Bela hiša razvijalce poziva, naj se izogibajo C in C++ v korist "varnih" programskih jezikov

У novo poročilo Urad Bele hiše Nacionalnega kibernetskega direktorja (ONCD) je pozval razvijalce, naj uporabljajo "lahke programske jezike" - kategorijo, ki izključuje priljubljene jezike. Nasvet je del strategije kibernetske varnosti ameriškega predsednika Bidna in je korak k "zaščiti gradnikov kibernetičnega prostora".

Nepravilno upravljanje pomnilnika v programski kodi lahko povzroči resne ranljivosti, ki napadalcem omogočijo kibernetske napade. Programski jeziki, kot je Java, zaradi svojih mehanizmov za odkrivanje napak med izvajanjem veljajo za varne glede upravljanja pomnilnika. Nasprotno pa C in C++ razvijalcem omogočata izvajanje kazalnih operacij in neposredno naslavljanje naslovov v računalniškem pomnilniku. To vključuje branje in pisanje podatkov na katero koli pomnilniško lokacijo, do katere lahko dostopajo prek kazalca.

Leta 2019 varnostni inženirji Microsoft je poročal, da je bilo približno 70 % ranljivosti posledica težav z varnostjo pomnilnika. Leta 2020 je Google poročal o isti številki, vendar za hrošče, najdene v brskalniku Chromium.

"Strokovnjaki so identificirali več programskih jezikov, ki nimajo samo funkcij, povezanih z varnostjo pomnilnika, ampak so tudi razširjeni v kritičnih sistemih, kot sta C in C++," je zapisano v poročilu. "Izbira pomnilniško varnih programskih jezikov od začetka, kot priporoča Agencija za kibernetsko varnost in infrastrukturno varnost (CISA) Načrt varnosti odprtokodne programske opreme, je en primer razvoja varne programske opreme od začetka do konca"".

Namen 19-stranskega poročila je zagotoviti, da odgovornost za kibernetsko varnost ne leži le na posameznikih in malih podjetjih. Namesto tega odgovornost nosijo velike organizacije, tehnološka podjetja in navsezadnje vlada.

Poročilo ne le opozarja na težave s C in C++, ampak ponuja tudi številne alternative - programske jezike, ki so prepoznani kot "pomnilniško varni". Jeziki, ki jih priporoča Agencija za nacionalno varnost (NSA), vključujejo: Rust, Go, C#, Java, Swift, JavaScript in Ruby. Ti jeziki vsebujejo mehanizme, ki preprečujejo običajne vrste napadov na pomnilnik in s tem povečujejo varnost sistemov, ki se razvijajo.

ONCD prosi podjetja in inženirje, naj uporabijo najboljše prakse pri razvoju programske opreme in uporabljajo strojno opremo, varno s pomnilnikom, da zmanjšajo površino napadov, prek katere lahko napadalci napadajo. Samo poročilo ni podrobno opisalo, kaj točno se šteje za programski jezik, ki je varen za pomnilnik. Vendar pa je novembra 2022 Agencija za nacionalno varnost (NSA) objavila glasilo o kibernetski varnosti, ki je podrobno opisal programske jezike, za katere je verjel, da so varni za spomin.

Poročilo poziva tudi k boljšemu merjenju varnosti programske opreme. ONCD verjame, da boljše meritve ponudnikom tehnologije omogočajo boljše načrtovanje, predvidevanje in ublažitev ranljivosti, preden postanejo problem.

To poročilo je zadnje v nizu ukrepov, ki jih je sprejela vlada ZDA. Marca 2023 je predsednik Biden podpisal izvršni ukaz o kibernetski varnosti, ki je sprožil postopke za zaščito programske in strojne opreme ter vzpostavil vezi v tehnološki industriji.

Preberite tudi:

• Microsoft odkrili hekerje iz Kitajske in Rusije, ki so uporabljali njena orodja AI
• Pentagon je uporabil Googlovo umetno inteligenco za identifikacijo tarč za zračne napade