Kerajaan A.S. mengesyorkan agar pembangun berhenti menggunakan C/C++ dan beralih kepada bahasa pengaturcaraan yang selamat memori

Menurut berita dari laman web ini pada 29 Februari, kerajaan A.S. baru-baru ini mengeluarkan laporan keselamatan siber yang menyeru pembangun untuk berhenti menggunakan bahasa pengaturcaraan yang terdedah kepada kelemahan keselamatan ingatan, seperti C dan C++, dan sebaliknya menggunakan pengaturcaraan selamat memori. bahasa untuk pembangunan. Laporan itu dikeluarkan oleh Pejabat Pengarah Ruang Siber (ONCD) untuk melaksanakan strategi keselamatan siber Presiden AS Joe Biden, dengan matlamat "melindungi asas ruang siber."

Keselamatan memori bermakna program boleh mengelakkan kemungkinan ralat dan kelemahan secara berkesan apabila mengakses memori, seperti limpahan penimbal dan penunjuk berjuntai. Java dianggap sebagai bahasa pengaturcaraan selamat memori kerana keupayaan pengesanan ralat masa jalannya. Sebaliknya, C dan C++ membenarkan akses terus ke alamat memori dan kekurangan semakan sempadan, yang menjadikan mereka lebih terdedah kepada isu keselamatan ingatan. Oleh itu, apabila membangunkan aplikasi, memilih bahasa pengaturcaraan yang betul dan menggunakan strategi pengurusan memori yang sepadan adalah penting untuk memastikan keselamatan memori.

Menurut data penyelidikan daripada Microsoft dan Google yang dipetik dalam laporan itu, lebih daripada 70% kelemahan keselamatan berkait rapat dengan isu keselamatan memori. Di samping itu, laporan itu juga menyebut pelan hala tuju keselamatan perisian sumber terbuka yang dikeluarkan oleh Agensi Keselamatan Siber dan Infrastruktur A.S. (CISA), yang menggalakkan pemaju menggunakan bahasa pengaturcaraan selamat memori pada peringkat awal projek dan melaksanakan " keselamatan melalui reka bentuk" kaedah pembangunan. Pendekatan ini bertujuan untuk mengurangkan risiko kelemahan keselamatan yang perlu diperbaiki kemudian dengan memberi tumpuan kepada keselamatan pada peringkat awal reka bentuk dan pembangunan perisian. Oleh itu, adalah penting untuk menekankan keselamatan memori semasa pembangunan perisian, yang boleh mengurangkan potensi kelemahan dan risiko keselamatan secara berkesan.

Laporan 19 halaman ini bertujuan untuk menekankan bahawa keselamatan siber bukan hanya tanggungjawab individu, tetapi juga tanggungjawab bersama organisasi besar, syarikat teknologi dan kerajaan. Laporan itu tidak mengesyorkan bahasa pengaturcaraan khusus untuk menggantikan C dan C++, tetapi menekankan bahawa terdapat pelbagai bahasa pengaturcaraan selamat memori untuk dipilih. Laporan itu juga menyeru perniagaan dan jurutera untuk menerima pakai amalan pembangunan perisian terbaik dan menggunakan perkakasan selamat memori untuk mengurangkan kemungkinan serangan berniat jahat.

Agensi Keselamatan Negara A.S. (NSA) menyebut beberapa bahasa pengaturcaraan yang dianggap selamat dalam dokumen maklumat keselamatan siber yang dikeluarkan baru-baru ini...

• Rust

• Cu

• .

• Java

• swift

• javascript

• ruby

nt mengikut indeks Tiobe (ukuran populariti bahasa pengaturcaraan), C# menduduki tempat ke -5 dalam ranking, dan Java berada di kedudukan ke-4 , JavaScript berada pada kedudukan ke-6, Go berada pada kedudukan ke-8, Swift berada pada kedudukan ke-16, Rust berada pada kedudukan ke-18, dan Ruby berada pada kedudukan ke-20. Dapat dilihat bahawa hanya 4 bahasa yang disyorkan oleh NSA adalah antara bahasa yang paling biasa digunakan oleh pembangun.

Laporan itu juga menekankan kepentingan penilaian keselamatan perisian dan percaya bahawa piawaian penilaian yang lebih baik boleh membantu syarikat teknologi merancang, meramal dan mengurangkan risiko kerentanan dengan lebih baik. Laporan itu juga menekankan kepentingan menggunakan kod selamat memori dalam bidang kritikal seperti penerokaan angkasa lepas, memetik misi pendaratan bulan Apollo 13 sebagai contoh.

Laporan ini adalah sebahagian daripada siri inisiatif keselamatan siber kerajaan A.S. Pada Mac 2023, Presiden Biden menandatangani perintah eksekutif keselamatan siber yang bertujuan untuk mengukuhkan keselamatan perisian dan perkakasan serta mewujudkan perkongsian dengan industri teknologi. Memandangkan pendigitalan terus berkembang, bahasa pengaturcaraan dan kaedah pembangunan yang lebih selamat telah menjadi kritikal, dan laporan ini merupakan langkah terbaharu untuk meminta industri memberi perhatian kepada isu ini.

Atas ialah kandungan terperinci Kerajaan A.S. mengesyorkan agar pembangun berhenti menggunakan C/C++ dan beralih kepada bahasa pengaturcaraan yang selamat memori. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!