美帝政府近期公布的網(wǎng)絡(luò)安全報(bào)告警示開發(fā)者應(yīng)避免使用內(nèi)存易受攻擊的編程語言如C 和 C++,而選擇更為安全的內(nèi)存管理語言如Java。此報(bào)告主要由ONCD負(fù)責(zé)制定,旨在實(shí)施拜登網(wǎng)絡(luò)安全計(jì)劃中的“網(wǎng)絡(luò)空間基本保障體系”。
所謂內(nèi)存安全,即是防止程序在處理內(nèi)存時(shí)產(chǎn)生如緩沖區(qū)溢出以及懸停指針等潛在漏洞。因此,盡管Java憑借其內(nèi)存安全模式,不受此類問題影響,但C及其變異體C++擁有直接操作內(nèi)存地址,且缺乏邊界檢查,因此在內(nèi)存安全性方面常常陷入困境。
提及報(bào)告使用的數(shù)據(jù),微軟和谷歌的研究均顯示,70%以上的安全漏洞皆因內(nèi)存問題導(dǎo)致。此外,結(jié)合CISA的開源軟件安全路線圖,也建議開發(fā)者盡早采取內(nèi)存安全的編程語言,踐行“安全設(shè)計(jì)”理念。
長達(dá)19頁的報(bào)告并未強(qiáng)制替換C和C++,旨在強(qiáng)調(diào)網(wǎng)絡(luò)安全不僅涉及個(gè)體責(zé)任,而且是大型組織、技術(shù)公司乃至政府共同承擔(dān)的使命。選擇內(nèi)存安全的編程語言時(shí),報(bào)告鼓勵(lì)涉事各方運(yùn)用最佳軟件開發(fā)實(shí)踐和安全硬件技術(shù),以降低遭受網(wǎng)絡(luò)攻擊的可能。
經(jīng)IT之家觀察,去年11月,美帝國家安全局NSA公布了一份被視為安全的編程語言清單,包括Rust、Go、C#、Java、Swift、JavaScript及Ruby。然而,根據(jù)TIOBE指數(shù)顯示,在使用頻率最高的編程語言排行榜上,有四種NSA推薦過的編程語言,分別位于第五至九位,其中排名最靠前的是C#與Java。
值得關(guān)注的是,此份報(bào)告亦強(qiáng)調(diào)了軟件安全評(píng)價(jià)機(jī)制的重要性,認(rèn)為科學(xué)完善的評(píng)價(jià)標(biāo)準(zhǔn)有助于科技企業(yè)規(guī)避和預(yù)防漏洞風(fēng)險(xiǎn)。此外,通過應(yīng)用類似于阿波羅13號(hào)登月行動(dòng)等物理場(chǎng)景中的內(nèi)存安全碼,進(jìn)一步印證了關(guān)鍵領(lǐng)域內(nèi)維護(hù)內(nèi)存安全的必要性。
作為美國政府網(wǎng)絡(luò)安全策略的一環(huán),該報(bào)告的發(fā)布體現(xiàn)了美方對(duì)提升軟件及硬件安全,以及與科技行業(yè)形成更緊密合作關(guān)系的期待。隨著數(shù)字時(shí)代的深化,選擇更為安全的編程語言與開發(fā)方案顯得尤為必要,本報(bào)告將成為推動(dòng)全行業(yè)正視這一問題的新契機(jī)。
-
開源軟件
+關(guān)注
關(guān)注
0文章
210瀏覽量
15900 -
編程語言
+關(guān)注
關(guān)注
10文章
1942瀏覽量
34707 -
C++
+關(guān)注
關(guān)注
22文章
2108瀏覽量
73618
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論