Valge Maja kutsub arendajaid üles vältima C ja C++, eelistades "ohutuid" programmeerimiskeeli

У uus aruanne Valge Maja riikliku küberdirektori büroo (ONCD) kutsus arendajaid üles kasutama "madala mälumahuga programmeerimiskeeli" - kategooriat, mis välistab populaarsed keeled. Nõuanne on osa USA presidendi Bideni küberjulgeoleku strateegiast ja on samm "küberruumi ehitusplokkide kaitsmise suunas".

Tarkvarakoodi ebaõige mäluhaldus võib põhjustada tõsiseid haavatavusi, võimaldades ründajatel küberrünnakuid sooritada. Programmeerimiskeeli, nagu Java, peetakse nende käitusaegsete vigade tuvastamise mehhanismide tõttu mäluhalduse seisukohast ohutuks. Seevastu C ja C++ võimaldavad arendajatel sooritada kursori toiminguid ja aadresse otse arvutimälus. See hõlmab andmete lugemist ja kirjutamist mis tahes mälukohta, millele nad kursori kaudu juurde pääsevad.

2019. aastal ohutusinsenerid Microsoft teatas, et umbes 70% haavatavustest olid põhjustatud mälu turvaprobleemidest. 2020. aastal teatas Google sama arvu, kuid Chromiumi brauseris leitud vigade kohta.

"Eksperdid on tuvastanud mitu programmeerimiskeelt, millel pole mitte ainult mäluohutusega seotud funktsioone, vaid mis on laialt levinud ka sellistes missioonikriitilistes süsteemides nagu C ja C++," öeldakse aruandes. "Mälukindlate programmeerimiskeelte valimine algusest peale, nagu soovitab küberturvalisuse ja infrastruktuuri turbeagentuuri (CISA) avatud lähtekoodiga tarkvara turvalisuse tegevuskava, on üks näide turvalise tarkvara algusest peale väljatöötamisest aasta lõpuks."

19-leheküljelise raporti eesmärk on tagada, et vastutus küberturvalisuse eest ei lasuks ainult üksikisikutel ja väikeettevõtetel. Selle asemel lasub vastutus suurtel organisatsioonidel, tehnoloogiaettevõtetel ja lõpuks ka valitsusel.

Aruandes ei juhita tähelepanu mitte ainult C ja C++ probleemidele, vaid pakutakse ka mitmeid alternatiive - programmeerimiskeeli, mida tunnustatakse kui "mälu ohutut". Riikliku julgeolekuagentuuri (NSA) soovitatud keeled on järgmised: Rust, Go, C#, Java, Swift, JavaScript ja Ruby. Need keeled sisaldavad mehhanisme, mis takistavad tavalisi mälurünnakuid, suurendades seega arendatavate süsteemide turvalisust.

ONCD palub ettevõtetel ja inseneridel rakendada tarkvaraarenduses parimaid tavasid ja kasutada mälukindlat riistvara, et vähendada ründepinda, mille kaudu ründajad saavad rünnata. Raport ise ei täpsustanud, mida täpselt peetakse mälukindlaks programmeerimiskeeleks. Kuid 2022. aasta novembris avaldas National Security Agency (NSA). küberturvalisuse uudiskiri, milles kirjeldati üksikasjalikult programmeerimiskeeli, mida ta pidas mälukindlaks.

Aruandes nõutakse ka tarkvara turvalisuse paremat mõõtmist. ONCD usub, et paremad mõõdikud võimaldavad tehnoloogiapakkujatel haavatavusi paremini planeerida, ette näha ja leevendada enne, kui need probleemiks muutuvad.

See aruanne on viimane USA valitsuse sammudest. 2023. aasta märtsis allkirjastas president Biden küberturvalisuse korralduse, millega käivitati protsessid tarkvara ja riistvara kaitsmiseks ning sidemete loomiseks tehnoloogiatööstuses.

Loe ka:

• Microsoft avastas oma tehisintellekti tööriistu kasutades häkkereid Hiinast ja Venemaalt
• Pentagon kasutas õhurünnakute sihtmärkide tuvastamiseks Google'i tehisintellekti