کاخ سفید از توسعه‌دهندگان می‌خواهد که از زبان‌های برنامه‌نویسی «ایمن» C و C++ اجتناب کنند

У گزارش جدید دفتر مدیر ملی سایبری کاخ سفید (ONCD) از توسعه‌دهندگان خواست از «زبان‌های برنامه‌نویسی سبک وزن» استفاده کنند - مقوله‌ای که زبان‌های محبوب را حذف می‌کند. این توصیه بخشی از استراتژی امنیت سایبری بایدن رئیس جمهور ایالات متحده است و گامی به سوی «حفاظت از اجزای سازنده فضای سایبری» است.

مدیریت نامناسب حافظه در کد نرم افزار می تواند منجر به آسیب پذیری های جدی شود و به مهاجمان اجازه می دهد حملات سایبری را انجام دهند. زبان‌های برنامه‌نویسی مانند جاوا به دلیل مکانیسم‌های تشخیص خطا در زمان اجرا، از نظر مدیریت حافظه ایمن در نظر گرفته می‌شوند. در مقابل، C و C++ به توسعه دهندگان اجازه می دهند تا عملیات اشاره گر را انجام دهند و به طور مستقیم آدرس ها را در حافظه کامپیوتر آدرس دهی کنند. این شامل خواندن و نوشتن داده ها در هر مکان حافظه ای است که می توانند از طریق یک اشاره گر به آن دسترسی داشته باشند.

در سال 2019، مهندسان ایمنی Microsoft گزارش داد که حدود 70 درصد از آسیب پذیری ها ناشی از مسائل امنیتی حافظه است. در سال 2020، گوگل همان رقم را گزارش کرد، اما برای باگ های یافت شده در مرورگر کرومیوم.

در این گزارش آمده است: «کارشناسان چندین زبان برنامه نویسی را شناسایی کرده اند که نه تنها فاقد ویژگی های مربوط به ایمنی حافظه هستند، بلکه در سیستم های حیاتی مانند C و C++ نیز گسترده هستند. "انتخاب زبان های برنامه نویسی ایمن برای حافظه از ابتدا، همانطور که توسط نقشه راه امنیت نرم افزار منبع باز آژانس امنیت سایبری و امنیت زیرساخت (CISA) توصیه شده است، یکی از نمونه های توسعه نرم افزار ایمن از پایه تا پایان "" است.

هدف از این گزارش 19 صفحه ای این است که اطمینان حاصل شود که مسئولیت امنیت سایبری تنها بر عهده افراد و مشاغل کوچک نیست. در عوض، مسئولیت بر عهده سازمان های بزرگ، شرکت های فناوری و در نهایت دولت است.

این گزارش نه تنها به مشکلات C و C++ اشاره می کند، بلکه تعدادی جایگزین را نیز ارائه می دهد - زبان های برنامه نویسی که به عنوان "ایمن حافظه" شناخته می شوند. زبان های توصیه شده توسط آژانس امنیت ملی (NSA) عبارتند از: Rust، Go، C#، Java، Swift، JavaScript و Ruby. این زبان‌ها دارای مکانیسم‌هایی هستند که از انواع رایج حملات حافظه جلوگیری می‌کنند و در نتیجه امنیت سیستم‌های در حال توسعه را افزایش می‌دهند.

ONCD از شرکت‌ها و مهندسان می‌خواهد تا بهترین شیوه‌ها را در توسعه نرم‌افزار اعمال کنند و از سخت‌افزار ایمن حافظه برای کاهش سطح حمله که از طریق آن مهاجمان می‌توانند حمله کنند، استفاده کنند. خود این گزارش به جزئیات اشاره نکرده است که دقیقاً چه زبان برنامه نویسی ایمن برای حافظه در نظر گرفته می شود. با این حال، در نوامبر 2022، آژانس امنیت ملی (NSA) منتشر کرد خبرنامه امنیت سایبری، زبان های برنامه نویسی دقیقی که او معتقد بود در برابر حافظه ایمن هستند.

این گزارش همچنین خواستار سنجش بهتر امنیت نرم افزار است. ONCD معتقد است معیارهای بهتر ارائه دهندگان فناوری را قادر می سازد تا آسیب پذیری ها را قبل از تبدیل شدن به یک مشکل بهتر برنامه ریزی، پیش بینی و کاهش دهند.

این گزارش جدیدترین از مجموعه اقداماتی است که دولت آمریکا انجام داده است. در مارس 2023، پرزیدنت بایدن فرمان اجرایی امنیت سایبری را امضا کرد که فرآیندهایی را برای محافظت از نرم افزار و سخت افزار و همچنین ایجاد روابط در صنعت فناوری راه اندازی کرد.

همچنین بخوانید:

• Microsoft هکرهایی از چین و روسیه را کشف کرد که از ابزارهای هوش مصنوعی آن استفاده می کردند
• پنتاگون از هوش مصنوعی گوگل برای شناسایی اهداف حملات هوایی استفاده کرد