des partenariats avec l’industrie technologique. À mesure que la numérisation continue de progresser, des langages de programmation et des méthodes de développement plus sécurisés sont devenus essentiels, et ce rapport est la dernière initiative en date pour appeler l'industrie à prêter attention à cette question.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!