:

Szerző: Dömös Zsuzsanna

2024. február 29. 14:00

A Fehér Ház is a C és a C++ elhagyására buzdít

A Biden-adminisztráció egyre aktívabban ajánlja a memóriabiztos nyelvek használatát, az NSA után a Fehér Ház is útmutatást adott ki a fejlesztőknek.

A Fehér Ház Office of the National Cyber ​​Director (ONCD) hivatala a héten kiadott ajánlásában arra sürgeti a technológiai vállalatokat, hogy váltsanak memóriabiztos programozási nyelvek használatára a biztonsági kockázatok csökkentésének érdekében, kiemelten ajánlva a Rustot, a Javascriptet, a Java-t, vagy a C#-t. A jelentés a Biden elnök által 2023 márciusában aláírt Nemzeti Kiberbiztonsági Stratégiára épül, amely az ország kiberterének védelmének terhét a szoftvergyártókra és szolgáltatókra hárította. A hivatal ezzel együtt javasolja, hogy a fejlesztők hagyjanak fel a programok C vagy C++ nyelven történő fejlesztésével - az említett két nyelvet különösen a kritikus rendszerek használatában tartja kockázatosnak a hivatal.

A Microsoft és a Google jelentése szerint a szoftverekben megbújó biztonsági sérülékenységek közel 70 százaléka valamilyen memóriahibára vezethető vissza. Emellett a Common Weakness Enumeration (CWE) katalógust gondozó The MITRE Corporation leggyakoribb sebezhetőségeket listázó 25-ös toplistáján évek óta ott van a CWE-119-es kódjelű "Improper Restriction of Operations within the Bounds of a Memory Buffer”, a memóriapuffer túlcsordulása, mint biztonsági hiányosság. A támadók előszeretettel keresnek utakat a rendszerekbe a memóriaallokáció hiányain keresztül is.

white-house-devs

Machine recruiting: nem biztos, hogy szeretni fogod

Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

Machine recruiting: nem biztos, hogy szeretni fogod Az AI visszafordíthatatlanul beépült a toborzás folyamatába.

2022 végén az Egyesült Államok Nemzetbiztonsági Ügynöksége (NSA) tett közzé útmutatót a kibertámadásokra lehetőséget adó memóriahibák megelőzésére és kezelésére vonatkozóan a szoftverfejlesztők és üzemeltetők számára. A dokumentum részletezi, hogy illetéktelenek miként tudnak visszaélni a távolból a memóriát kezelő kódok sebezhetőségeivel, ami gyakrabban fordul elő azon nyelvekkel, amelyek több lehetőséget és rugalmasságot biztosítanak a programozóknak, így például a széleskörben elterjedt C-vel és C++-szal.

Az olyan széles körben elterjedt nyelvek, mint a C és a C++ ugyan nagy szabadságot és rugalmasságot biztosítanak a memóriakezelésben, de az egyszerű hibák is kihasználható sebezhetőségek keletkezéséhez vezethetnek. A C vagy C++ programozási nyelveken írt alkalmazásokban gyakoribbak az ilyen kódolási hibák, ezért a fejlesztői közösség az utóbbi évek során már láthatóan elkezdett biztonságosabb gyakorlatok felé fordulni, és az irányváltást mutatja az is, hogy a cégek is létre hívtak új nyelveket.

A Google 2022 végén jelentett először komolyabb eredményekről, miután az Android Open Source Project (AOSP) támogatni kezdte a Rust programozási nyelvet, ezzel együtt a cég megkezdte a Rust használatát a mobilos rendszer kódjában abban a reményben, hogy sikerül csökkenteni a biztonsági rések számát a szoftverben. A memóriabiztonsági sebezhetőségek száma jelentősen csökkent az elmúlt néhány évben az újabb kiadásokkal, egészen pontosan 223-ról 85-re esett vissza a 2019 és 2022 közötti időszakban. 

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról