У jauns ziņojums Nacionālā kiberdirektora (ONCD) Baltā nama birojs mudināja izstrādātājus izmantot "vieglas programmēšanas valodas" - kategoriju, kas izslēdz populāras valodas. Šis padoms ir daļa no ASV prezidenta Baidena kiberdrošības stratēģijas un ir solis ceļā uz "kibertelpas pamatelementu aizsardzību".
Nepareiza atmiņas pārvaldība programmatūras kodā var radīt nopietnas ievainojamības, ļaujot uzbrucējiem veikt kiberuzbrukumus. Programmēšanas valodas, piemēram, Java, to izpildlaika kļūdu noteikšanas mehānismu dēļ tiek uzskatītas par drošām attiecībā uz atmiņas pārvaldību. Turpretim C un C++ ļauj izstrādātājiem veikt rādītāja darbības un tieši adresēt adreses datora atmiņā. Tas ietver datu lasīšanu un rakstīšanu jebkurā atmiņas vietā, kurai tie var piekļūt, izmantojot rādītāju.
2019. gadā drošības inženieri Microsoft ziņoja, ka aptuveni 70% ievainojamību izraisīja atmiņas drošības problēmas. 2020. gadā Google ziņoja par tādu pašu skaitli, bet par kļūdām, kas atrastas pārlūkprogrammā Chromium.
"Eksperti ir identificējuši vairākas programmēšanas valodas, kurām ne tikai trūkst ar atmiņas drošību saistītu funkciju, bet arī tās ir plaši izplatītas kritiskās sistēmās, piemēram, C un C++," teikts ziņojumā. "Atmiņu drošas programmēšanas valodu izvēle no paša sākuma, kā ieteikts Kiberdrošības un infrastruktūras drošības aģentūras (CISA) atvērtā pirmkoda programmatūras drošības ceļvedī, ir viens no piemēriem drošas programmatūras izstrādei no paša sākuma līdz gada beigām".
19 lappušu garā ziņojuma mērķis ir nodrošināt, lai atbildība par kiberdrošību neuzņemtos tikai privātpersonas un mazie uzņēmumi. Tā vietā atbildība gulstas uz lielām organizācijām, tehnoloģiju uzņēmumiem un galu galā arī uz valdību.
Ziņojumā ne tikai norādītas uz C un C++ problēmām, bet arī piedāvātas vairākas alternatīvas – programmēšanas valodas, kas atzītas par "atmiņas drošu". Nacionālās drošības aģentūras (NSA) ieteiktās valodas ir šādas: Rust, Go, C#, Java, Swift, JavaScript un Ruby. Šīs valodas satur mehānismus, kas novērš izplatītus atmiņas uzbrukumu veidus, tādējādi palielinot izstrādāto sistēmu drošību.
ONCD lūdz uzņēmumus un inženierus piemērot labāko praksi programmatūras izstrādē un izmantot atmiņu drošu aparatūru, lai samazinātu uzbrukuma virsmu, caur kuru uzbrucēji var uzbrukt. Pašā ziņojumā nebija detalizēti norādīts, kas tieši tiek uzskatīts par programmēšanas valodu, kurai nav nepieciešama atmiņa. Tomēr 2022. gada novembrī Nacionālās drošības aģentūra (NSA) atklāja kiberdrošības biļetens, kurā sīki aprakstītas programmēšanas valodas, kuras, pēc viņa domām, ir drošas atmiņai.
Ziņojumā arī aicināts labāk novērtēt programmatūras drošību. ONCD uzskata, ka labāki rādītāji ļauj tehnoloģiju nodrošinātājiem labāk plānot, paredzēt un mazināt ievainojamības, pirms tās kļūst par problēmu.
Šis ziņojums ir jaunākais no ASV valdības veiktajiem pasākumiem. 2023. gada martā prezidents Baidens parakstīja Kiberdrošības izpildrakstu, ar kuru tika uzsākti procesi programmatūras un aparatūras aizsardzībai, kā arī sakaru veidošanai tehnoloģiju nozarē.
Lasi arī:
C++ vienmēr būs topā, jo spēj optimizēt. Un atmiņas drošība nav kļūda, bet gan funkcija
Ficha huicha
"Tad es sajaucu taisnu leņķi... (c)" :))
Nacionālās drošības aģentūras (NSA) ieteiktās valodas ir: Rust, Go, C#, Java, Swift, JavaScript un Ruby.
Baidens slīkst java, skaidrs...
Tiek risināti svarīgi stratēģiski jautājumi...
Mums vēl jāorganizē instruktāža"Android pret iOS".
1. Kurā vietā jūs uzzinājāt par Java? Tur arī norādīta rūsa.
2. Es nesaprotu sarkasmu, tagad tiešām ir problēma ar noplūdušo programmatūru, it īpaši, ja tas ir kaut kāds mantojums, un kombinācija, ja tas bija rakstīts uz apakšlīguma ar kādu.
1. Avotā — ctrl+F “Java”
2. Tas ir tīri ukraiņu sarkasms, lai saprastu, vai vajag programmēt kaut kur, piemēram, Harkovā vai Kupjanskā.
1 — nē, primārais avots ir ziņas pirmā saite (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
patiesībā ekrānuzņēmums ir no turienes.
Izrādās, ka THD kļūdījās, un jūs to paņēmāt un iztulkojāt.
2 - nesapratu.
Mēģināsim to izdomāt. Paldies par jūsu uzmanību.
Baltais nams mainīsies, bet C++ paliks