08.12.2023

АНБ и ФБР предостерегают от С++ Язык программирования устарел и небезопасен

Текст Павел Иевлев

CISA диктуют новые тенденции в программировании

Агентство по кибербезопасности и защите инфраструктуры США (CISA), подразделение Министерства внутренней безопасности, подчеркивает критическую роль безопасности памяти при разработке программного обеспечения. В своем отчете под названием «Безопасность памяти: путь вперед» CISA описывает значительные риски, связанные с ошибками безопасности памяти, и необходимость их устранения.

Ошибки безопасности памяти, включая переполнение буфера, использование неинициализированной памяти, путаницу типов и использование освобожденной памяти, могут быть использованы злоумышленниками. Эти уязвимости позволяют контролировать систему, красть данные и выполнять произвольный код, представляя собой серьезную угрозу для цифровой инфраструктуры.

Для решения этой проблемы CISA в сотрудничестве с Агентством национальной безопасности (АНБ), ФБР и органами кибербезопасности Австралии, Канады, Великобритании и Новой Зеландии выступает за более строгое соблюдение рекомендаций по безопасности на этапе разработки программного обеспечения. Эти рекомендации поддерживаются всеми вышеупомянутыми организациями.

Агентство призывает производителей программного обеспечения уделять приоритетное внимание безопасности памяти, разрабатывая и публикуя четкие дорожные карты по устранению таких уязвимостей в своих продуктах. Публичное принятие обязательств по реализации таких дорожных карт – это способ для производителей продемонстрировать своим клиентам свою приверженность решению проблем безопасности.

Проблема безопасности памяти привлекла значительное внимание даже таких организаций, как Consumer Reports, что свидетельствует о растущей осведомленности общественности. Такие крупные компании, как Microsoft и Google, признали распространенность ошибок безопасности памяти: Microsoft сообщила, что около 70% ее уязвимостей связаны с такими проблемами, а Google подтвердила аналогичную статистику для своего проекта Chromium.

Для повышения уровня безопасности CISA рекомендует использовать языки программирования, обеспечивающие безопасность памяти, такие как C#, Go, Java, Python, Rust и Swift. Переход на эти языки может значительно снизить вероятность возникновения уязвимостей, связанных с памятью.

В чем сейчас можно программировать: