Shtëpia e Bardhë u kërkon zhvilluesve të shmangin C dhe C++

У raport i ri Zyra e Shtëpisë së Bardhë e Drejtorit Kombëtar të Kibernetikës (ONCD) u bëri thirrje zhvilluesve të përdorin "gjuhët e programimit me peshë të lehtë" - një kategori që përjashton gjuhët e njohura. Këshilla është pjesë e strategjisë së presidentit amerikan Biden për sigurinë kibernetike dhe është një hap drejt "mbrojtjes së blloqeve ndërtuese të hapësirës kibernetike".

Menaxhimi jo i duhur i kujtesës në kodin e softuerit mund të çojë në dobësi serioze, duke i lejuar sulmuesit të kryejnë sulme kibernetike. Gjuhët e programimit si Java, për shkak të mekanizmave të tyre të zbulimit të gabimeve në kohën e ekzekutimit, konsiderohen të sigurta në lidhje me menaxhimin e kujtesës. Në të kundërt, C dhe C++ lejojnë zhvilluesit të kryejnë operacione me tregues dhe të adresojnë drejtpërdrejt adresat në kujtesën e kompjuterit. Kjo përfshin leximin dhe shkrimin e të dhënave në çdo vend memorie që mund të kenë akses nëpërmjet një treguesi.

- Reklama -

Në vitin 2019, inxhinierë sigurie Microsoft raportoi se rreth 70% e dobësive ishin shkaktuar nga çështjet e sigurisë së kujtesës. Në vitin 2020, Google raportoi të njëjtën shifër, por për gabimet e gjetura në shfletuesin Chromium.

“Ekspertët kanë identifikuar disa gjuhë programimi të cilave jo vetëm u mungojnë veçoritë që lidhen me sigurinë e kujtesës, por janë gjithashtu të përhapura në sistemet kritike të misionit si C dhe C++”, thuhet në raport. "Zgjedhja e gjuhëve programuese të sigurta për memorie nga fillimi, siç rekomandohet nga Udhërrëfyesi i Sigurisë së Softuerit me Burim të Hapur të Agjencisë së Sigurisë Kibernetike dhe Infrastrukturës (CISA), është një shembull i zhvillimit të softuerit të sigurt nga themeli deri në fund të "".

Qëllimi i raportit prej 19 faqesh është të sigurojë që përgjegjësia për sigurinë kibernetike të mos bjerë vetëm tek individët dhe bizneset e vogla. Në vend të kësaj, përgjegjësia qëndron tek organizatat e mëdha, kompanitë e teknologjisë dhe në fund të fundit qeveria.

Raporti jo vetëm që vë në dukje problemet me C dhe C++, por ofron gjithashtu një sërë alternativash - gjuhë programimi të njohura si "të sigurta me memorie". Gjuhët e rekomanduara nga Agjencia e Sigurisë Kombëtare (NSA) përfshijnë: Rust, Go, C#, Java, Swift, JavaScript dhe Ruby. Këto gjuhë përmbajnë mekanizma që parandalojnë llojet e zakonshme të sulmeve të kujtesës, duke rritur kështu sigurinë e sistemeve që zhvillohen.

ONCD po u kërkon kompanive dhe inxhinierëve të aplikojnë praktikat më të mira në zhvillimin e softuerit dhe të përdorin pajisje të sigurta për memorie për të reduktuar sipërfaqen e sulmit përmes së cilës sulmuesit mund të sulmojnë. Vetë raporti nuk detajonte se çfarë saktësisht konsiderohet një gjuhë programimi e sigurt për memorie. Sidoqoftë, në nëntor 2022, Agjencia e Sigurisë Kombëtare (NSA) publikoi buletini i sigurisë kibernetike, cilat gjuhë të detajuara programimi që ai besonte se ishin të sigurta për memorie.

Raporti gjithashtu bën thirrje për matje më të mirë të sigurisë së softuerit. ONCD beson se metrikat më të mira u mundësojnë ofruesve të teknologjisë të planifikojnë, parashikojnë dhe zbusin më mirë dobësitë përpara se ato të bëhen problem.

Ky raport është i fundit në një seri hapash të ndërmarrë nga qeveria amerikane. Në mars 2023, Presidenti Biden nënshkroi Urdhrin Ekzekutiv të Sigurisë Kibernetike, i cili nisi proceset për të mbrojtur softuerin dhe harduerin, si dhe për të krijuar lidhje në industrinë e teknologjisë.

Lexoni gjithashtu:

Shtëpia e Bardhë u kërkon zhvilluesve të shmangin C dhe C++ në favor të gjuhëve programuese "të sigurta".