Bílý dům nabádá vývojáře, aby se vyhýbali C a C++ ve prospěch „bezpečných“ programovacích jazyků

У nová zpráva Úřad Národního kybernetického ředitele (ONCD) Bílého domu vyzval vývojáře, aby používali „odlehčené programovací jazyky“ – kategorii, která vylučuje populární jazyky. Rada je součástí strategie kybernetické bezpečnosti amerického prezidenta Bidena a je krokem k „ochraně stavebních kamenů kyberprostoru“.

Nesprávná správa paměti v softwarovém kódu může vést k závažným zranitelnostem, což útočníkům umožňuje provádět kybernetické útoky. Programovací jazyky, jako je Java, jsou vzhledem k jejich mechanismům detekce chyb za běhu považovány za bezpečné s ohledem na správu paměti. Naproti tomu C a C++ umožňují vývojářům provádět operace ukazatelů a přímo adresovat adresy v paměti počítače. To zahrnuje čtení a zápis dat do libovolného paměťového místa, ke kterému mají přístup pomocí ukazatele.

V roce 2019 bezpečnostní inženýři Microsoft uvedl, že asi 70 % zranitelností bylo způsobeno problémy se zabezpečením paměti. V roce 2020 Google oznámil stejné číslo, ale kvůli chybám nalezeným v prohlížeči Chromium.

"Odborníci identifikovali několik programovacích jazyků, které nejen postrádají funkce související s bezpečností paměti, ale jsou také rozšířené v kritických systémech, jako jsou C a C++," uvádí zpráva. „Výběr paměťově bezpečných programovacích jazyků od základů, jak doporučuje Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) Open Source Software Security Roadmap, je jedním z příkladů vývoje bezpečného softwaru od základů do konce roku““.

Cílem 19stránkové zprávy je zajistit, aby odpovědnost za kybernetickou bezpečnost neležela pouze na jednotlivcích a malých firmách. Místo toho odpovědnost spočívá na velkých organizacích, technologických společnostech a nakonec na vládě.

Zpráva nejen poukazuje na problémy s C a C++, ale nabízí i řadu alternativ – programovací jazyky uznávané jako „bezpečné pro paměť“. Mezi jazyky doporučené Národní bezpečnostní agenturou (NSA) patří: Rust, Go, C#, Java, Swift, JavaScript a Ruby. Tyto jazyky obsahují mechanismy, které zabraňují běžným typům útoků na paměť a zvyšují tak bezpečnost vyvíjených systémů.

ONCD žádá společnosti a inženýry, aby uplatňovali osvědčené postupy při vývoji softwaru a používali paměťově bezpečný hardware ke snížení útočné plochy, přes kterou mohou útočníci útočit. Samotná zpráva neuvádí podrobnosti o tom, co přesně je považováno za programovací jazyk bezpečný pro paměť. V listopadu 2022 však Národní bezpečnostní agentura (NSA) vydala newsletter o kybernetické bezpečnosti, který podrobně popsal programovací jazyky, o kterých se domníval, že jsou bezpečné pro paměť.

Zpráva také vyzývá k lepšímu měření zabezpečení softwaru. ONCD věří, že lepší metriky umožňují poskytovatelům technologií lépe plánovat, předvídat a zmírňovat zranitelnosti dříve, než se stanou problémem.

Tato zpráva je posledním z řady kroků, které americká vláda podnikla. V březnu 2023 prezident Biden podepsal Výkonný příkaz pro kybernetickou bezpečnost, který zahájil procesy na ochranu softwaru a hardwaru a také navazování vazeb v technologickém průmyslu.

Přečtěte si také:

• Microsoft objevil hackery z Číny a Ruska, kteří používali jeho nástroje AI
• Pentagon použil AI Google k identifikaci cílů pro nálety