Сегодня 20 июня 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Белый дом рекомендовал отказаться от C и C++ в пользу безопасных языков программирования

Офис национального директора по кибербезопасности (ONCD) Белого дома США призвал разработчиков отказаться от использования языков программирования C и C++ в разработке критически важного ПО. Этот совет основывается на опасениях, связанных с безопасностью управления памятью — аспекте, играющем критическую роль в предотвращении уязвимостей, таких как переполнение буфера и висячие указатели.

 Источник изображения: xusenru / Pixabay

Источник изображения: xusenru / Pixabay

Неправильное управление памятью в программном коде может привести к серьёзным уязвимостям, позволяя злоумышленникам осуществлять кибератаки. Языки программирования, такие как Java, благодаря своим механизмам обнаружения ошибок во время выполнения, считаются безопасными в отношении управления памятью. В отличие от них, C и C++ позволяют разработчикам выполнять операции с указателями и обращаться непосредственно к адресам в памяти компьютера. Это включает в себя чтение и запись данных в любом месте памяти, к которому они могут получить доступ через указатель.

Однако эти языки не проводят автоматической проверки на то, выходят ли эти операции за пределы выделенного для данных или структур пространства в памяти. Такая проверка называется «проверкой границ». Отсутствие такой проверки означает, что программист может случайно или намеренно записать данные за пределы выделенного блока памяти, что может привести к перезаписи других данных, испорченным данным или, в худшем случае, к уязвимостям безопасности, которые злоумышленники могут использовать для выполнения вредоносного кода или получения контроля над системой.

Отчёт ONCD подчёркивает, что около 70 % всех уязвимостей в системе безопасности, выявленных инженерами Microsoft в 2019 году и Google в 2020 году, были связаны именно с нарушениями безопасности памяти. Эта статистика ясно демонстрирует необходимость переосмысления подходов к разработке ПО в контексте нынешней стратегии кибербезопасности США.

В отчёте не только указывается на проблемы с C и C++, но и предлагается ряд альтернатив — языков программирования, признанных «безопасными для памяти». Среди рекомендованных Агентством национальной безопасности (NSA) языков находятся: Rust, Go, C#, Java, Swift, JavaScript и Ruby. Эти языки включают в себя механизмы, предотвращающие распространённые типы атак на память, тем самым повышая безопасность разрабатываемых систем.

 Индекс TIOBE на февраль 2024 года (источник изображения: tiobe.com)

Индекс TIOBE на февраль 2024 года (источник изображения: tiobe.com)

Анализ популярности языков программирования по версии индекса TIOBE показывает, что из предложенных NSA языков C# занимает пятое место по популярности, Java — четвёртое, JavaScript — шестое, а Go — восьмое. Эти данные указывают на то, что часть рекомендуемых языков уже имеет широкое распространение и признание в профессиональном сообществе разработчиков.

Инициатива Белого дома выходит за рамки простого перечисления рекомендаций. Она включает в себя стратегический план по укреплению кибербезопасности на национальном уровне, что отражено в исполнительном приказе президента Джо Байдена (Joe Biden) от марта 2023 года. Этот документ задаёт направление для всестороннего сотрудничества между государственным сектором, технологическими компаниями и общественностью в целях разработки и внедрения безопасного ПО и аппаратных решений.

Заключение отчёта ONCD призывает к сознательному выбору языков программирования с учётом их способности обеспечивать безопасное управление памятью. Это не только техническое руководство для разработчиков, но и стратегическое направление для организаций, занимающихся разработкой критически важного ПО. Переход на использование языков программирования, гарантирующих безопасность памяти, может существенно снизить риск возникновения уязвимостей, повысить надёжность и безопасность цифровой инфраструктуры.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Режиссёр Elden Ring признался, что «слегка переборщил» с ядовитыми болотами 26 мин.
Разработчики амбициозного мода Fallout: Nuevo Mexico для Fallout: New Vegas вышли на связь впервые после нескольких месяцев тревожного молчания 2 ч.
YouTube начал отключать Premium-подписчиков, купивших подписку за границей — это может затронуть и россиян 2 ч.
В ЕС передумали голосовать по законопроекту о сканировании переписок в мессенджерах 2 ч.
Zoom ушёл из России, но популярность сервиса среди россиян только растёт 2 ч.
Хакеры украли у Apple исходный код нескольких инструментов, которые используют разработчики компании 2 ч.
После выхода iOS 18 разработчики сторонних iOS-приложений лишатся $400 млн 2 ч.
Один из разработчиков кликера Banana оказался замешан в мошенничестве — команда выступила с официальным заявлением 4 ч.
Apple ищет китайский заменитель OpenAI, чтобы iPhone для Китая тоже получили ИИ-функции 4 ч.
Соавтор Fallout раскрыл свою роль в отмене Van Buren — Fallout 3, которую мы потеряли 6 ч.
TSMC собралась выпускать чипы на больших прямоугольных кремниевых пластинах вместе нынешних круглых 44 мин.
Отработавшие спутники Starlink и им подобные способны разрушить озоновый слой Земли 2 ч.
Google откажется от услуг Samsung и поручит производство чипов Tensor G5 компании TSMC 2 ч.
Ugreen анонсировала кейсы для SSD M.2 SSD NVMe ёмкостью до 4 Тбайт с USB-C и скоростью до 40 Гбит/с 2 ч.
SSD скоро подешевеют — производители наращивают производство флеш-памяти NAND 2 ч.
OnePlus представила революционный аккумулятор Glacier Battery — ёмкий, тонкий, лёгкий и долговечный 2 ч.
Дата-центры, склады, роботы и ИИ: Amazon потратит ещё €10 млрд на развитие бизнеса в Германии 3 ч.
И посчитать, и погреться: HPE и Danfoss представили микро-ЦОД, способный отапливать здания 4 ч.
Из-за летучих мышей Micron придётся отложить строительство фабрики чипов в штате Нью-Йорк 4 ч.
Onsemi инвестирует до $2 млрд в производство полупроводников в Чехии 5 ч.