美國政府近日發(fā)布了一份網(wǎng)絡(luò)安全報(bào)告��,呼吁開發(fā)人員停止使用容易出現(xiàn)內(nèi)存安全漏洞的編程語言��,例如 C 和 C++���,轉(zhuǎn)而使用內(nèi)存安全的編程語言進(jìn)行開發(fā)���。這份報(bào)告由美國網(wǎng)絡(luò)空間總監(jiān)辦公室 (ONCD) 發(fā)布,旨在落實(shí)美國總統(tǒng)拜登的網(wǎng)絡(luò)安全戰(zhàn)略,目標(biāo)是“保護(hù)網(wǎng)絡(luò)空間的基石”�。
內(nèi)存安全指的是程序在訪問內(nèi)存時(shí)能夠避免出現(xiàn)錯(cuò)誤和漏洞,例如緩沖區(qū)溢出和懸空指針�����。Java 由于其 runtime 錯(cuò)誤檢測功能��,被認(rèn)為是一種內(nèi)存安全的語言���。然而����,C 和 C++ 允許直接操作內(nèi)存地址��,并且缺乏邊界檢查�,容易出現(xiàn)內(nèi)存安全問題��。
報(bào)告援引微軟和谷歌的研究數(shù)據(jù)���,指出超過 70% 的安全漏洞都與內(nèi)存安全問題有關(guān)��。報(bào)告還引用了美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA) 的開源軟件安全路線圖��,建議開發(fā)人員從一開始就使用內(nèi)存安全的編程語言���,進(jìn)行“安全設(shè)計(jì)”式的開發(fā)����。
這份報(bào)告長達(dá) 19 頁����,旨在強(qiáng)調(diào)網(wǎng)絡(luò)安全不僅僅是個(gè)人的責(zé)任,更是大型組織��、科技公司和政府的共同責(zé)任�����。報(bào)告沒有推薦特定的編程語言替代 C 和 C++�,而是強(qiáng)調(diào)有多種內(nèi)存安全的編程語言可供選擇。報(bào)告還呼吁企業(yè)和工程師采用最佳軟件開發(fā)實(shí)踐����,并使用內(nèi)存安全的硬件,以減少惡意攻擊的可能性�。
IT之家注意到,美國國家安全局 (NSA) 在去年 11 月發(fā)布的網(wǎng)絡(luò)安全信息文件中���,列出了他們認(rèn)為安全的編程語言��,其中包括:
Rust
Go
C#
Java
Swift
JavaScript
Ruby
但根據(jù) TIOBE 指數(shù) (衡量編程語言流行程度的指標(biāo))��,C# 位居排行榜第 5 位�����,Java 第 4 位��,JavaScript 第 6 位����,Go 第 8 位,Swift 第 16 位���,Rust 第 18 位���,Ruby 第 20 位����。可見�,NSA 推薦的語言中只有 4 種屬于開發(fā)者最常用的語言。
該報(bào)告還強(qiáng)調(diào)了軟件安全評估的重要性,并認(rèn)為更好地評估標(biāo)準(zhǔn)能夠幫助科技公司更好地規(guī)劃����、預(yù)測和緩解漏洞風(fēng)險(xiǎn)。報(bào)告還以阿波羅 13 號登月任務(wù)為例��,強(qiáng)調(diào)了在太空探索等關(guān)鍵領(lǐng)域使用內(nèi)存安全代碼的重要性�����。
這份報(bào)告是美國政府一系列網(wǎng)絡(luò)安全舉措的一部分�����。2023 年 3 月�,拜登總統(tǒng)簽署了網(wǎng)絡(luò)安全行政命令,旨在加強(qiáng)軟件和硬件安全���,并與科技行業(yè)建立合作關(guān)系��。隨著數(shù)字化的不斷推進(jìn)�����,更安全的編程語言和開發(fā)方式變得至關(guān)重要�����,這份報(bào)告正是呼吁業(yè)界重視這一問題的最新舉措��。
文章內(nèi)容僅供閱讀����,不構(gòu)成投資建議,請謹(jǐn)慎對待�。投資者據(jù)此操作,風(fēng)險(xiǎn)自擔(dān)���。
京公網(wǎng)安備 11010502041587號