У nová zpráva Úřad Národního kybernetického ředitele (ONCD) Bílého domu vyzval vývojáře, aby používali „odlehčené programovací jazyky“ – kategorii, která vylučuje populární jazyky. Rada je součástí strategie kybernetické bezpečnosti amerického prezidenta Bidena a je krokem k „ochraně stavebních kamenů kyberprostoru“.
Nesprávná správa paměti v softwarovém kódu může vést k závažným zranitelnostem, což útočníkům umožňuje provádět kybernetické útoky. Programovací jazyky, jako je Java, jsou vzhledem k jejich mechanismům detekce chyb za běhu považovány za bezpečné s ohledem na správu paměti. Naproti tomu C a C++ umožňují vývojářům provádět operace ukazatelů a přímo adresovat adresy v paměti počítače. To zahrnuje čtení a zápis dat do libovolného paměťového místa, ke kterému mají přístup pomocí ukazatele.
V roce 2019 bezpečnostní inženýři Microsoft uvedl, že asi 70 % zranitelností bylo způsobeno problémy se zabezpečením paměti. V roce 2020 Google oznámil stejné číslo, ale kvůli chybám nalezeným v prohlížeči Chromium.
"Odborníci identifikovali několik programovacích jazyků, které nejen postrádají funkce související s bezpečností paměti, ale jsou také rozšířené v kritických systémech, jako jsou C a C++," uvádí zpráva. „Výběr paměťově bezpečných programovacích jazyků od základů, jak doporučuje Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) Open Source Software Security Roadmap, je jedním z příkladů vývoje bezpečného softwaru od základů do konce roku““.
Cílem 19stránkové zprávy je zajistit, aby odpovědnost za kybernetickou bezpečnost neležela pouze na jednotlivcích a malých firmách. Místo toho odpovědnost spočívá na velkých organizacích, technologických společnostech a nakonec na vládě.
Zpráva nejen poukazuje na problémy s C a C++, ale nabízí i řadu alternativ – programovací jazyky uznávané jako „bezpečné pro paměť“. Mezi jazyky doporučené Národní bezpečnostní agenturou (NSA) patří: Rust, Go, C#, Java, Swift, JavaScript a Ruby. Tyto jazyky obsahují mechanismy, které zabraňují běžným typům útoků na paměť a zvyšují tak bezpečnost vyvíjených systémů.
ONCD žádá společnosti a inženýry, aby uplatňovali osvědčené postupy při vývoji softwaru a používali paměťově bezpečný hardware ke snížení útočné plochy, přes kterou mohou útočníci útočit. Samotná zpráva neuvádí podrobnosti o tom, co přesně je považováno za programovací jazyk bezpečný pro paměť. V listopadu 2022 však Národní bezpečnostní agentura (NSA) vydala newsletter o kybernetické bezpečnosti, který podrobně popsal programovací jazyky, o kterých se domníval, že jsou bezpečné pro paměť.
Zpráva také vyzývá k lepšímu měření zabezpečení softwaru. ONCD věří, že lepší metriky umožňují poskytovatelům technologií lépe plánovat, předvídat a zmírňovat zranitelnosti dříve, než se stanou problémem.
Tato zpráva je posledním z řady kroků, které americká vláda podnikla. V březnu 2023 prezident Biden podepsal Výkonný příkaz pro kybernetickou bezpečnost, který zahájil procesy na ochranu softwaru a hardwaru a také navazování vazeb v technologickém průmyslu.
Přečtěte si také:
C++ bude vždy na vrcholu kvůli své schopnosti optimalizace. A zabezpečení paměti není chyba, ale funkce
Ficha huicha
"Pak jsem si spletl pravý úhel... (c)" :))
"National Security Agency (NSA) doporučené jazyky zahrnují: Rust, Go, C#, Java, Swift, JavaScript a Ruby."
Biden se topí v Javě, to je jasné...
Důležité strategické otázky jsou řešeny...
Ještě musíme uspořádat briefing"Android vs iOS“.
1. Kde ve světě jste se dozvěděli o Javě? Je tam naznačena i rez.
2. Nechápu sarkasmus, teď je opravdu problém s děravým softwarem, zvláště pokud je to nějaké dědictví, a kombo, pokud bylo napsáno na subdodávce s někým.
1. Ve zdroji – ctrl+F “Java”
2. Je to čistě ukrajinský sarkasmus, abyste pochopili, když potřebujete programovat třeba někde v Charkově nebo v Kupjansku.
1 – ne, primárním zdrojem je první odkaz v příspěvku (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
vlastně ten screenshot je odtud.
Ukázalo se, že THD udělal chybu a vy jste to vzali a přeložili.
2 - nerozuměl.
Zkusme na to přijít. Děkuji za pozornost.
Bílý dům se změní, ale C++ zůstane