У گزارش جدید دفتر مدیر ملی سایبری کاخ سفید (ONCD) از توسعهدهندگان خواست از «زبانهای برنامهنویسی سبک وزن» استفاده کنند - مقولهای که زبانهای محبوب را حذف میکند. این توصیه بخشی از استراتژی امنیت سایبری بایدن رئیس جمهور ایالات متحده است و گامی به سوی «حفاظت از اجزای سازنده فضای سایبری» است.
مدیریت نامناسب حافظه در کد نرم افزار می تواند منجر به آسیب پذیری های جدی شود و به مهاجمان اجازه می دهد حملات سایبری را انجام دهند. زبانهای برنامهنویسی مانند جاوا به دلیل مکانیسمهای تشخیص خطا در زمان اجرا، از نظر مدیریت حافظه ایمن در نظر گرفته میشوند. در مقابل، C و C++ به توسعه دهندگان اجازه می دهند تا عملیات اشاره گر را انجام دهند و به طور مستقیم آدرس ها را در حافظه کامپیوتر آدرس دهی کنند. این شامل خواندن و نوشتن داده ها در هر مکان حافظه ای است که می توانند از طریق یک اشاره گر به آن دسترسی داشته باشند.
در سال 2019، مهندسان ایمنی Microsoft گزارش داد که حدود 70 درصد از آسیب پذیری ها ناشی از مسائل امنیتی حافظه است. در سال 2020، گوگل همان رقم را گزارش کرد، اما برای باگ های یافت شده در مرورگر کرومیوم.
در این گزارش آمده است: «کارشناسان چندین زبان برنامه نویسی را شناسایی کرده اند که نه تنها فاقد ویژگی های مربوط به ایمنی حافظه هستند، بلکه در سیستم های حیاتی مانند C و C++ نیز گسترده هستند. "انتخاب زبان های برنامه نویسی ایمن برای حافظه از ابتدا، همانطور که توسط نقشه راه امنیت نرم افزار منبع باز آژانس امنیت سایبری و امنیت زیرساخت (CISA) توصیه شده است، یکی از نمونه های توسعه نرم افزار ایمن از پایه تا پایان "" است.
هدف از این گزارش 19 صفحه ای این است که اطمینان حاصل شود که مسئولیت امنیت سایبری تنها بر عهده افراد و مشاغل کوچک نیست. در عوض، مسئولیت بر عهده سازمان های بزرگ، شرکت های فناوری و در نهایت دولت است.
این گزارش نه تنها به مشکلات C و C++ اشاره می کند، بلکه تعدادی جایگزین را نیز ارائه می دهد - زبان های برنامه نویسی که به عنوان "ایمن حافظه" شناخته می شوند. زبان های توصیه شده توسط آژانس امنیت ملی (NSA) عبارتند از: Rust، Go، C#، Java، Swift، JavaScript و Ruby. این زبانها دارای مکانیسمهایی هستند که از انواع رایج حملات حافظه جلوگیری میکنند و در نتیجه امنیت سیستمهای در حال توسعه را افزایش میدهند.
ONCD از شرکتها و مهندسان میخواهد تا بهترین شیوهها را در توسعه نرمافزار اعمال کنند و از سختافزار ایمن حافظه برای کاهش سطح حمله که از طریق آن مهاجمان میتوانند حمله کنند، استفاده کنند. خود این گزارش به جزئیات اشاره نکرده است که دقیقاً چه زبان برنامه نویسی ایمن برای حافظه در نظر گرفته می شود. با این حال، در نوامبر 2022، آژانس امنیت ملی (NSA) منتشر کرد خبرنامه امنیت سایبری، زبان های برنامه نویسی دقیقی که او معتقد بود در برابر حافظه ایمن هستند.
این گزارش همچنین خواستار سنجش بهتر امنیت نرم افزار است. ONCD معتقد است معیارهای بهتر ارائه دهندگان فناوری را قادر می سازد تا آسیب پذیری ها را قبل از تبدیل شدن به یک مشکل بهتر برنامه ریزی، پیش بینی و کاهش دهند.
این گزارش جدیدترین از مجموعه اقداماتی است که دولت آمریکا انجام داده است. در مارس 2023، پرزیدنت بایدن فرمان اجرایی امنیت سایبری را امضا کرد که فرآیندهایی را برای محافظت از نرم افزار و سخت افزار و همچنین ایجاد روابط در صنعت فناوری راه اندازی کرد.
همچنین بخوانید:
C++ به دلیل توانایی بهینه سازی همیشه در صدر خواهد بود. و امنیت حافظه یک اشکال نیست بلکه یک ویژگی است
فیچا هویچا
"سپس من یک زاویه قائمه را اشتباه گرفتم ... (ج)" :))
"زبان های توصیه شده آژانس امنیت ملی (NSA) عبارتند از: Rust، Go، C#، Java، Swift، JavaScript و Ruby."
بایدن در جاوا غرق می شود، واضح است...
مسائل استراتژیک مهم در نظر گرفته شده است ...
ما هنوز باید یک جلسه توجیهی ترتیب دهیم"Android در مقابل iOS".
1. در کجای دنیا جاوا را یاد گرفتید؟ زنگ زدگی نیز در آنجا نشان داده شده است.
2. من طعنه نمیفهمم، الان واقعا مشکل نرم افزارهای لوکی هست، مخصوصا اگه یه جور میراثی باشه، و اگر روی قرارداد فرعی با کسی نوشته شده باشه، ترکیبی هست.
1. در منبع - ctrl+F "Java"
2. این یک طعنه صرفاً اوکراینی است، برای اینکه بفهمید مثلاً در خارکف یا کوپیانسک باید برنامهنویسی کنید.
1 - خیر، منبع اصلی اولین لینک در پست است (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
در واقع اسکرین شات از آنجاست.
معلوم می شود که THD اشتباه کرده و شما آن را گرفته و ترجمه کرده اید.
2- متوجه نشدم
بیایید سعی کنیم آن را بفهمیم. با تشکر از توجه شما.
کاخ سفید تغییر خواهد کرد، اما C++ باقی خواهد ماند