У neuer Bericht Das Büro des National Cyber Director des Weißen Hauses (ONCD) forderte Entwickler dazu auf, „leichtgewichtige Programmiersprachen“ zu verwenden – eine Kategorie, die beliebte Sprachen ausschließt. Der Rat ist Teil der Cybersicherheitsstrategie von US-Präsident Biden und ein Schritt zum „Schutz der Bausteine des Cyberspace“.
Eine unsachgemäße Speicherverwaltung im Softwarecode kann zu schwerwiegenden Schwachstellen führen, die es Angreifern ermöglichen, Cyberangriffe durchzuführen. Programmiersprachen wie Java gelten aufgrund ihrer Laufzeitfehlererkennungsmechanismen hinsichtlich der Speicherverwaltung als sicher. Im Gegensatz dazu ermöglichen C und C++ Entwicklern die Durchführung von Zeigeroperationen und die direkte Adressierung von Adressen im Computerspeicher. Dazu gehört das Lesen und Schreiben von Daten an jeden Speicherort, auf den sie über einen Zeiger zugreifen können.
Im Jahr 2019 Sicherheitsingenieure Microsoft berichtete, dass etwa 70 % der Schwachstellen durch Speichersicherheitsprobleme verursacht wurden. Im Jahr 2020 meldete Google die gleiche Zahl, allerdings wegen Fehlern, die im Chromium-Browser gefunden wurden.
„Experten haben mehrere Programmiersprachen identifiziert, denen es nicht nur an Funktionen zur Speichersicherheit mangelt, sondern die auch in geschäftskritischen Systemen wie C und C++ weit verbreitet sind“, heißt es in dem Bericht. „Die Wahl speichersicherer Programmiersprachen von Grund auf, wie in der Open Source Software Security Roadmap der Cybersecurity and Infrastructure Security Agency (CISA) empfohlen, ist ein Beispiel für die Entwicklung sicherer Software von Grund auf bis zum Ende des Jahres.“
Ziel des 19-seitigen Berichts ist es, sicherzustellen, dass die Verantwortung für Cybersicherheit nicht allein bei Einzelpersonen und kleinen Unternehmen liegt. Stattdessen liegt die Verantwortung bei großen Organisationen, Technologieunternehmen und letztendlich bei der Regierung.
Der Bericht weist nicht nur auf die Probleme mit C und C++ hin, sondern bietet auch eine Reihe von Alternativen an – als „speichersicher“ anerkannte Programmiersprachen. Zu den von der National Security Agency (NSA) empfohlenen Sprachen gehören: Rust, Go, C#, Java, Swift, JavaScript und Ruby. Diese Sprachen enthalten Mechanismen, die gängige Arten von Speicherangriffen verhindern und so die Sicherheit der entwickelten Systeme erhöhen.
ONCD fordert Unternehmen und Ingenieure auf, Best Practices in der Softwareentwicklung anzuwenden und speichersichere Hardware zu verwenden, um die Angriffsfläche zu verringern, über die Angreifer angreifen können. Im Bericht selbst wurde nicht detailliert beschrieben, was genau als speichersichere Programmiersprache gilt. Im November 2022 veröffentlichte die National Security Agency (NSA) jedoch eine Enthüllung Newsletter zur Cybersicherheit, der detaillierte Programmiersprachen enthielt, die er für speichersicher hielt.
Der Bericht fordert außerdem eine bessere Messung der Softwaresicherheit. ONCD ist davon überzeugt, dass bessere Kennzahlen es Technologieanbietern ermöglichen, Schwachstellen besser zu planen, zu antizipieren und zu mindern, bevor sie zu einem Problem werden.
Dieser Bericht ist der jüngste in einer Reihe von Schritten der US-Regierung. Im März 2023 unterzeichnete Präsident Biden die Cybersecurity Executive Order, die Prozesse zum Schutz von Software und Hardware einleitete und Verbindungen in der Technologiebranche knüpfte.
Lesen Sie auch:
C++ wird aufgrund seiner Optimierungsfähigkeit immer an der Spitze stehen. Und Speichersicherheit ist kein Fehler, sondern eine Funktion
Ficha huicha
„Dann habe ich einen rechten Winkel verwechselt... (c)“ :))
„Zu den von der National Security Agency (NSA) empfohlenen Sprachen gehören: Rust, Go, C#, Java, Swift, JavaScript und Ruby.“
Biden versinkt in Java, das ist klar...
Wichtige strategische Themen werden bearbeitet...
Wir müssen noch ein Briefing organisieren.“Android vs. iOS“.
1. Wo auf der Welt haben Sie etwas über Java gelernt? Dort wird auch auf Rost hingewiesen.
2. Ich verstehe Sarkasmus nicht. Jetzt gibt es wirklich ein Problem mit undichten Software, insbesondere wenn es sich um eine Art Legacy handelt, und eine Kombination, wenn sie im Rahmen eines Untervertrags mit jemandem geschrieben wurde.
1. In der Quelle - Strg+F „Java“
2. Es ist rein ukrainischer Sarkasmus, zu verstehen, ob Sie beispielsweise irgendwo in Charkiw oder in Kupjansk programmieren müssen.
1 – nein, die primäre Quelle ist der erste Link im Beitrag (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
Eigentlich stammt der Screenshot von dort.
Es stellt sich heraus, dass THD einen Fehler gemacht hat, und Sie haben es übernommen und übersetzt.
2 - nicht verstanden.
Versuchen wir es herauszufinden. Danke für Ihre Aufmerksamkeit.
Das Weiße Haus wird sich ändern, aber C++ wird bleiben