У 新報告 白宮國家網路主任辦公室(ONCD)敦促開發人員使用「輕量級程式語言」—排除流行語言的類別。該建議是美國總統拜登網路安全戰略的一部分,也是朝著「保護網路空間的組成部分」邁出的一步。
軟體程式碼中的記憶體管理不當可能會導致嚴重的漏洞,使攻擊者能夠進行網路攻擊。 Java 等程式語言由於其運行時錯誤檢測機制,在記憶體管理方面被認為是安全的。相較之下,C 和 C++ 允許開發人員執行指標操作並直接定址電腦記憶體中的位址。這包括將資料讀取和寫入到可以透過指標存取的任何記憶體位置。
2019年安全工程師 Microsoft 報告稱,大約70%的漏洞是由記憶體安全問題引起的。 2020 年,Google報告了相同的數字,但針對的是 Chromium 瀏覽器中發現的錯誤。
報告稱:“專家們已經發現幾種程式語言不僅缺乏與記憶體安全相關的功能,而且在 C 和 C++ 等關鍵任務系統中也廣泛存在。” 「按照網路安全與基礎設施安全局 (CISA) 開源軟體安全路線圖的建議,從頭開始選擇記憶體安全的程式語言,是到年底從頭開始開發安全軟體的一個例子」。
這份長達 19 頁的報告的目的是確保網路安全的責任不僅由個人和小型企業承擔。相反,責任在於大型組織、科技公司,最終也是政府。
報告不僅指出了C和C++的問題,還提供了多種替代方案——被公認為「記憶體安全」的程式語言。美國國家安全局(NSA)推薦的語言包括:Rust、Go、C#、Java、Swift、JavaScript 和 Ruby。這些語言包含防止常見類型記憶體攻擊的機制,從而提高了正在開發的系統的安全性。
ONCD 要求公司和工程師在軟體開發中應用最佳實踐,並使用記憶體安全硬體來減少攻擊者可以進行攻擊的攻擊面。報告本身沒有詳細說明什麼是記憶體安全的程式語言。然而,2022 年 月,美國國家安全局 (NSA) 發布 網路安全通訊,其中詳細介紹了他認為記憶體安全的程式語言。
該報告還呼籲更好地衡量軟體安全性。 ONCD 認為,更好的指標使技術提供者在漏洞成為問題之前更好地規劃、預測和緩解漏洞。
這份報告是美國政府採取的一系列措施中的最新一份。 2023 年 月,拜登總統簽署了《網路安全行政命令》,啟動了保護軟體和硬體以及在科技產業建立聯繫的流程。
另請閱讀:
查看評論
C++因其優化能力而永遠名列前茅。記憶體安全不是一個錯誤而是一個功能
菲查惠查
「然後我混淆了一個直角......(c)」:))
“國家安全局 (NSA) 推薦的語言包括:Rust、Go、C#、Java、Swift、JavaScript 和 Ruby。”
拜登正淹沒在爪哇之中,很明顯...
重要的戰略問題得到解決...
我們還需要安排一次簡報”Android 與 iOS」。
1. 您在哪裡學習 Java 的?那裡也顯示了鏽跡。
2. 我不明白諷刺,現在確實存在洩漏軟體的問題,特別是如果它是某種遺產,以及如果它是在與某人的分包合約上編寫的組合。
1. 在原始碼中 – ctrl+F “Java”
2. 這純粹是烏克蘭人的諷刺,例如,了解您是否需要在哈爾科夫或庫皮揚斯克的某個地方編程。
1 - 不,主要來源是貼文中的第一個連結(https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
實際上螢幕截圖來自那裡。
原來THD搞錯了,你拿過來翻譯了。
2 - 不明白。
讓我們試著找出答案。感謝您的關注。
白宮會變,但 C++ 仍會存在