У novi izvještaj Ured Nacionalnog sajber direktora Bijele kuće (ONCD) pozvao je programere da koriste "lake programske jezike" - kategoriju koja isključuje popularne jezike. Savjet je dio strategije kibernetičke sigurnosti američkog predsjednika Bidena i korak je ka "zaštiti građevnih blokova sajber prostora".
Nepravilno upravljanje memorijom u softverskom kodu može dovesti do ozbiljnih ranjivosti, omogućavajući napadačima da izvrše sajber napade. Programski jezici kao što je Java, zbog svojih mehanizama za otkrivanje grešaka u toku rada, smatraju se sigurnima u pogledu upravljanja memorijom. Nasuprot tome, C i C++ dozvoljavaju programerima da izvode operacije pokazivača i direktno adresiraju adrese u memoriji računara. Ovo uključuje čitanje i pisanje podataka na bilo koju memorijsku lokaciju kojoj mogu pristupiti preko pokazivača.
2019. inženjeri sigurnosti Microsoft izvijestili su da je oko 70% ranjivosti uzrokovano problemima sigurnosti memorije. U 2020. godini, Google je objavio istu cifru, ali za greške pronađene u Chromium pretraživaču.
„Stručnjaci su identifikovali nekoliko programskih jezika kojima ne samo da nedostaju funkcije vezane za bezbednost memorije, već su takođe široko rasprostranjeni u sistemima koji su kritični za misiju kao što su C i C++“, navodi se u izveštaju. „Odabir memorijsko sigurnih programskih jezika iz temelja, kao što je preporučeno od strane Agencije za kibernetičku sigurnost i sigurnost infrastrukture (CISA), jedan je primjer razvoja sigurnog softvera od temelja do kraja”“.
Cilj izvještaja od 19 stranica je osigurati da odgovornost za sajber sigurnost ne leži samo na pojedincima i malim preduzećima. Umjesto toga, odgovornost je na velikim organizacijama, tehnološkim kompanijama i na kraju na vladi.
Izveštaj ne samo da ukazuje na probleme sa C i C++, već nudi i brojne alternative – programske jezike koji su prepoznati kao „bezbedni za memoriju“. Jezici koje preporučuje Agencija za nacionalnu sigurnost (NSA) uključuju: Rust, Go, C#, Java, Swift, JavaScript i Ruby. Ovi jezici sadrže mehanizme koji sprečavaju uobičajene vrste napada na memoriju, čime se povećava sigurnost sistema koji se razvija.
ONCD traži od kompanija i inženjera da primjene najbolje prakse u razvoju softvera i koriste hardver koji je siguran u memoriju kako bi smanjili površinu napada kroz koju napadači mogu napasti. Sam izvještaj nije detaljno naveo šta se tačno smatra programskim jezikom koji je siguran u memoriju. Međutim, u novembru 2022. objavila je Agencija za nacionalnu sigurnost (NSA). bilten o sajber sigurnosti, koji detaljno opisuje programske jezike za koje je vjerovao da su sigurni u memoriju.
Izveštaj takođe poziva na bolje merenje bezbednosti softvera. ONCD vjeruje da bolje metrike omogućavaju dobavljačima tehnologije da bolje planiraju, predviđaju i ublaže ranjivosti prije nego što postanu problem.
Ovaj izvještaj je posljednji u nizu koraka koje je poduzela američka vlada. U martu 2023., predsjednik Bajden potpisao je Izvršnu naredbu o kibernetičkoj sigurnosti, kojom su pokrenuti procesi zaštite softvera i hardvera, kao i stvaranje veza u tehnološkoj industriji.
Pročitajte također:
View Comments
C++ će uvijek biti u vrhu zbog svoje sposobnosti optimizacije. A sigurnost memorije nije greška već karakteristika
Ficha huicha
"Onda sam pobrkao pravi ugao... (c)" :))
"Jezici koje preporučuje Nacionalna sigurnosna agencija (NSA) uključuju: Rust, Go, C#, Java, Swift, JavaScript i Ruby."
Bajden se davi u Javi, jasno je...
Važna strateška pitanja su riješena...
Moramo još dogovoriti brifing"Android vs iOS".
1. Gdje ste u svijetu naučili o Javi? Tamo je takođe naznačena rđa.
2. Ne razumijem sarkazam, sad stvarno postoji problem sa softverom koji curi, pogotovo ako je neka vrsta legata, i combo ako je napisan na podugovoru sa nekim.
1. U izvoru – ctrl+F “Java”
2. To je čisto ukrajinski sarkazam, da shvatite da li trebate programirati negdje u Harkovu, na primjer, ili u Kupjansku.
1 - ne, primarni izvor je prvi link u postu (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
zapravo snimak ekrana je odande.
Ispostavilo se da je THD napravio grešku, a vi ste to uzeli i preveli.
2 - nije razumeo.
Pokušajmo to shvatiti. Hvala vam na pažnji.
Bijela kuća će se promijeniti, ali C++ će ostati