IT之家2 月29 日报道,美国政府近日发布网络安全报告,呼吁开发者停止使用容易出现内存安全漏洞的编程语言,例如C 和C++,转而使用内存安全的编程语言进行开发。发展。该报告是美国网络空间主任办公室(ONCD)发布的,旨在落实美国总统拜登的网络安全战略,目标是“保护网络空间的基石”。
内存安全是指程序在访问内存时避免错误和漏洞的能力,例如缓冲区溢出和悬空指针。 Java 由于其运行时错误检测功能而被认为是一种内存安全语言。然而,C和C++允许直接操作内存地址并且缺乏边界检查,这很容易出现内存安全问题。
报告援引微软和谷歌的研究数据指出,超过70%的安全漏洞与内存安全问题有关。报告还引用了美国网络安全和基础设施安全局(CISA)的开源软件安全路线图,建议开发人员从一开始就使用内存安全的编程语言,并进行“安全设计”开发。
这份长达19页的报告旨在强调,网络安全不仅仅是个人的责任,也是大型组织、科技公司和政府的共同责任。报告并没有推荐特定的编程语言来取代C和C++,而是强调有多种内存安全的编程语言可供选择。该报告还呼吁企业和工程师采用最佳软件开发实践并使用内存安全硬件来减少恶意攻击的可能性。
据悉,美国国家安全局(NSA)在去年11 月发布的一份网络安全信息文件中列出了他们认为安全的编程语言,包括:
锈
去
C
爪哇
迅速
JavaScript
红宝石
但根据TIOBE 指数(衡量编程语言流行度的指标),C# 排名第5,Java 排名第4,JavaScript 排名第6,Go 排名第8,Swift 排名第16,Rust 排名第18,Ruby 排名第18。 20人。可以看到,NSA推荐的语言中只有4种是开发者最常用的语言之一。
报告还强调了软件安全评估的重要性,认为更好的评估标准可以帮助科技公司更好地规划、预测和降低漏洞风险。报告还以阿波罗13号登月任务为例,强调在太空探索等关键领域使用内存安全代码的重要性。
该报告是美国政府一系列网络安全举措的一部分。 2023年3月,拜登总统签署了一项网络安全行政命令,旨在加强软硬件安全并与科技行业建立合作伙伴关系。随着数字化的不断推进,更安全的编程语言和开发方法变得至关重要,而这份报告就是呼吁业界关注这一问题的最新举措。
