У nieuw rapport Het White House Office van de National Cyber Director (ONCD) drong er bij ontwikkelaars op aan om ‘programmeertalen met weinig geheugen’ te gebruiken – een categorie die populaire talen uitsluit. Het advies maakt deel uit van de cyberveiligheidsstrategie van de Amerikaanse president Biden en is een stap in de richting van ‘het beschermen van de bouwstenen van cyberspace’.
Onjuist geheugenbeheer in softwarecode kan tot ernstige kwetsbaarheden leiden, waardoor aanvallers cyberaanvallen kunnen uitvoeren. Programmeertalen zoals Java worden vanwege hun runtime-foutdetectiemechanismen als veilig beschouwd met betrekking tot geheugenbeheer. Met C en C++ kunnen ontwikkelaars daarentegen pointerbewerkingen uitvoeren en adressen in het computergeheugen rechtstreeks adresseren. Dit omvat het lezen en schrijven van gegevens naar elke geheugenlocatie waartoe ze via een aanwijzer toegang hebben.
In 2019 veiligheidsingenieurs Microsoft meldde dat ongeveer 70% van de kwetsbaarheden werd veroorzaakt door problemen met de geheugenbeveiliging. In 2020 rapporteerde Google hetzelfde cijfer, maar dan voor bugs gevonden in de Chromium-browser.
"Experts hebben verschillende programmeertalen geïdentificeerd die niet alleen functies missen die verband houden met geheugenveiligheid, maar die ook wijdverspreid zijn in bedrijfskritische systemen zoals C en C++", aldus het rapport. "Het kiezen van geheugenveilige programmeertalen vanaf de basis, zoals aanbevolen door de Open Source Software Security Roadmap van de Cybersecurity and Infrastructure Security Agency (CISA), is een voorbeeld van het vanaf de basis ontwikkelen van veilige software tegen het einde van"".
Het doel van het 19 pagina's tellende rapport is ervoor te zorgen dat de verantwoordelijkheid voor cyberveiligheid niet uitsluitend bij individuen en kleine bedrijven ligt. In plaats daarvan ligt de verantwoordelijkheid bij grote organisaties, technologiebedrijven en uiteindelijk bij de overheid.
Het rapport wijst niet alleen op de problemen met C en C++, maar biedt ook een aantal alternatieven: programmeertalen die worden erkend als ‘geheugenveilig’. Talen die worden aanbevolen door de National Security Agency (NSA) zijn onder meer: Rust, Go, C#, Java, Swift, JavaScript en Ruby. Deze talen bevatten mechanismen die veelvoorkomende soorten geheugenaanvallen voorkomen, waardoor de veiligheid van de systemen die worden ontwikkeld wordt vergroot.
ONCD vraagt bedrijven en ingenieurs om best practices toe te passen bij de ontwikkeling van software en geheugenveilige hardware te gebruiken om het aanvalsoppervlak waarmee aanvallers kunnen aanvallen te verkleinen. In het rapport zelf wordt niet gedetailleerd beschreven wat precies als een geheugenveilige programmeertaal wordt beschouwd. In november 2022 kwam de National Security Agency (NSA) echter vrij nieuwsbrief over cyberveiligheid, waarin de programmeertalen werden beschreven waarvan hij dacht dat ze geheugenveilig waren.
Het rapport roept ook op tot een betere meting van softwarebeveiliging. ONCD is van mening dat betere statistieken technologieleveranciers in staat stellen kwetsbaarheden beter te plannen, erop te anticiperen en deze te beperken voordat deze een probleem worden.
Dit rapport is het laatste in een reeks stappen die de Amerikaanse regering heeft ondernomen. In maart 2023 ondertekende president Biden de Cybersecurity Executive Order, waarmee processen werden gelanceerd om software en hardware te beschermen en banden in de technologie-industrie te smeden.
Lees ook:
C++ zal altijd aan de top staan vanwege zijn vermogen om te optimaliseren. En geheugenbeveiliging is geen bug maar een functie
Ficha huicha
"Toen verwarde ik een rechte hoek... (c)" :))
"De door de National Security Agency (NSA) aanbevolen talen zijn: Rust, Go, C#, Java, Swift, JavaScript en Ruby."
Biden verdrinkt in Java, het is duidelijk...
Belangrijke strategische vraagstukken worden opgepakt...
We moeten nog een briefing organiseren"Android versus iOS".
1. Waar ter wereld heb je Java leren kennen? Roest is daar ook aangegeven.
2. Ik begrijp het sarcasme niet, nu is er echt een probleem met lekkende software, vooral als het een soort erfenis is, en een combo als het in een onderaannemingscontract is geschreven met wie.
1. In de broncode – ctrl+F “Java”
2. Dat is puur Oekraïens sarcasme, om te begrijpen of je bijvoorbeeld ergens in Charkov of in Kupyansk moet programmeren.
1 - nee, de primaire bron is de eerste link in het bericht (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
eigenlijk komt de screenshot daar vandaan.
Het blijkt dat THD een fout heeft gemaakt, en jij hebt het overgenomen en vertaald.
2 - begreep het niet.
Laten we proberen het uit te zoeken. Bedankt voor uw aandacht.
Het Witte Huis zal veranderen, maar C++ zal blijven