Szerző: Dömös Zsuzsanna

2024. március 6. 14:30

Ráerősít a Google a memóriabiztos nyelvekre

Ahol lehetséges, ott a keresőcég elszakad a C-től és a C++-tól, de az átállás nem fog egyik napról a másikra történni.

A Google Project Zero friss jelentése szerint a nulladik napi sérülékenységeket kihasználó exploitok kétharmada memóriabiztonsági probléma, és bár egyre aktívabban szorgalmazzák a szervezetek a memóriabiztonságos nyelvek használatát, az ilyen típusú biztonsági rések továbbra is a leggyakrabban kihasznált sebezhetőségek élén állnak. A keresőcég átfogó tanulmányban részletezte a memóriabiztonsággal kapcsolatos álláspontját, kitérve a Rust nyelvre: nemrég egymillió dolláros támogatást adott a nyelvet dolgozó Rust Foundationnek, amivel elmondása szerint egy robusztus, memóriabiztos ökoszisztéma fejlesztését, illetve a Rust és a C++ interoperábilitását javító fejlesztéseket szeretne elősegíteni..

A Google álláspontja szerint a magas szintű memóriabiztonságot a Secure-by-Design megközelítéssel lehet elérni, ami megköveteli a szigorú memóriabiztonsági garanciákkal rendelkező nyelvek használatát. Ennek eredményeként a cég fontolja a fokozatos átállást az olyan nyelvekre, mint a Java, a Go és a Rust.

Az elmúlt évtizedekben a Java és Go kódbázisok mellett a Google több száz millió sornyi, aktívan használatban lévő C++ kódot fejlesztett és halmozott fel, ami jelentős kihívást jelent a memóriabiztonságra való átállásban. A keresőcég elmondása szerint nem tartja valószínűnek, hogy a C++-nak sikerülhet nagyot fejlődnie memóriabiztonsági szempontból. Viszont az összes létező C++ kód átírása egy másik nyelvre nagy falatnak tűnik, ezért a Google fontosnak tartja, hogy az új kódok és a kritikus komponensek memóriabiztonságos nyelveire való átállást a meglévő C++ kódok biztonsági fejlesztéseivel egészítse ki.

unsafe

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

A vállalat ambíciói messzebbre nyúlnak vissza: 2021-ben jelentette be, hogy a bárki számára szabadon elérhető Android, az Android Open Source Project (AOSP) támogatni fogja a Rust programozási nyelvet, ezzel együtt a cég megkezdte a Rust használatát a mobilos rendszer kódjában abban a reményben, hogy sikerül csökkenteni a biztonsági rések számát a szoftverben. A 2022 december végén közzétett jelentésben már az állt, hogy a memóriabiztonsági sebezhetőségek száma jelentősen csökkent az elmúlt néhány évben az újabb kiadásokkal, egészen pontosan 223-ról 85-re esett vissza a 2019 és 2022 közötti időszakban. Ezzel 2022 volt az első olyan év, amikor már nem tartoznak az Androidot érintő főbb biztonsági gyengepontok közé.

A Fehér Ház Office of the National Cyber ​​Director (ONCD) hivatala a múlt héten kiadott ajánlásában arra sürgette a technológiai vállalatokat, hogy váltsanak memóriabiztos programozási nyelvek használatára a biztonsági kockázatok csökkentésének érdekében. A jelentés a Biden elnök által 2023 márciusában aláírt Nemzeti Kiberbiztonsági Stratégiára épül, amely az ország kiberterének védelmének terhét a szoftvergyártókra és szolgáltatókra hárította. A hivatal ezzel együtt javasolja, hogy a fejlesztők hagyjanak fel a programok C vagy C++ nyelven történő fejlesztésével - az említett két nyelvet különösen a kritikus rendszerek használatában tartja kockázatosnak a hivatal. 

a címlapról