Szerző: Dömös Zsuzsanna

2024. március 6. 14:30

Ráerősít a Google a memóriabiztos nyelvekre

Ahol lehetséges, ott a keresőcég elszakad a C-től és a C++-tól, de az átállás nem fog egyik napról a másikra történni.

A Google Project Zero friss jelentése szerint a nulladik napi sérülékenységeket kihasználó exploitok kétharmada memóriabiztonsági probléma, és bár egyre aktívabban szorgalmazzák a szervezetek a memóriabiztonságos nyelvek használatát, az ilyen típusú biztonsági rések továbbra is a leggyakrabban kihasznált sebezhetőségek élén állnak. A keresőcég átfogó tanulmányban részletezte a memóriabiztonsággal kapcsolatos álláspontját, kitérve a Rust nyelvre: nemrég egymillió dolláros támogatást adott a nyelvet dolgozó Rust Foundationnek, amivel elmondása szerint egy robusztus, memóriabiztos ökoszisztéma fejlesztését, illetve a Rust és a C++ interoperábilitását javító fejlesztéseket szeretne elősegíteni..

A Google álláspontja szerint a magas szintű memóriabiztonságot a Secure-by-Design megközelítéssel lehet elérni, ami megköveteli a szigorú memóriabiztonsági garanciákkal rendelkező nyelvek használatát. Ennek eredményeként a cég fontolja a fokozatos átállást az olyan nyelvekre, mint a Java, a Go és a Rust.

Az elmúlt évtizedekben a Java és Go kódbázisok mellett a Google több száz millió sornyi, aktívan használatban lévő C++ kódot fejlesztett és halmozott fel, ami jelentős kihívást jelent a memóriabiztonságra való átállásban. A keresőcég elmondása szerint nem tartja valószínűnek, hogy a C++-nak sikerülhet nagyot fejlődnie memóriabiztonsági szempontból. Viszont az összes létező C++ kód átírása egy másik nyelvre nagy falatnak tűnik, ezért a Google fontosnak tartja, hogy az új kódok és a kritikus komponensek memóriabiztonságos nyelveire való átállást a meglévő C++ kódok biztonsági fejlesztéseivel egészítse ki.

unsafe

Égbe révedő informatikusok: az Időkép-sztori

Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?

Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?

A vállalat ambíciói messzebbre nyúlnak vissza: 2021-ben jelentette be, hogy a bárki számára szabadon elérhető Android, az Android Open Source Project (AOSP) támogatni fogja a Rust programozási nyelvet, ezzel együtt a cég megkezdte a Rust használatát a mobilos rendszer kódjában abban a reményben, hogy sikerül csökkenteni a biztonsági rések számát a szoftverben. A 2022 december végén közzétett jelentésben már az állt, hogy a memóriabiztonsági sebezhetőségek száma jelentősen csökkent az elmúlt néhány évben az újabb kiadásokkal, egészen pontosan 223-ról 85-re esett vissza a 2019 és 2022 közötti időszakban. Ezzel 2022 volt az első olyan év, amikor már nem tartoznak az Androidot érintő főbb biztonsági gyengepontok közé.

A Fehér Ház Office of the National Cyber ​​Director (ONCD) hivatala a múlt héten kiadott ajánlásában arra sürgette a technológiai vállalatokat, hogy váltsanak memóriabiztos programozási nyelvek használatára a biztonsági kockázatok csökkentésének érdekében. A jelentés a Biden elnök által 2023 márciusában aláírt Nemzeti Kiberbiztonsági Stratégiára épül, amely az ország kiberterének védelmének terhét a szoftvergyártókra és szolgáltatókra hárította. A hivatal ezzel együtt javasolja, hogy a fejlesztők hagyjanak fel a programok C vagy C++ nyelven történő fejlesztésével - az említett két nyelvet különösen a kritikus rendszerek használatában tartja kockázatosnak a hivatal. 

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról