圈小蛙
美国白宫国家网络主任办公室(ONCD) 建议开发人员从C++和C等编程语言迁移到Rust和C#等内存安全编程语言。
回到构件:实现安全和可衡量软件的途径
https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf
微软和谷歌的研究表明,大约 70% 的安全漏洞是由与内存访问有关的软件错误和漏洞造成的,如缓冲区溢出、越界读取和内存泄漏。很明显,有 这些问题可以通过使用确保内存安全的编程语言来避免,但不保证内存安全的编程语言仍然很流行,研究公司 Statista 报告称,截至 2023 年,约有 22% 的开发人员将使用 C++。 据透露,约有 19% 的开发人员使用 C++。
白宫于2024年2月26日发表声明,建议规范一种具有内存安全性的编程语言,以加强安全性。美国国家安全局(NSA)将 Rust、C#、Go、Java、Ruby 和 Swift列为内存安全编程语言。
ONCD 主任哈里·科克尔(Harry Coker)表示:“作为一个国家,我们有能力也有责任减少网络空间的攻击面,并防止各种安全漏洞进入我们的数字生态系统。我们将解决迫使开发人员迁移到具有更好内存安全性的编程语言的难题。”
ONCD 未来的目标是“将网络安全的责任从开发者本身和小企业转移到大公司、技术公司和美国政府”,由他们“负责应对不断变化的威胁”。它们的应对能力很强。
华盛顿大学计算机科学教授丹·格罗斯曼 (Dan Grossman) 表示,“几十年来,与 C++ 和 C 语言相关的危险已经众所周知。” “有了这么多可用的语言,白宫鼓励开发人员迁移到内存安全的编程语言是非常有帮助和及时的。”
然而,格罗斯曼表示,“随着利用内存安全漏洞的攻击者所构成的威胁变得越来越复杂,我们迫切需要做出改变。这不是一朝一夕就能完成的事情。”
互联网安全研究集团(Internet Security Research Group)执行董事兼联合创始人乔希-阿斯(Josh Aas)说:“摒弃 C++ 和 C 语言将是一个漫长而艰难的过程。公共和私营部门必须共同努力,优先推广具有出色内存安全性的编程语言。”
此外,2023 年 9 月,美国网络安全和基础设施安全局(CISA)发表声明,建议使用编程语言具有出色内存安全性的语言。美国联邦调查局 (FBI)、美国国家安全局和相关机构联合发布了一份名为“内存安全路线图案例”(PDF 文件)的报告,该报告促进了具有出色内存安全性的编程语言的采用。