A Fehér Ház is a C és a C++ elhagyására buzdít
A Biden-adminisztráció egyre aktívabban ajánlja a memóriabiztos nyelvek használatát, az NSA után a Fehér Ház is útmutatást adott ki a fejlesztőknek.
A Fehér Ház Office of the National Cyber Director (ONCD) hivatala a héten kiadott ajánlásában arra sürgeti a technológiai vállalatokat, hogy váltsanak memóriabiztos programozási nyelvek használatára a biztonsági kockázatok csökkentésének érdekében, kiemelten ajánlva a Rustot, a Javascriptet, a Java-t, vagy a C#-t. A jelentés a Biden elnök által 2023 márciusában aláírt Nemzeti Kiberbiztonsági Stratégiára épül, amely az ország kiberterének védelmének terhét a szoftvergyártókra és szolgáltatókra hárította. A hivatal ezzel együtt javasolja, hogy a fejlesztők hagyjanak fel a programok C vagy C++ nyelven történő fejlesztésével - az említett két nyelvet különösen a kritikus rendszerek használatában tartja kockázatosnak a hivatal.
A Microsoft és a Google jelentése szerint a szoftverekben megbújó biztonsági sérülékenységek közel 70 százaléka valamilyen memóriahibára vezethető vissza. Emellett a Common Weakness Enumeration (CWE) katalógust gondozó The MITRE Corporation leggyakoribb sebezhetőségeket listázó 25-ös toplistáján évek óta ott van a CWE-119-es kódjelű "Improper Restriction of Operations within the Bounds of a Memory Buffer”, a memóriapuffer túlcsordulása, mint biztonsági hiányosság. A támadók előszeretettel keresnek utakat a rendszerekbe a memóriaallokáció hiányain keresztül is.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
2022 végén az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) tett közzé útmutatót a kibertámadásokra lehetőséget adó memóriahibák megelőzésére és kezelésére vonatkozóan a szoftverfejlesztők és üzemeltetők számára. A dokumentum részletezi, hogy illetéktelenek miként tudnak visszaélni a távolból a memóriát kezelő kódok sebezhetőségeivel, ami gyakrabban fordul elő azon nyelvekkel, amelyek több lehetőséget és rugalmasságot biztosítanak a programozóknak, így például a széleskörben elterjedt C-vel és C++-szal.
Az olyan széles körben elterjedt nyelvek, mint a C és a C++ ugyan nagy szabadságot és rugalmasságot biztosítanak a memóriakezelésben, de az egyszerű hibák is kihasználható sebezhetőségek keletkezéséhez vezethetnek. A C vagy C++ programozási nyelveken írt alkalmazásokban gyakoribbak az ilyen kódolási hibák, ezért a fejlesztői közösség az utóbbi évek során már láthatóan elkezdett biztonságosabb gyakorlatok felé fordulni, és az irányváltást mutatja az is, hogy a cégek is létre hívtak új nyelveket.
A Google 2022 végén jelentett először komolyabb eredményekről, miután az Android Open Source Project (AOSP) támogatni kezdte a Rust programozási nyelvet, ezzel együtt a cég megkezdte a Rust használatát a mobilos rendszer kódjában abban a reményben, hogy sikerül csökkenteni a biztonsági rések számát a szoftverben. A memóriabiztonsági sebezhetőségek száma jelentősen csökkent az elmúlt néhány évben az újabb kiadásokkal, egészen pontosan 223-ról 85-re esett vissza a 2019 és 2022 közötti időszakban.