Baltais nams mudina izstrādātājus izvairīties no C un C++ par labu "drošām" programmēšanas valodām

У jauns ziņojums Nacionālā kiberdirektora (ONCD) Baltā nama birojs mudināja izstrādātājus izmantot "vieglas programmēšanas valodas" - kategoriju, kas izslēdz populāras valodas. Šis padoms ir daļa no ASV prezidenta Baidena kiberdrošības stratēģijas un ir solis ceļā uz "kibertelpas pamatelementu aizsardzību".

Nepareiza atmiņas pārvaldība programmatūras kodā var radīt nopietnas ievainojamības, ļaujot uzbrucējiem veikt kiberuzbrukumus. Programmēšanas valodas, piemēram, Java, to izpildlaika kļūdu noteikšanas mehānismu dēļ tiek uzskatītas par drošām attiecībā uz atmiņas pārvaldību. Turpretim C un C++ ļauj izstrādātājiem veikt rādītāja darbības un tieši adresēt adreses datora atmiņā. Tas ietver datu lasīšanu un rakstīšanu jebkurā atmiņas vietā, kurai tie var piekļūt, izmantojot rādītāju.

2019. gadā drošības inženieri Microsoft ziņoja, ka aptuveni 70% ievainojamību izraisīja atmiņas drošības problēmas. 2020. gadā Google ziņoja par tādu pašu skaitli, bet par kļūdām, kas atrastas pārlūkprogrammā Chromium.

"Eksperti ir identificējuši vairākas programmēšanas valodas, kurām ne tikai trūkst ar atmiņas drošību saistītu funkciju, bet arī tās ir plaši izplatītas kritiskās sistēmās, piemēram, C un C++," teikts ziņojumā. "Atmiņu drošas programmēšanas valodu izvēle no paša sākuma, kā ieteikts Kiberdrošības un infrastruktūras drošības aģentūras (CISA) atvērtā pirmkoda programmatūras drošības ceļvedī, ir viens no piemēriem drošas programmatūras izstrādei no paša sākuma līdz gada beigām".

19 lappušu garā ziņojuma mērķis ir nodrošināt, lai atbildība par kiberdrošību neuzņemtos tikai privātpersonas un mazie uzņēmumi. Tā vietā atbildība gulstas uz lielām organizācijām, tehnoloģiju uzņēmumiem un galu galā arī uz valdību.

Ziņojumā ne tikai norādītas uz C un C++ problēmām, bet arī piedāvātas vairākas alternatīvas – programmēšanas valodas, kas atzītas par "atmiņas drošu". Nacionālās drošības aģentūras (NSA) ieteiktās valodas ir šādas: Rust, Go, C#, Java, Swift, JavaScript un Ruby. Šīs valodas satur mehānismus, kas novērš izplatītus atmiņas uzbrukumu veidus, tādējādi palielinot izstrādāto sistēmu drošību.

ONCD lūdz uzņēmumus un inženierus piemērot labāko praksi programmatūras izstrādē un izmantot atmiņu drošu aparatūru, lai samazinātu uzbrukuma virsmu, caur kuru uzbrucēji var uzbrukt. Pašā ziņojumā nebija detalizēti norādīts, kas tieši tiek uzskatīts par programmēšanas valodu, kurai nav nepieciešama atmiņa. Tomēr 2022. gada novembrī Nacionālās drošības aģentūra (NSA) atklāja kiberdrošības biļetens, kurā sīki aprakstītas programmēšanas valodas, kuras, pēc viņa domām, ir drošas atmiņai.

Ziņojumā arī aicināts labāk novērtēt programmatūras drošību. ONCD uzskata, ka labāki rādītāji ļauj tehnoloģiju nodrošinātājiem labāk plānot, paredzēt un mazināt ievainojamības, pirms tās kļūst par problēmu.

Šis ziņojums ir jaunākais no ASV valdības veiktajiem pasākumiem. 2023. gada martā prezidents Baidens parakstīja Kiberdrošības izpildrakstu, ar kuru tika uzsākti procesi programmatūras un aparatūras aizsardzībai, kā arī sakaru veidošanai tehnoloģiju nozarē.

Lasi arī:

• Microsoft atklāja hakerus no Ķīnas un Krievijas, kuri izmantoja tās AI rīkus
• Pentagons izmantoja Google AI, lai identificētu gaisa triecienu mērķus