Die US-Regierung empfiehlt Entwicklern, C/C++ nicht mehr zu verwenden und auf speichersichere Programmiersprachen umzusteigen

Laut Nachrichten dieser Website vom 29. Februar hat die US-Regierung kürzlich einen Cybersicherheitsbericht veröffentlicht, in dem Entwickler aufgefordert werden, keine Programmiersprachen mehr zu verwenden, die anfällig für Speichersicherheitslücken sind, wie etwa C und C++, und stattdessen speichersichere Programmierung zu verwenden Sprachen für die Entwicklung. Der Bericht wurde vom Office of the Cyberspace Director (ONCD) veröffentlicht, um die Cybersicherheitsstrategie von US-Präsident Joe Biden umzusetzen, mit dem Ziel, „den Eckpfeiler des Cyberspace zu schützen“.

Speichersicherheit bedeutet, dass ein Programm potenzielle Fehler und Schwachstellen beim Zugriff auf den Speicher, wie Pufferüberläufe und baumelnde Zeiger, wirksam vermeiden kann. Aufgrund seiner Fähigkeiten zur Laufzeitfehlererkennung gilt Java als speichersichere Programmiersprache. Im Gegensatz dazu erlauben C und C++ den direkten Zugriff auf Speicheradressen und verfügen nicht über eine Überprüfung der Grenzen, was sie anfälliger für Speichersicherheitsprobleme macht. Daher sind bei der Entwicklung von Anwendungen die Wahl der richtigen Programmiersprache und die Einführung entsprechender Speicherverwaltungsstrategien von entscheidender Bedeutung, um die Speichersicherheit zu gewährleisten.

Laut den im Bericht zitierten Forschungsdaten von Microsoft und Google stehen mehr als 70 % der Sicherheitslücken in engem Zusammenhang mit Speichersicherheitsproblemen. Darüber hinaus erwähnte der Bericht auch die von der US-amerikanischen Cybersecurity and Infrastructure Security Agency (CISA) veröffentlichte Open-Source-Softwaresicherheits-Roadmap, die Entwickler dazu ermutigt, speichersichere Programmiersprachen zu verwenden und „Security by Design“-Entwicklungsmethoden zu implementieren die frühen Phasen von Projekten. Dieser Ansatz zielt darauf ab, das Risiko zu verringern, dass Sicherheitslücken später behoben werden müssen, indem der Schwerpunkt auf der Sicherheit in den frühen Phasen des Softwaredesigns und der Softwareentwicklung liegt. Daher ist es von entscheidender Bedeutung, bei der Softwareentwicklung Wert auf die Speichersicherheit zu legen, um potenzielle Sicherheitslücken und -risiken wirksam zu reduzieren.

Dieser 19-seitige Bericht soll betonen, dass Cybersicherheit nicht nur in der Verantwortung von Einzelpersonen liegt, sondern auch in der gemeinsamen Verantwortung großer Organisationen, Technologieunternehmen und Regierungen. Der Bericht empfiehlt keine bestimmte Programmiersprache als Ersatz für C und C++, betont jedoch, dass eine Vielzahl speichersicherer Programmiersprachen zur Auswahl stehen. Der Bericht fordert Unternehmen und Ingenieure außerdem dazu auf, bewährte Softwareentwicklungspraktiken anzuwenden und speichersichere Hardware zu verwenden, um die Möglichkeit böswilliger Angriffe zu verringern.

Die US-amerikanische National Security Agency (NSA) hat in einem kürzlich veröffentlichten Informationsdokument zur Cybersicherheit einige Programmiersprachen erwähnt, die als sicher gelten.

• Java

• Swift

• JavaScript

• Ruby

• Doch laut TIOBE-Index (ein Maß für die Beliebtheit von Programmiersprachen) belegt C# den 5. Platz in der Rangliste, und Java belegt den 4. Platz, JavaScript den 6. Platz, Go den 8. Platz, Swift den 16. Platz, Rust den 18. Platz und Ruby den 20. Platz. Es ist ersichtlich, dass nur 4 der von der NSA empfohlenen Sprachen zu den von Entwicklern am häufigsten verwendeten Sprachen gehören.

Der Bericht betont auch die Bedeutung der Software-Sicherheitsbewertung und ist davon überzeugt, dass bessere Bewertungsstandards Technologieunternehmen dabei helfen können, Schwachstellenrisiken besser zu planen, vorherzusagen und zu mindern. Der Bericht unterstreicht auch die Bedeutung der Verwendung von speichersicherem Code in kritischen Bereichen wie der Weltraumforschung und nennt als Beispiel die Mondlandemission Apollo 13.

• Dieser Bericht ist Teil einer Reihe von Cybersicherheitsinitiativen der US-Regierung. Im März 2023 unterzeichnete Präsident Biden eine Durchführungsverordnung zur Cybersicherheit, die darauf abzielt, die Software- und Hardwaresicherheit zu stärken und Partnerschaften mit der Technologiebranche aufzubauen. Da die Digitalisierung immer weiter voranschreitet, sind sicherere Programmiersprachen und Entwicklungsmethoden von entscheidender Bedeutung. Dieser Bericht ist der jüngste Schritt, um die Branche aufzufordern, diesem Thema Aufmerksamkeit zu schenken.

Das obige ist der detaillierte Inhalt vonDie US-Regierung empfiehlt Entwicklern, C/C++ nicht mehr zu verwenden und auf speichersichere Programmiersprachen umzusteigen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!