У նոր զեկույց Սպիտակ տան Ազգային կիբեր տնօրենի (ONCD) գրասենյակը հորդորել է ծրագրավորողներին օգտագործել «թեթև ծրագրավորման լեզուներ»՝ կատեգորիա, որը բացառում է հանրաճանաչ լեզուները: Խորհուրդը ԱՄՆ նախագահ Բայդենի կիբերանվտանգության ռազմավարության մի մասն է և քայլ է դեպի «կիբերտարածության շինարարական տարրերը պաշտպանելու»:
Ծրագրային կոդի մեջ հիշողության ոչ պատշաճ կառավարումը կարող է հանգեցնել լուրջ խոցելիության՝ թույլ տալով հարձակվողներին կիբերհարձակումներ իրականացնել: Ծրագրավորման լեզուները, ինչպիսիք են Java-ն, իրենց գործարկման ժամանակի սխալների հայտնաբերման մեխանիզմների պատճառով, համարվում են անվտանգ հիշողության կառավարման առումով: Ի հակադրություն, C-ն և C++-ը թույլ են տալիս ծրագրավորողներին կատարել ցուցիչի գործողություններ և ուղղակիորեն հասցեագրել հասցեները համակարգչի հիշողության մեջ: Սա ներառում է տվյալներ կարդալու և գրելու ցանկացած հիշողության վայր, որը նրանք կարող են մուտք գործել ցուցիչի միջոցով:
2019 թվականին անվտանգության ինժեներները Microsoft հաղորդում է, որ խոցելիության մոտ 70%-ը պայմանավորված է հիշողության անվտանգության հետ կապված խնդիրներով: 2020 թվականին Google-ը նույն ցուցանիշը հայտնեց, բայց Chromium բրաուզերում հայտնաբերված սխալների համար։
«Փորձագետները հայտնաբերել են ծրագրավորման մի քանի լեզուներ, որոնք ոչ միայն չունեն հիշողության անվտանգության հետ կապված առանձնահատկություններ, այլև տարածված են առաքելության համար կարևոր համակարգերում, ինչպիսիք են C-ը և C++-ը»,- ասվում է զեկույցում: «Հիշողության համար անվտանգ ծրագրավորման լեզուների ընտրությունը սկզբից, ինչպես առաջարկվում է Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալության (CISA) Բաց կոդով ծրագրային ապահովման անվտանգության «ճանապարհային քարտեզի» կողմից, մինչև վերջը ի սկզբանե անվտանգ ծրագրակազմի մշակման օրինակ է:
19 էջանոց զեկույցի նպատակն է ապահովել, որ կիբերանվտանգության պատասխանատվությունը միայն անհատների և փոքր ձեռնարկությունների վրա չլինի: Փոխարենը պատասխանատվությունը կրում է խոշոր կազմակերպությունները, տեխնոլոգիական ընկերությունները և, ի վերջո, կառավարությունը:
Զեկույցը ոչ միայն մատնանշում է C-ի և C++-ի հետ կապված խնդիրները, այլ նաև առաջարկում է մի շարք այլընտրանքներ՝ ծրագրավորման լեզուներ, որոնք ճանաչվել են որպես «անվտանգ հիշողություն»: Ազգային անվտանգության գործակալության (NSA) կողմից առաջարկվող լեզուներն են՝ Rust, Go, C#, Java, Swift, JavaScript և Ruby: Այս լեզուները պարունակում են մեխանիզմներ, որոնք կանխում են հիշողության գրոհների տարածված տեսակները՝ այդպիսով մեծացնելով մշակվող համակարգերի անվտանգությունը:
ONCD-ն ընկերություններին և ինժեներներին խնդրում է կիրառել ծրագրային ապահովման մշակման լավագույն փորձը և օգտագործել հիշողության համար անվտանգ սարքավորում՝ նվազեցնելու հարձակման մակերեսը, որի միջոցով հարձակվողները կարող են հարձակվել: Զեկույցն ինքնին չի մանրամասնում, թե կոնկրետ որն է համարվում հիշողության համար անվտանգ ծրագրավորման լեզու: Այնուամենայնիվ, 2022 թվականի նոյեմբերին Ազգային անվտանգության գործակալությունը (NSA) հրապարակեց կիբերանվտանգության տեղեկագիր, որը մանրամասնում էր ծրագրավորման լեզուները, որոնք նա կարծում էր, որ անվտանգ են հիշողության համար:
Զեկույցը նաև կոչ է անում ավելի լավ չափել ծրագրային ապահովման անվտանգությունը: ONCD-ն կարծում է, որ ավելի լավ չափումները հնարավորություն են տալիս տեխնոլոգիաների մատակարարներին ավելի լավ պլանավորել, կանխատեսել և մեղմել խոցելիությունները, նախքան դրանք խնդիր դառնան:
Այս զեկույցը վերջինն է ԱՄՆ կառավարության ձեռնարկած քայլերի շարքից: 2023 թվականի մարտին Նախագահ Բայդենը ստորագրեց Կիբերանվտանգության գործադիր հրամանը, որը գործընթացներ սկսեց ծրագրային ապահովման և սարքավորումների պաշտպանության, ինչպես նաև տեխնոլոգիական արդյունաբերության մեջ կապեր ստեղծելու համար:
Կարդացեք նաև.
C++-ը միշտ կլինի վերևում՝ օպտիմալացնելու ունակության պատճառով: Իսկ հիշողության անվտանգությունը վրիպակ չէ, այլ հատկանիշ
Ficha huicha
«Հետո շփոթեցի ուղիղ անկյունը... (գ)» :))
«Ազգային անվտանգության գործակալության (NSA) առաջարկվող լեզուները ներառում են՝ Rust, Go, C#, Java, Swift, JavaScript և Ruby»:
Բայդենը խեղդվում է java-ում, պարզ է...
Կարևոր ռազմավարական հարցերը հոգ են տանում...
Մենք դեռ պետք է ճեպազրույց կազմակերպենք»Android ընդդեմ iOS».
1. Աշխարհում որտեղի՞ց ես իմացել Java-ի մասին: Այնտեղ նույնպես նշվում է ժանգը։
2. Ես չեմ հասկանում սարկազմը, հիմա իսկապես խնդիր կա ծակող ծրագրային ապահովման հետ, հատկապես եթե դա ինչ-որ ժառանգություն է, և կոմբինատ, եթե այն գրված է ինչ-որ մեկի հետ ենթապայմանագրով:
1. Աղբյուրում – ctrl+F «Java»
2. Դա զուտ ուկրաինական սարկազմ է, հասկանալու համար՝ պետք է ինչ-որ տեղ ծրագրավորել, օրինակ, Խարկովում, թե Կուպյանսկում։
1 - ոչ, առաջնային աղբյուրը գրառման առաջին հղումն է (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
իրականում սքրինշոթն այնտեղից է:
Ստացվում է, որ THD-ն սխալվել է, իսկ դու վերցրել ես ու թարգմանել։
2 - չհասկացա:
Փորձենք դա պարզել: Շնորհակալություն ուշադրության համար.
Սպիտակ տունը կփոխվի, բայց C++-ը կմնա