美帝政府近期公布的网络安全报告警示开发者应避免使用内存易受攻击的编程语言如C 和 C++,而选择更为安全的内存管理语言如Java。此报告主要由ONCD负责制定,旨在实施拜登网络安全计划中的“网络空间基本保障体系”。
所谓内存安全,即是防止程序在处理内存时产生如缓冲区溢出以及悬停指针等潜在漏洞。因此,尽管Java凭借其内存安全模式,不受此类问题影响,但C及其变异体C++拥有直接操作内存地址,且缺乏边界检查,因此在内存安全性方面常常陷入困境。
提及报告使用的数据,微软和谷歌的研究均显示,70%以上的安全漏洞皆因内存问题导致。此外,结合CISA的开源软件安全路线图,也建议开发者尽早采取内存安全的编程语言,践行“安全设计”理念。
长达19页的报告并未强制替换C和C++,旨在强调网络安全不仅涉及个体责任,而且是大型组织、技术公司乃至政府共同承担的使命。选择内存安全的编程语言时,报告鼓励涉事各方运用最佳软件开发实践和安全硬件技术,以降低遭受网络攻击的可能。
经IT之家观察,去年11月,美帝国家安全局NSA公布了一份被视为安全的编程语言清单,包括Rust、Go、C#、Java、Swift、JavaScript及Ruby。然而,根据TIOBE指数显示,在使用频率最高的编程语言排行榜上,有四种NSA推荐过的编程语言,分别位于第五至九位,其中排名最靠前的是C#与Java。
值得关注的是,此份报告亦强调了软件安全评价机制的重要性,认为科学完善的评价标准有助于科技企业规避和预防漏洞风险。此外,通过应用类似于阿波罗13号登月行动等物理场景中的内存安全码,进一步印证了关键领域内维护内存安全的必要性。
作为美国政府网络安全策略的一环,该报告的发布体现了美方对提升软件及硬件安全,以及与科技行业形成更紧密合作关系的期待。随着数字时代的深化,选择更为安全的编程语言与开发方案显得尤为必要,本报告将成为推动全行业正视这一问题的新契机。
全部0条评论
快来发表一下你的评论吧 !