Biely dom vyzýva vývojárov, aby sa vyhli C a C++ v prospech „bezpečných“ programovacích jazykov

У nový prehľad Kancelária Bieleho domu národného kybernetického riaditeľa (ONCD) vyzvala vývojárov, aby používali „odľahčené programovacie jazyky“ – kategóriu, ktorá vylučuje populárne jazyky. Rada je súčasťou stratégie kybernetickej bezpečnosti amerického prezidenta Bidena a je krokom k „ochrane stavebných kameňov kybernetického priestoru“.

Nesprávna správa pamäte v softvérovom kóde môže viesť k vážnym zraniteľnostiam, čo útočníkom umožňuje vykonávať kybernetické útoky. Programovacie jazyky, ako je Java, sa vzhľadom na ich mechanizmus detekcie chýb behu považujú za bezpečné z hľadiska správy pamäte. Naproti tomu C a C++ umožňujú vývojárom vykonávať operácie ukazovateľov a priamo adresovať adresy v pamäti počítača. To zahŕňa čítanie a zápis údajov do ľubovoľného miesta v pamäti, ku ktorému majú prístup prostredníctvom ukazovateľa.

V roku 2019 bezpečnostní inžinieri Microsoft uviedli, že približne 70 % zraniteľností bolo spôsobených problémami so zabezpečením pamäte. V roku 2020 Google oznámil rovnaký údaj, ale pre chyby nájdené v prehliadači Chromium.

"Odborníci identifikovali niekoľko programovacích jazykov, ktorým nielen chýbajú funkcie súvisiace s bezpečnosťou pamäte, ale sú tiež rozšírené v kritických systémoch, ako sú C a C++," uvádza sa v správe. „Výber pamäťovo bezpečných programovacích jazykov od základov, ako to odporúča Agentúra pre kybernetickú bezpečnosť a bezpečnosť infraštruktúry (CISA) Open Source Software Security Roadmap, je jedným z príkladov vývoja bezpečného softvéru od základov do konca roka.

Cieľom 19-stranovej správy je zabezpečiť, aby zodpovednosť za kybernetickú bezpečnosť neniesli len jednotlivci a malé podniky. Namiesto toho zodpovednosť spočíva na veľkých organizáciách, technologických spoločnostiach a v konečnom dôsledku na vláde.

Správa poukazuje nielen na problémy s C a C++, ale ponúka aj množstvo alternatív – programovacie jazyky uznávané ako „bezpečné pre pamäť“. Jazyky odporúčané Národnou bezpečnostnou agentúrou (NSA) zahŕňajú: Rust, Go, C#, Java, Swift, JavaScript a Ruby. Tieto jazyky obsahujú mechanizmy, ktoré zabraňujú bežným typom útokov na pamäť, čím zvyšujú bezpečnosť vyvíjaných systémov.

ONCD žiada spoločnosti a inžinierov, aby aplikovali osvedčené postupy pri vývoji softvéru a používali pamäťovo bezpečný hardvér na zníženie plochy útoku, cez ktorú môžu útočníci útočiť. Samotná správa neuvádza podrobnosti o tom, čo presne sa považuje za programovací jazyk bezpečný pre pamäť. V novembri 2022 to však zverejnila Národná bezpečnostná agentúra (NSA). newsletter o kybernetickej bezpečnosti, ktorý podrobne popísal programovacie jazyky, o ktorých sa domnieval, že sú bezpečné pre pamäť.

Správa tiež vyzýva na lepšie meranie softvérovej bezpečnosti. ONCD verí, že lepšie metriky umožňujú poskytovateľom technológií lepšie plánovať, predvídať a zmierňovať slabé miesta skôr, ako sa stanú problémom.

Táto správa je posledným zo série krokov, ktoré podnikla americká vláda. V marci 2023 prezident Biden podpísal Výkonný príkaz pre kybernetickú bezpečnosť, ktorý spustil procesy na ochranu softvéru a hardvéru, ako aj nadviazanie väzieb v technologickom priemysle.

Prečítajte si tiež:

• Microsoft objavil hackerov z Číny a Ruska, ktorí používali jeho nástroje AI
• Pentagon použil AI Google na identifikáciu cieľov pre nálety