Сегодня 28 апреля 2025
18+
MWC 2018 2018 Computex IFA 2018
реклама
Теги → c/c++

Белый дом рекомендовал отказаться от C и C++ в пользу безопасных языков программирования

Офис национального директора по кибербезопасности (ONCD) Белого дома США призвал разработчиков отказаться от использования языков программирования C и C++ в разработке критически важного ПО. Этот совет основывается на опасениях, связанных с безопасностью управления памятью — аспекте, играющем критическую роль в предотвращении уязвимостей, таких как переполнение буфера и висячие указатели.

 Источник изображения: xusenru / Pixabay

Источник изображения: xusenru / Pixabay

Неправильное управление памятью в программном коде может привести к серьёзным уязвимостям, позволяя злоумышленникам осуществлять кибератаки. Языки программирования, такие как Java, благодаря своим механизмам обнаружения ошибок во время выполнения, считаются безопасными в отношении управления памятью. В отличие от них, C и C++ позволяют разработчикам выполнять операции с указателями и обращаться непосредственно к адресам в памяти компьютера. Это включает в себя чтение и запись данных в любом месте памяти, к которому они могут получить доступ через указатель.

Однако эти языки не проводят автоматической проверки на то, выходят ли эти операции за пределы выделенного для данных или структур пространства в памяти. Такая проверка называется «проверкой границ». Отсутствие такой проверки означает, что программист может случайно или намеренно записать данные за пределы выделенного блока памяти, что может привести к перезаписи других данных, испорченным данным или, в худшем случае, к уязвимостям безопасности, которые злоумышленники могут использовать для выполнения вредоносного кода или получения контроля над системой.

Отчёт ONCD подчёркивает, что около 70 % всех уязвимостей в системе безопасности, выявленных инженерами Microsoft в 2019 году и Google в 2020 году, были связаны именно с нарушениями безопасности памяти. Эта статистика ясно демонстрирует необходимость переосмысления подходов к разработке ПО в контексте нынешней стратегии кибербезопасности США.

В отчёте не только указывается на проблемы с C и C++, но и предлагается ряд альтернатив — языков программирования, признанных «безопасными для памяти». Среди рекомендованных Агентством национальной безопасности (NSA) языков находятся: Rust, Go, C#, Java, Swift, JavaScript и Ruby. Эти языки включают в себя механизмы, предотвращающие распространённые типы атак на память, тем самым повышая безопасность разрабатываемых систем.

 Индекс TIOBE на февраль 2024 года (источник изображения: tiobe.com)

Индекс TIOBE на февраль 2024 года (источник изображения: tiobe.com)

Анализ популярности языков программирования по версии индекса TIOBE показывает, что из предложенных NSA языков C# занимает пятое место по популярности, Java — четвёртое, JavaScript — шестое, а Go — восьмое. Эти данные указывают на то, что часть рекомендуемых языков уже имеет широкое распространение и признание в профессиональном сообществе разработчиков.

Инициатива Белого дома выходит за рамки простого перечисления рекомендаций. Она включает в себя стратегический план по укреплению кибербезопасности на национальном уровне, что отражено в исполнительном приказе президента Джо Байдена (Joe Biden) от марта 2023 года. Этот документ задаёт направление для всестороннего сотрудничества между государственным сектором, технологическими компаниями и общественностью в целях разработки и внедрения безопасного ПО и аппаратных решений.

Заключение отчёта ONCD призывает к сознательному выбору языков программирования с учётом их способности обеспечивать безопасное управление памятью. Это не только техническое руководство для разработчиков, но и стратегическое направление для организаций, занимающихся разработкой критически важного ПО. Переход на использование языков программирования, гарантирующих безопасность памяти, может существенно снизить риск возникновения уязвимостей, повысить надёжность и безопасность цифровой инфраструктуры.


window-new
Soft
Hard
Тренды 🔥
Horizon Forbidden West впервые запустили в разрешении 8K при 120 Гц через HDMI 2.1 5 мин.
Знаменитая антипиратская кампания из 2000-х использовала спираченный шрифт 11 ч.
Исследователи Anthropic и Google поищут признаки сознания у ИИ — ещё недавно за подобное увольняли 17 ч.
Baidu обновила ИИ-модели Ernie 4.5 Turbo и Ernie X1 Turbo и снизила их стоимость на 80 и 50 % соответственно 23 ч.
Google ускорила Find My Device в 4 раза и скоро подключит UWB 24 ч.
Новая статья: The Elder Scrolls IV: Oblivion Remastered — врата ностальгии распахнуты. Рецензия 27-04 00:02
Новая статья: Gamesblender № 723: ремастер TES IV: Oblivion, дата выхода Ghost of Yotei и кибердемоны в новой Doom 26-04 23:51
Социальная сеть Threads получила новое доменное имя и обновила веб-версию приложения 26-04 23:04
У подразделения «Яндекса», включающего Yandex Cloud, выручка выросла более чем в 1,5 раза 26-04 22:45
Уязвимость EntrySign в Ryzen 9000 наконец-то будет закрыта — свежие версии BIOS получили заплатку 26-04 17:44
Мощный ИИ-чип Huawei Ascend 910D имеет шансы превзойти по производительности чип Nvidia H100 9 мин.
Новая статья: Краткий обзор Samsung Galaxy Tab S10 FE: имеет ли смысл выпуск планшета-субфлагмана? 6 ч.
Скалы и вода — это не беда: CSignum разработала систему подземной и подводной беспроводной связи 6 ч.
Nokia тоже пострадает от новых пошлин США, но верит, что сможет заработать на рынке ИИ ЦОД 9 ч.
Apple готовит умные очки с Apple Intelligence, но без дополненной реальности 9 ч.
Microsoft выжила обитателей лагеря бездомных для строительства очередных ЦОД 9 ч.
Анонсирован стодолларовый смартфон Vivo Y37c с чипом Unisoc T7225 18 ч.
Китай рассчитывает, что к 2035 году на внутреннем авторынке будут доминировать электромобили 23 ч.
Электроавиация предъявляет особые требования к характеристикам тяговых батарей 23 ч.
Обнаружена первая в истории одиночная чёрная дыра звёздной массы — она незаметно блуждает по нашей галактике 27-04 00:22