У nový prehľad Kancelária Bieleho domu národného kybernetického riaditeľa (ONCD) vyzvala vývojárov, aby používali „odľahčené programovacie jazyky“ – kategóriu, ktorá vylučuje populárne jazyky. Rada je súčasťou stratégie kybernetickej bezpečnosti amerického prezidenta Bidena a je krokom k „ochrane stavebných kameňov kybernetického priestoru“.
Nesprávna správa pamäte v softvérovom kóde môže viesť k vážnym zraniteľnostiam, čo útočníkom umožňuje vykonávať kybernetické útoky. Programovacie jazyky, ako je Java, sa vzhľadom na ich mechanizmus detekcie chýb behu považujú za bezpečné z hľadiska správy pamäte. Naproti tomu C a C++ umožňujú vývojárom vykonávať operácie ukazovateľov a priamo adresovať adresy v pamäti počítača. To zahŕňa čítanie a zápis údajov do ľubovoľného miesta v pamäti, ku ktorému majú prístup prostredníctvom ukazovateľa.
V roku 2019 bezpečnostní inžinieri Microsoft uviedli, že približne 70 % zraniteľností bolo spôsobených problémami so zabezpečením pamäte. V roku 2020 Google oznámil rovnaký údaj, ale pre chyby nájdené v prehliadači Chromium.
"Odborníci identifikovali niekoľko programovacích jazykov, ktorým nielen chýbajú funkcie súvisiace s bezpečnosťou pamäte, ale sú tiež rozšírené v kritických systémoch, ako sú C a C++," uvádza sa v správe. „Výber pamäťovo bezpečných programovacích jazykov od základov, ako to odporúča Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) Open Source Software Security Roadmap, je jedným z príkladov vývoja bezpečného softvéru od základov do konca roka.
Cieľom 19-stranovej správy je zabezpečiť, aby zodpovednosť za kybernetickú bezpečnosť neniesli len jednotlivci a malé podniky. Namiesto toho zodpovednosť spočíva na veľkých organizáciách, technologických spoločnostiach a v konečnom dôsledku na vláde.
Správa poukazuje nielen na problémy s C a C++, ale ponúka aj množstvo alternatív – programovacie jazyky uznávané ako „bezpečné pre pamäť“. Jazyky odporúčané Národnou bezpečnostnou agentúrou (NSA) zahŕňajú: Rust, Go, C#, Java, Swift, JavaScript a Ruby. Tieto jazyky obsahujú mechanizmy, ktoré zabraňujú bežným typom útokov na pamäť, čím zvyšujú bezpečnosť vyvíjaných systémov.
ONCD žiada spoločnosti a inžinierov, aby aplikovali osvedčené postupy pri vývoji softvéru a používali pamäťovo bezpečný hardvér na zníženie plochy útoku, cez ktorú môžu útočníci útočiť. Samotná správa neuvádza podrobnosti o tom, čo presne sa považuje za programovací jazyk bezpečný pre pamäť. V novembri 2022 to však zverejnila Národná bezpečnostná agentúra (NSA). newsletter o kybernetickej bezpečnosti, ktorý podrobne popísal programovacie jazyky, o ktorých sa domnieval, že sú bezpečné pre pamäť.
Správa tiež vyzýva na lepšie meranie softvérovej bezpečnosti. ONCD verí, že lepšie metriky umožňujú poskytovateľom technológií lepšie plánovať, predvídať a zmierňovať slabé miesta skôr, ako sa stanú problémom.
Táto správa je posledným zo série krokov, ktoré podnikla americká vláda. V marci 2023 prezident Biden podpísal Výkonný príkaz pre kybernetickú bezpečnosť, ktorý spustil procesy na ochranu softvéru a hardvéru, ako aj nadviazanie väzieb v technologickom priemysle.
Prečítajte si tiež:
C++ bude vždy na vrchole vďaka svojej schopnosti optimalizácie. A zabezpečenie pamäte nie je chyba, ale funkcia
Ficha huicha
"Potom som si pomýlil pravý uhol... (c)" :))
"Odporúčané jazyky Národnej bezpečnostnej agentúry (NSA) zahŕňajú: Rust, Go, C#, Java, Swift, JavaScript a Ruby."
Biden sa topí v Jave, to je jasné...
Dôležité strategické otázky sú postarané...
Ešte musíme zorganizovať brífing"Android vs iOS“.
1. Kde vo svete ste sa dozvedeli o Jave? Je tam naznačená aj hrdza.
2. Nerozumiem sarkazmu, teraz je naozaj problem s deravym softverom, hlavne ak ide o nejake dedicstvo, a kombo ak to bolo napisane na subdodávku s niekým.
1. V zdroji – ctrl+F “Java”
2. Je to čisto ukrajinský sarkazmus, aby ste pochopili, ak potrebujete programovať napríklad niekde v Charkove alebo v Kupjansku.
1 – nie, primárnym zdrojom je prvý odkaz v príspevku (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
vlastne ten screenshot je odtiaľ.
Ukázalo sa, že THD urobil chybu a vy ste to vzali a preložili.
2 - nerozumel.
Skúsme na to prísť. Ďakujem za tvoju pozornosť.
Biely dom sa zmení, ale C++ zostane