Սպիտակ տունը կոչ է անում ծրագրավորողներին խուսափել C-ից և C++-ից՝ հօգուտ «անվտանգ» ծրագրավորման լեզուների

У նոր զեկույց Սպիտակ տան Ազգային կիբեր տնօրենի (ONCD) գրասենյակը հորդորել է ծրագրավորողներին օգտագործել «թեթև ծրագրավորման լեզուներ»՝ կատեգորիա, որը բացառում է հանրաճանաչ լեզուները: Խորհուրդը ԱՄՆ նախագահ Բայդենի կիբերանվտանգության ռազմավարության մի մասն է և քայլ է դեպի «կիբերտարածության շինարարական տարրերը պաշտպանելու»:

Ծրագրային կոդի մեջ հիշողության ոչ պատշաճ կառավարումը կարող է հանգեցնել լուրջ խոցելիության՝ թույլ տալով հարձակվողներին կիբերհարձակումներ իրականացնել: Ծրագրավորման լեզուները, ինչպիսիք են Java-ն, իրենց գործարկման ժամանակի սխալների հայտնաբերման մեխանիզմների պատճառով, համարվում են անվտանգ հիշողության կառավարման առումով: Ի հակադրություն, C-ն և C++-ը թույլ են տալիս ծրագրավորողներին կատարել ցուցիչի գործողություններ և ուղղակիորեն հասցեագրել հասցեները համակարգչի հիշողության մեջ: Սա ներառում է տվյալներ կարդալու և գրելու ցանկացած հիշողության վայր, որը նրանք կարող են մուտք գործել ցուցիչի միջոցով:

2019 թվականին անվտանգության ինժեներները Microsoft հաղորդում է, որ խոցելիության մոտ 70%-ը պայմանավորված է հիշողության անվտանգության հետ կապված խնդիրներով: 2020 թվականին Google-ը նույն ցուցանիշը հայտնեց, բայց Chromium բրաուզերում հայտնաբերված սխալների համար։

«Փորձագետները հայտնաբերել են ծրագրավորման մի քանի լեզուներ, որոնք ոչ միայն չունեն հիշողության անվտանգության հետ կապված առանձնահատկություններ, այլև տարածված են առաքելության համար կարևոր համակարգերում, ինչպիսիք են C-ը և C++-ը»,- ասվում է զեկույցում: «Հիշողության համար անվտանգ ծրագրավորման լեզուների ընտրությունը սկզբից, ինչպես առաջարկվում է Կիբերանվտանգության և ենթակառուցվածքների անվտանգության գործակալության (CISA) Բաց կոդով ծրագրային ապահովման անվտանգության «ճանապարհային քարտեզի» կողմից, մինչև վերջը ի սկզբանե անվտանգ ծրագրակազմի մշակման օրինակ է:

19 էջանոց զեկույցի նպատակն է ապահովել, որ կիբերանվտանգության պատասխանատվությունը միայն անհատների և փոքր ձեռնարկությունների վրա չլինի: Փոխարենը պատասխանատվությունը կրում է խոշոր կազմակերպությունները, տեխնոլոգիական ընկերությունները և, ի վերջո, կառավարությունը:

Զեկույցը ոչ միայն մատնանշում է C-ի և C++-ի հետ կապված խնդիրները, այլ նաև առաջարկում է մի շարք այլընտրանքներ՝ ծրագրավորման լեզուներ, որոնք ճանաչվել են որպես «անվտանգ հիշողություն»: Ազգային անվտանգության գործակալության (NSA) կողմից առաջարկվող լեզուներն են՝ Rust, Go, C#, Java, Swift, JavaScript և Ruby: Այս լեզուները պարունակում են մեխանիզմներ, որոնք կանխում են հիշողության գրոհների տարածված տեսակները՝ այդպիսով մեծացնելով մշակվող համակարգերի անվտանգությունը:

ONCD-ն ընկերություններին և ինժեներներին խնդրում է կիրառել ծրագրային ապահովման մշակման լավագույն փորձը և օգտագործել հիշողության համար անվտանգ սարքավորում՝ նվազեցնելու հարձակման մակերեսը, որի միջոցով հարձակվողները կարող են հարձակվել: Զեկույցն ինքնին չի մանրամասնում, թե կոնկրետ որն է համարվում հիշողության համար անվտանգ ծրագրավորման լեզու: Այնուամենայնիվ, 2022 թվականի նոյեմբերին Ազգային անվտանգության գործակալությունը (NSA) հրապարակեց կիբերանվտանգության տեղեկագիր, որը մանրամասնում էր ծրագրավորման լեզուները, որոնք նա կարծում էր, որ անվտանգ են հիշողության համար:

Զեկույցը նաև կոչ է անում ավելի լավ չափել ծրագրային ապահովման անվտանգությունը: ONCD-ն կարծում է, որ ավելի լավ չափումները հնարավորություն են տալիս տեխնոլոգիաների մատակարարներին ավելի լավ պլանավորել, կանխատեսել և մեղմել խոցելիությունները, նախքան դրանք խնդիր դառնան:

Այս զեկույցը վերջինն է ԱՄՆ կառավարության ձեռնարկած քայլերի շարքից: 2023 թվականի մարտին Նախագահ Բայդենը ստորագրեց Կիբերանվտանգության գործադիր հրամանը, որը գործընթացներ սկսեց ծրագրային ապահովման և սարքավորումների պաշտպանության, ինչպես նաև տեխնոլոգիական արդյունաբերության մեջ կապեր ստեղծելու համար:

Կարդացեք նաև.

• Microsoft հայտնաբերել են հաքերներ Չինաստանից և Ռուսաստանից, ովքեր օգտագործում էին նրա AI գործիքները
• Պենտագոնն օգտագործել է Google-ի արհեստական ​​ինտելեկտը՝ օդային հարվածների թիրախները հայտնաբերելու համար