Бела кућа позива програмере да избегавају Ц и Ц++ у корист „безбедних“ програмских језика

У нови извештај Канцеларија Националног сајбер директора (ОНЦД) у Белој кући позвала је програмере да користе „лаке програмске језике“ – категорију која искључује популарне језике. Савет је део стратегије сајбер безбедности америчког председника Бајдена и корак је ка „заштити градивних блокова сајбер простора“.

Неправилно управљање меморијом у софтверском коду може довести до озбиљних рањивости, омогућавајући нападачима да изврше сајбер нападе. Програмски језици као што је Јава, због својих механизама за откривање грешака током извршавања, сматрају се безбедним у погледу управљања меморијом. Насупрот томе, Ц и Ц++ дозвољавају програмерима да изводе операције показивача и директно адресирају адресе у меморији рачунара. Ово укључује читање и писање података на било коју меморијску локацију којој могу приступити преко показивача.

2019. инжењери безбедности Microsoft пријавио је да је око 70% рањивости узроковано проблемима безбедности меморије. Гугл је 2020. пријавио исту цифру, али за грешке пронађене у Цхромиум претраживачу.

„Стручњаци су идентификовали неколико програмских језика којима не само да недостају функције везане за безбедност меморије, већ су и широко распрострањене у системима од кључне важности као што су Ц и Ц++“, наводи се у извештају. „Бирање меморијских безбедних програмских језика од самог почетка, као што је препоручено у Мапи пута за безбедност софтвера отвореног кода Агенције за сајбер безбедност и инфраструктурну безбедност (ЦИСА), један је пример развоја безбедног софтвера од темеља до краја „.

Циљ извештаја од 19 страница је да обезбеди да одговорност за сајбер безбедност не лежи само на појединцима и малим предузећима. Уместо тога, одговорност лежи на великим организацијама, технолошким компанијама и на крају на влади.

Извештај не само да указује на проблеме са Ц и Ц++, већ нуди и бројне алтернативе – програмске језике који су препознати као „безбедни за меморију“. Језици које препоручује Агенција за националну безбедност (НСА) укључују: Руст, Го, Ц#, Јава, Свифт, ЈаваСцрипт и Руби. Ови језици садрже механизме који спречавају уобичајене врсте напада на меморију, чиме се повећава сигурност система који се развија.

ОНЦД тражи од компанија и инжењера да примене најбоље праксе у развоју софтвера и користе хардвер који је сигуран за меморију како би смањили површину напада преко које нападачи могу да нападну. Сам извештај није детаљно навео шта се тачно сматра програмским језиком који је сигуран у меморију. Међутим, у новембру 2022, Агенција за националну безбедност (НСА) је објавила билтен о сајбер безбедности, који детаљно описује програмске језике за које је веровао да су безбедни за меморију.

Извештај такође позива на боље мерење безбедности софтвера. ОНЦД верује да боље метрике омогућавају добављачима технологије да боље планирају, предвиде и ублаже рањивости пре него што постану проблем.

Овај извештај је последњи у низу корака које је предузела америчка влада. У марту 2023., председник Бајден је потписао Извршни налог о сајбер безбедности, којим су покренути процеси за заштиту софтвера и хардвера, као и стварање веза у технолошкој индустрији.

Прочитајте такође:

• Microsoft открили су хакере из Кине и Русије који су користили њене АИ алате
• Пентагон је користио Гуглов АИ да идентификује мете за ваздушне нападе