A Fehér Ház is a C és a C++ elhagyására buzdít
A Biden-adminisztráció egyre aktívabban ajánlja a memóriabiztos nyelvek használatát, az NSA után a Fehér Ház is útmutatást adott ki a fejlesztőknek.
A Fehér Ház Office of the National Cyber Director (ONCD) hivatala a héten kiadott ajánlásában arra sürgeti a technológiai vállalatokat, hogy váltsanak memóriabiztos programozási nyelvek használatára a biztonsági kockázatok csökkentésének érdekében, kiemelten ajánlva a Rustot, a Javascriptet, a Java-t, vagy a C#-t. A jelentés a Biden elnök által 2023 márciusában aláírt Nemzeti Kiberbiztonsági Stratégiára épül, amely az ország kiberterének védelmének terhét a szoftvergyártókra és szolgáltatókra hárította. A hivatal ezzel együtt javasolja, hogy a fejlesztők hagyjanak fel a programok C vagy C++ nyelven történő fejlesztésével - az említett két nyelvet különösen a kritikus rendszerek használatában tartja kockázatosnak a hivatal.
A Microsoft és a Google jelentése szerint a szoftverekben megbújó biztonsági sérülékenységek közel 70 százaléka valamilyen memóriahibára vezethető vissza. Emellett a Common Weakness Enumeration (CWE) katalógust gondozó The MITRE Corporation leggyakoribb sebezhetőségeket listázó 25-ös toplistáján évek óta ott van a CWE-119-es kódjelű "Improper Restriction of Operations within the Bounds of a Memory Buffer”, a memóriapuffer túlcsordulása, mint biztonsági hiányosság. A támadók előszeretettel keresnek utakat a rendszerekbe a memóriaallokáció hiányain keresztül is.
Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.
2022 végén az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) tett közzé útmutatót a kibertámadásokra lehetőséget adó memóriahibák megelőzésére és kezelésére vonatkozóan a szoftverfejlesztők és üzemeltetők számára. A dokumentum részletezi, hogy illetéktelenek miként tudnak visszaélni a távolból a memóriát kezelő kódok sebezhetőségeivel, ami gyakrabban fordul elő azon nyelvekkel, amelyek több lehetőséget és rugalmasságot biztosítanak a programozóknak, így például a széleskörben elterjedt C-vel és C++-szal.
Az olyan széles körben elterjedt nyelvek, mint a C és a C++ ugyan nagy szabadságot és rugalmasságot biztosítanak a memóriakezelésben, de az egyszerű hibák is kihasználható sebezhetőségek keletkezéséhez vezethetnek. A C vagy C++ programozási nyelveken írt alkalmazásokban gyakoribbak az ilyen kódolási hibák, ezért a fejlesztői közösség az utóbbi évek során már láthatóan elkezdett biztonságosabb gyakorlatok felé fordulni, és az irányváltást mutatja az is, hogy a cégek is létre hívtak új nyelveket.
A Google 2022 végén jelentett először komolyabb eredményekről, miután az Android Open Source Project (AOSP) támogatni kezdte a Rust programozási nyelvet, ezzel együtt a cég megkezdte a Rust használatát a mobilos rendszer kódjában abban a reményben, hogy sikerül csökkenteni a biztonsági rések számát a szoftverben. A memóriabiztonsági sebezhetőségek száma jelentősen csökkent az elmúlt néhány évben az újabb kiadásokkal, egészen pontosan 223-ról 85-re esett vissza a 2019 és 2022 közötti időszakban.