У דוח חדש משרד הבית הלבן של מנהל הסייבר הלאומי (ONCD) דחק במפתחים להשתמש ב"שפות תכנות קלות משקל" - קטגוריה שאינה כוללת שפות פופולריות. העצה היא חלק מאסטרטגיית אבטחת הסייבר של נשיא ארה"ב ביידן ומהווה צעד לקראת "הגנה על אבני הבניין של מרחב הסייבר".
ניהול זיכרון לא תקין בקוד תוכנה עלול להוביל לפרצות חמורות, ולאפשר לתוקפים לבצע התקפות סייבר. שפות תכנות כמו Java, בשל מנגנוני זיהוי שגיאות בזמן הריצה שלהן, נחשבות בטוחות ביחס לניהול זיכרון. לעומת זאת, C ו-C++ מאפשרות למפתחים לבצע פעולות מצביע ולפנות ישירות לכתובות בזיכרון המחשב. זה כולל קריאה וכתיבה של נתונים לכל מיקום זיכרון שהם יכולים לגשת באמצעות מצביע.
בשנת 2019, מהנדסי בטיחות Microsoft דיווח כי כ-70% מהפגיעויות נגרמות כתוצאה מבעיות אבטחת זיכרון. בשנת 2020, גוגל דיווחה על אותו נתון, אבל עבור באגים שנמצאו בדפדפן Chromium.
"מומחים זיהו מספר שפות תכנות שלא רק חסרות תכונות הקשורות לבטיחות זיכרון, אלא גם נפוצות במערכות קריטיות למשימה כמו C ו-C++", נכתב בדו"ח. "בחירת שפות תכנות בטוחות בזיכרון מהיסוד, כפי שהומלץ על ידי מפת הדרכים של אבטחת תוכנה בקוד פתוח של סוכנות הסייבר לאבטחת תשתיות (CISA), היא דוגמה אחת לפיתוח תוכנה מאובטחת מהיסוד עד סוף"".
מטרת הדוח בן 19 העמודים היא להבטיח שהאחריות לאבטחת הסייבר תהיה רק על אנשים פרטיים ועסקים קטנים. במקום זאת, האחריות מוטלת על ארגונים גדולים, חברות טכנולוגיה, ובסופו של דבר הממשלה.
הדו"ח לא רק מצביע על הבעיות ב-C ו-C++, אלא גם מציע מספר חלופות - שפות תכנות המוכרות כ"בטוחות לזיכרון". השפות המומלצות על ידי הסוכנות לביטחון לאומי (NSA) כוללות: Rust, Go, C#, Java, Swift, JavaScript ו-Ruby. שפות אלו מכילות מנגנונים המונעים סוגים נפוצים של התקפות זיכרון, ובכך מגבירים את האבטחה של המערכות המפותחות.
ONCD מבקשת מחברות ומהנדסים ליישם שיטות עבודה מומלצות בפיתוח תוכנה ולהשתמש בחומרה בטוחה בזיכרון כדי לצמצם את משטח ההתקפה שדרכו יכולים התוקפים לתקוף. הדו"ח עצמו לא פירט מה בדיוק נחשבת לשפת תכנות בטוחה בזיכרון. עם זאת, בנובמבר 2022, הסוכנות לביטחון לאומי (NSA) שחררה ניוזלטר אבטחת סייבר, אשר פירט שפות תכנות שלדעתו בטוחות בזיכרון.
הדו"ח גם קורא למדידה טובה יותר של אבטחת תוכנה. ONCD מאמינה שמדדים טובים יותר מאפשרים לספקי טכנולוגיה לתכנן טוב יותר, לצפות ולצמצם פגיעויות לפני שהן הופכות לבעיה.
דוח זה הוא האחרון בסדרת צעדים שנקטה ממשלת ארה"ב. במרץ 2023, הנשיא ביידן חתם על צו הביצוע של אבטחת סייבר, שהשיק תהליכים להגנה על תוכנה וחומרה, כמו גם ליצירת קשרים בתעשיית הטכנולוגיה.
קרא גם:
צפו בתגובות
C++ תמיד יהיה בראש בגלל יכולתו לבצע אופטימיזציה. ואבטחת זיכרון היא לא באג אלא תכונה
פיכה חויצה
"ואז בלבלתי זווית ישרה... (ג)" :))
"השפות המומלצות של הסוכנות לביטחון לאומי (NSA) כוללות: Rust, Go, C#, Java, Swift, JavaScript ו-Ruby."
ביידן טובע בג'אווה, זה ברור...
נושאים אסטרטגיים חשובים מטופלים...
אנחנו עדיין צריכים לארגן תדרוך"Android לעומת iOS".
1. איפה בעולם למדת על Java? גם שם מצוין חלודה.
2. אני לא מבין סרקזם, עכשיו באמת יש בעיה עם תוכנה דולפת, במיוחד אם זה סוג של מורשת, ושילוב אם זה נכתב בחוזה משנה עם מישהו.
1. במקור - ctrl+F "Java"
2. זה סרקזם אוקראיני גרידא, להבין אם צריך לתכנת איפשהו בחרקוב, למשל, או בקופיאנסק.
1 - לא, המקור העיקרי הוא הקישור הראשון בפוסט (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
למעשה צילום המסך הוא משם.
מסתבר ש-THD עשה טעות, ואתה לקחת את זה ותרגמת את זה.
2 - לא הבנתי.
בואו ננסה להבין את זה. תודה לך על תשומת הלב.
הבית הלבן ישתנה, אבל C++ יישאר