Hvíta húsið hvetur forritara til að forðast C og C++ í þágu „öruggra“ forritunarmála

У ný skýrsla Skrifstofa netmálastjóra Hvíta hússins (ONCD) hvatti forritara til að nota „létt forritunarmál“ - flokkur sem útilokar vinsæl tungumál. Ráðið er hluti af netöryggisstefnu Biden Bandaríkjaforseta og er skref í átt að „verndun byggingareininga netheimsins“.

Óviðeigandi minnisstjórnun í hugbúnaðarkóða getur leitt til alvarlegra veikleika, sem gerir árásarmönnum kleift að framkvæma netárásir. Forritunarmál eins og Java eru talin örugg með tilliti til minnisstjórnunar, vegna villugreiningaraðferða sinna. Aftur á móti leyfa C og C++ forriturum að framkvæma bendiaðgerðir og taka beint á netföng í tölvuminni. Þetta felur í sér að lesa og skrifa gögn á hvaða minnisstað sem þeir geta nálgast með bendili.

Árið 2019, öryggisverkfræðingar Microsoft greint frá því að um 70% veikleika hafi stafað af minni öryggisvandamálum. Árið 2020 tilkynnti Google sömu tölu, en fyrir villur sem finnast í Chromium vafranum.

„Sérfræðingar hafa bent á nokkur forritunarmál sem skortir ekki aðeins eiginleika sem tengjast minnisöryggi, heldur eru þau einnig útbreidd í mikilvægum verkefnum eins og C og C++,“ segir í skýrslunni. „Að velja minnisörugg forritunarmál frá grunni, eins og mælt er með í netöryggis- og innviðaöryggisstofnuninni (CISA) Open Source Software Security Roadmap, er eitt dæmi um að þróa öruggan hugbúnað frá grunni í lok““.

Markmiðið með 19 blaðsíðna skýrslunni er að tryggja að ábyrgð á netöryggi liggi ekki eingöngu hjá einstaklingum og litlum fyrirtækjum. Þess í stað hvílir ábyrgðin á stórum stofnunum, tæknifyrirtækjum og að lokum stjórnvöldum.

Skýrslan bendir ekki aðeins á vandamálin með C og C++, heldur býður hún einnig upp á fjölda valkosta - forritunarmál sem viðurkennd eru sem „minni örugg“. Tungumál sem Þjóðaröryggisstofnunin (NSA) mælir með eru: Rust, Go, C#, Java, Swift, JavaScript og Ruby. Þessi tungumál innihalda kerfi sem koma í veg fyrir algengar tegundir minnisárása og auka þannig öryggi kerfanna sem verið er að þróa.

ONCD biður fyrirtæki og verkfræðinga að beita bestu starfsvenjum við hugbúnaðarþróun og nota minnisöruggan vélbúnað til að draga úr árásaryfirborðinu sem árásarmenn geta ráðist í gegnum. Í skýrslunni sjálfri var ekki fjallað um hvað nákvæmlega telst vera minnisöruggt forritunarmál. Hins vegar, í nóvember 2022, gaf Þjóðaröryggisstofnunin (NSA) út fréttabréf netöryggis, sem útlistaði forritunarmál sem hann taldi vera minnisörugg.

Skýrslan kallar einnig á betri mælingar á öryggi hugbúnaðar. ONCD telur að betri mælikvarðar geri tækniveitendum kleift að skipuleggja betur, sjá fyrir og draga úr veikleikum áður en þeir verða að vandamáli.

Þessi skýrsla er sú nýjasta í röð aðgerða sem bandarísk stjórnvöld hafa tekið. Í mars 2023 undirritaði Biden forseti framkvæmdarskipun netöryggis, sem setti af stað ferli til að vernda hugbúnað og vélbúnað, auk þess að mynda tengsl í tækniiðnaðinum.

Lestu líka:

• Microsoft uppgötvaði tölvusnápur frá Kína og Rússlandi sem notuðu gervigreindartæki þess
• Pentagon notaði gervigreind frá Google til að bera kennsl á skotmörk fyrir loftárásir