Das Weiße Haus fordert Entwickler dringend auf, C und C++ zugunsten „sicherer“ Programmiersprachen zu meiden

У neuer Bericht Das Büro des National Cyber ​​​​Director des Weißen Hauses (ONCD) forderte Entwickler dazu auf, „leichtgewichtige Programmiersprachen“ zu verwenden – eine Kategorie, die beliebte Sprachen ausschließt. Der Rat ist Teil der Cybersicherheitsstrategie von US-Präsident Biden und ein Schritt zum „Schutz der Bausteine ​​des Cyberspace“.

Eine unsachgemäße Speicherverwaltung im Softwarecode kann zu schwerwiegenden Schwachstellen führen, die es Angreifern ermöglichen, Cyberangriffe durchzuführen. Programmiersprachen wie Java gelten aufgrund ihrer Laufzeitfehlererkennungsmechanismen hinsichtlich der Speicherverwaltung als sicher. Im Gegensatz dazu ermöglichen C und C++ Entwicklern die Durchführung von Zeigeroperationen und die direkte Adressierung von Adressen im Computerspeicher. Dazu gehört das Lesen und Schreiben von Daten an jeden Speicherort, auf den sie über einen Zeiger zugreifen können.

Im Jahr 2019 Sicherheitsingenieure Microsoft berichtete, dass etwa 70 % der Schwachstellen durch Speichersicherheitsprobleme verursacht wurden. Im Jahr 2020 meldete Google die gleiche Zahl, allerdings wegen Fehlern, die im Chromium-Browser gefunden wurden.

„Experten haben mehrere Programmiersprachen identifiziert, denen es nicht nur an Funktionen zur Speichersicherheit mangelt, sondern die auch in geschäftskritischen Systemen wie C und C++ weit verbreitet sind“, heißt es in dem Bericht. „Die Wahl speichersicherer Programmiersprachen von Grund auf, wie in der Open Source Software Security Roadmap der Cybersecurity and Infrastructure Security Agency (CISA) empfohlen, ist ein Beispiel für die Entwicklung sicherer Software von Grund auf bis zum Ende des Jahres.“

Ziel des 19-seitigen Berichts ist es, sicherzustellen, dass die Verantwortung für Cybersicherheit nicht allein bei Einzelpersonen und kleinen Unternehmen liegt. Stattdessen liegt die Verantwortung bei großen Organisationen, Technologieunternehmen und letztendlich bei der Regierung.

Der Bericht weist nicht nur auf die Probleme mit C und C++ hin, sondern bietet auch eine Reihe von Alternativen an – als „speichersicher“ anerkannte Programmiersprachen. Zu den von der National Security Agency (NSA) empfohlenen Sprachen gehören: Rust, Go, C#, Java, Swift, JavaScript und Ruby. Diese Sprachen enthalten Mechanismen, die gängige Arten von Speicherangriffen verhindern und so die Sicherheit der entwickelten Systeme erhöhen.

ONCD fordert Unternehmen und Ingenieure auf, Best Practices in der Softwareentwicklung anzuwenden und speichersichere Hardware zu verwenden, um die Angriffsfläche zu verringern, über die Angreifer angreifen können. Im Bericht selbst wurde nicht detailliert beschrieben, was genau als speichersichere Programmiersprache gilt. Im November 2022 veröffentlichte die National Security Agency (NSA) jedoch eine Enthüllung Newsletter zur Cybersicherheit, der detaillierte Programmiersprachen enthielt, die er für speichersicher hielt.

Der Bericht fordert außerdem eine bessere Messung der Softwaresicherheit. ONCD ist davon überzeugt, dass bessere Kennzahlen es Technologieanbietern ermöglichen, Schwachstellen besser zu planen, zu antizipieren und zu mindern, bevor sie zu einem Problem werden.

Dieser Bericht ist der jüngste in einer Reihe von Schritten der US-Regierung. Im März 2023 unterzeichnete Präsident Biden die Cybersecurity Executive Order, die Prozesse zum Schutz von Software und Hardware einleitete und Verbindungen in der Technologiebranche knüpfte.

Lesen Sie auch:

• Microsoft entdeckte Hacker aus China und Russland, die seine KI-Tools nutzten
• Das Pentagon nutzte die KI von Google, um Ziele für Luftangriffe zu identifizieren