白宮敦促開發人員放棄 C 和 C++

日期: 分類: «資安» 作者: ols3

拜登政府呼籲開發人員採用記憶體安全的程式語言,並遠離那些導致緩衝區溢位和其他記憶體存取漏洞的語言。

https://www.infoworld.com/article/3713203/white-house-urges-developers-to-dump-c-and-c.html

美國總統拜登政府希望軟體開發人員使用記憶體安全的程式語言,並放棄 C 和 C++ 等易受攻擊的語言。

白宮國家網路主任辦公室 (ONCD) 在周一發布的一份報告中呼籲開發人員透過使用不存在記憶體安全漏洞的程式語言來降低網路攻擊的風險。白宮在新聞稿中表示,科技公司透過採用記憶體安全程式語言,「可以防止各類漏洞進入數位生態系統」。

記憶體安全程式語言可以免受與記憶體存取相關的軟體錯誤和漏洞的影響,包括緩衝區溢位、越界讀取和記憶體洩漏。微軟和谷歌最近的研究發現,大約 70% 的安全漏洞是由記憶體安全問題引起的。

「作為一個國家,我們有能力也有責任減少網路空間的攻擊面並防止各類安全漏洞進入數位生態系統,但這意味著我們需要解決轉向記憶體安全編程的難題」國家網路主任哈里·科克在白宮新聞稿中表示。

美國網路安全和基礎設施安全局也在 9 月的一篇部落格文章中敦促開發人員使用記憶體安全的程式語言。 CISA、FBI、美國國家安全局和盟國機構也在 12 月發布了這份報告《記憶體安全路線圖案例》

ONCD 這份長達 19 頁的新報告將 C 和 C++ 作為存在記憶體安全漏洞的程式語言的兩個範例,並將 Rust 作為其認為安全的程式語言的範例。此外,2022 年 11 月的 NSA 網路安全資訊表將 C#、Go、Java、Ruby 和 Swift 以及 Rust 列為其認為記憶體安全的程式語言。