Белият дом призовава разработчиците да избягват C и C++ в полза на "безопасните" езици за програмиране

У нов отчет Службата на Белия дом на Националния кибердиректор (ONCD) призова разработчиците да използват „леки езици за програмиране“ – категория, която изключва популярните езици. Съветът е част от стратегията за киберсигурност на президента на САЩ Байдън и е стъпка към „защита на градивните елементи на киберпространството“.

Неправилното управление на паметта в софтуерния код може да доведе до сериозни уязвимости, което позволява на нападателите да извършват кибератаки. Програмни езици като Java, поради техните механизми за откриване на грешки по време на изпълнение, се считат за безопасни по отношение на управлението на паметта. За разлика от това, C и C++ позволяват на разработчиците да извършват операции с указатели и директно адресиране на адреси в компютърната памет. Това включва четене и запис на данни във всяко място в паметта, до което имат достъп чрез указател.

През 2019 г. инженерите по безопасност Microsoft съобщава, че около 70% от уязвимостите са причинени от проблеми със сигурността на паметта. През 2020 г. Google отчете същата цифра, но за открити грешки в браузъра Chromium.

„Експертите са идентифицирали няколко езика за програмиране, които не само нямат функции, свързани с безопасността на паметта, но също така са широко разпространени в критични за мисията системи като C и C++“, се казва в доклада. „Изборът на безопасни за паметта езици за програмиране от самото начало, както е препоръчано от Пътната карта за сигурност на софтуера с отворен код на Агенцията за киберсигурност и инфраструктурна сигурност (CISA), е един пример за разработване на защитен софтуер от самото начало до края на"".

Целта на доклада от 19 страници е да гарантира, че отговорността за киберсигурността не е само на физически лица и малки предприятия. Вместо това отговорността се носи от големи организации, технологични компании и в крайна сметка правителството.

Докладът не само посочва проблемите с C и C++, но също така предлага редица алтернативи - езици за програмиране, признати за "безопасни за паметта". Езиците, препоръчани от Агенцията за национална сигурност (NSA), включват: Rust, Go, C#, Java, Swift, JavaScript и Ruby. Тези езици съдържат механизми, които предотвратяват обичайните видове атаки на паметта, като по този начин повишават сигурността на разработваните системи.

ONCD моли компаниите и инженерите да прилагат най-добрите практики в разработката на софтуер и да използват защитен от паметта хардуер, за да намалят повърхността за атака, през която нападателите могат да атакуват. Самият доклад не дава подробности какво точно се счита за програмен език, безопасен за паметта. Въпреки това през ноември 2022 г. Агенцията за национална сигурност (NSA) пусна бюлетин за киберсигурност, който описва езиците за програмиране, за които смята, че са безопасни за паметта.

Докладът също така призовава за по-добро измерване на софтуерната сигурност. ONCD вярва, че по-добрите показатели позволяват на доставчиците на технологии да планират по-добре, предвиждат и смекчават уязвимостите, преди те да се превърнат в проблем.

Този доклад е последният от поредица стъпки, предприети от правителството на САЩ. През март 2023 г. президентът Байдън подписа Изпълнителната заповед за киберсигурността, която стартира процеси за защита на софтуера и хардуера, както и за изграждане на връзки в технологичната индустрия.

Прочетете също:

• Microsoft откри хакери от Китай и Русия, които са използвали нейните AI инструменти
• Пентагонът използва AI на Google, за да идентифицира цели за въздушни удари