У uusi raportti Valkoisen talon National Cyber Directorin (ONCD) toimisto kehotti kehittäjiä käyttämään "kevyitä ohjelmointikieliä" - luokkaa, joka sulkee pois suositut kielet. Neuvo on osa Yhdysvaltain presidentti Bidenin kyberturvallisuusstrategiaa ja on askel kohti "kyberavaruuden rakennuspalikoiden suojaamista".
Ohjelmistokoodin virheellinen muistinhallinta voi johtaa vakaviin haavoittuvuuksiin, jolloin hyökkääjät voivat suorittaa kyberhyökkäyksiä. Ohjelmointikieliä, kuten Java, pidetään ajonaikaisten virheiden havaitsemismekanismiensa ansiosta turvallisina muistinhallinnan kannalta. Sitä vastoin C ja C++ antavat kehittäjille mahdollisuuden suorittaa osoitintoimintoja ja osoittaa osoitteita suoraan tietokoneen muistissa. Tämä sisältää tietojen lukemisen ja kirjoittamisen mihin tahansa muistipaikkaan, johon he pääsevät osoittimen kautta.
Vuonna 2019 turvallisuusinsinöörit Microsoft raportoi, että noin 70 % haavoittuvuuksista johtui muistin tietoturvaongelmista. Vuonna 2020 Google raportoi saman luvun, mutta Chromium-selaimesta löytyneiden vikojen osalta.
"Asiantuntijat ovat tunnistaneet useita ohjelmointikieliä, joista puuttuu muistin turvallisuuteen liittyviä ominaisuuksia, vaan ne ovat myös laajalle levinneitä kriittisissä järjestelmissä, kuten C ja C++", raportissa sanotaan. "Muistiturvallisten ohjelmointikielten valitseminen alusta alkaen, kuten Cybersecurity and Infrastructure Security Agencyn (CISA) avoimen lähdekoodin ohjelmistoturvallisuussuunnitelmassa suositellaan, on yksi esimerkki suojattujen ohjelmistojen kehittämisestä alusta alkaen vuoden loppuun mennessä".
19-sivuisen raportin tavoitteena on varmistaa, että vastuu kyberturvallisuudesta ei jää yksinomaan yksityishenkilöille ja pienyrityksille. Sen sijaan vastuu on suurilla organisaatioilla, teknologiayrityksillä ja viime kädessä valtiolla.
Raportti ei ainoastaan tuo esiin ongelmia C:n ja C++:n kanssa, vaan tarjoaa myös joukon vaihtoehtoja - ohjelmointikieliä, jotka on tunnustettu "muistiturvallisiksi". National Security Agencyn (NSA) suosittelemia kieliä ovat: Rust, Go, C#, Java, Swift, JavaScript ja Ruby. Nämä kielet sisältävät mekanismeja, jotka estävät yleisimmät muistihyökkäykset ja lisäävät näin kehitettävien järjestelmien turvallisuutta.
ONCD pyytää yrityksiä ja insinöörejä soveltamaan parhaita käytäntöjä ohjelmistokehityksessä ja käyttämään muistiturvallisia laitteita vähentämään hyökkäyspintaa, jonka kautta hyökkääjät voivat hyökätä. Itse raportissa ei kerrottu tarkemmin, mitä tarkalleen pidetään muistiturvallisena ohjelmointikielenä. Kuitenkin marraskuussa 2022 National Security Agency (NSA) julkaisi kyberturvallisuusuutiskirje, jossa kerrottiin yksityiskohtaisesti ohjelmointikielet, joiden hän uskoi olevan muistiturvallisia.
Raportti kehottaa myös mittaamaan paremmin ohjelmistojen turvallisuutta. ONCD uskoo, että parempien mittareiden avulla teknologian tarjoajat voivat paremmin suunnitella, ennakoida ja lieventää haavoittuvuuksia ennen kuin niistä tulee ongelmia.
Tämä raportti on viimeisin Yhdysvaltojen hallituksen toteuttamien toimien sarjassa. Maaliskuussa 2023 presidentti Biden allekirjoitti Cybersecurity Executive Orderin, joka käynnisti prosessit ohjelmistojen ja laitteistojen suojaamiseksi sekä teknologiateollisuuden siteiden luomiseksi.
Lue myös:
C++ tulee aina olemaan kärjessä sen optimointikyvyn ansiosta. Ja muistin suojaus ei ole bugi vaan ominaisuus
Ficha huicha
"Sitten sekoitin suoran kulman... (c)" :))
"National Security Agencyn (NSA) suosittelemia kieliä ovat: Rust, Go, C#, Java, Swift, JavaScript ja Ruby."
Biden hukkuu javaan, se on selvää...
Tärkeät strategiset asiat hoidetaan...
Meidän on vielä järjestettävä tiedotustilaisuus"Android vs iOS".
1. Missä päin maailmaa opit Javasta? Siellä on myös merkitty ruoste.
2. En ymmärrä sarkasmia, nyt todellakin on ongelma vuotavassa ohjelmistossa, varsinkin jos se on jonkinlaista perintöä, ja yhdistelmä, jos se on kirjoitettu jonkun kanssa tehtyyn alihankintaan.
1. Lähteessä - ctrl+F "Java"
2. Se on puhtaasti ukrainalaista sarkasmia, jotta ymmärrät, tarvitseeko ohjelmoida jossain esimerkiksi Harkovassa vai Kupjanskissa.
1 - ei, ensisijainen lähde on viestin ensimmäinen linkki (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
itse asiassa kuvakaappaus on sieltä.
Kävi ilmi, että THD teki virheen, ja sinä otit sen ja käänsit sen.
2 - en ymmärtänyt.
Yritetään selvittää se. Kiitos huomiostasi.
Valkoinen talo muuttuu, mutta C++ säilyy