Большой передел мира
269,782,527 525,062
 

  Мерк ( Слушатель )
29 фев 2024 22:10:21

Белый дом рекомендовал отказаться от C и C++ в пользу безопасных языков программирования

новая дискуссия Новость  1.504

ЦитатаОфис национального директора по кибербезопасности (ONCD) Белого дома США призвал разработчиков отказаться от использования языков программирования C и C++ в разработке критически важного ПО. Этот совет основывается на опасениях, связанных с безопасностью управления памятью — аспекте, играющем критическую роль в предотвращении уязвимостей, таких как переполнение буфера и висячие указатели.

Неправильное управление памятью в программном коде может привести к серьёзным уязвимостям, позволяя злоумышленникам осуществлять кибератаки. Языки программирования, такие как Java, благодаря своим механизмам обнаружения ошибок во время выполнения, считаются безопасными в отношении управления памятью. В отличие от них, C и C++ позволяют разработчикам выполнять операции с указателями и обращаться непосредственно к адресам в памяти компьютера. Это включает в себя чтение и запись данных в любом месте памяти, к которому они могут получить доступ через указатель.

Однако эти языки не проводят автоматической проверки на то, выходят ли эти операции за пределы выделенного для данных или структур пространства в памяти. Такая проверка называется «проверкой границ». Отсутствие такой проверки означает, что программист может случайно или намеренно записать данные за пределы выделенного блока памяти, что может привести к перезаписи других данных, испорченным данным или, в худшем случае, к уязвимостям безопасности, которые злоумышленники могут использовать для выполнения вредоносного кода или получения контроля над системой.


Отчёт ONCD подчёркивает, что около 70 % всех уязвимостей в системе безопасности, выявленных инженерами Microsoft в 2019 году и Google в 2020 году, были связаны именно с нарушениями безопасности памяти. Эта статистика ясно демонстрирует необходимость переосмысления подходов к разработке ПО в контексте нынешней стратегии кибербезопасности США.

В отчёте не только указывается на проблемы с C и C++, но и предлагается ряд альтернатив — языков программирования, признанных «безопасными для памяти». Среди рекомендованных Агентством национальной безопасности (NSA) языков находятся: Rust, Go, C#, Java, Swift, JavaScript и Ruby. Эти языки включают в себя механизмы, предотвращающие распространённые типы атак на память, тем самым повышая безопасность разрабатываемых систем.


Анализ популярности языков программирования по версии индекса TIOBE показывает, что из предложенных NSA языков C# занимает пятое место по популярности, Java — четвёртое, JavaScript — шестое, а Go — восьмое. Эти данные указывают на то, что часть рекомендуемых языков уже имеет широкое распространение и признание в профессиональном сообществе разработчиков.

Инициатива Белого дома выходит за рамки простого перечисления рекомендаций. Она включает в себя стратегический план по укреплению кибербезопасности на национальном уровне, что отражено в исполнительном приказе президента Джо Байдена (Joe Biden) от марта 2023 года. Этот документ задаёт направление для всестороннего сотрудничества между государственным сектором, технологическими компаниями и общественностью в целях разработки и внедрения безопасного ПО и аппаратных решений.


Заключение отчёта ONCD призывает к сознательному выбору языков программирования с учётом их способности обеспечивать безопасное управление памятью. Это не только техническое руководство для разработчиков, но и стратегическое направление для организаций, занимающихся разработкой критически важного ПО. Переход на использование языков программирования, гарантирующих безопасность памяти, может существенно снизить риск возникновения уязвимостей, повысить надёжность и безопасность цифровой инфраструктуры.

https://3dnews.ru/11…mirovaniya
  • +1.31 / 28
  • АУ
ОТВЕТЫ (16)
 
 
  olenevod ( Практикант )
29 фев 2024 22:20:06

Ну да, писать надо на гендернонейтральных, инклюзивных и бодипозитивных языках программирования.
  • +1.49 / 30
  • АУ
 
  Alex F ( Слушатель )
29 фев 2024 22:48:02

Передача значений по ссылке - наследие кровавого GULAG! Использование указателей - признак шибко грамотных, указателель на указатель - вообще тайный знак коммунистов (две пятиконечные звезды подряд)!! Срочно переписать ядро Windows на жаваскрипт, так подедимъ!! 
Д,Б (с) Веселый
  • +1.41 / 37
  • АУ
 
 
  Теофраст ( Практикант )
29 фев 2024 22:51:44



Да Вы батенька извращенец. Винду да на жава скрипт. У меня все внутри похолодело и я направился к холодильнику где лежит стратегический запас пива.
  • +0.13 / 7
  • АУ
 
 
  bar_bos ( Слушатель )
29 фев 2024 23:07:00

Да ладно, не сумеют в жабаскрипт - пусть перепишут на жабе, и без всяких там опасных NDK. 
А то одного ведроида нам мало, пусть будет второй, но уже гиперведроид.  Веселый
  • +0.23 / 9
  • АУ
 
  RF ( Слушатель )
29 фев 2024 22:57:38

и драйвера  тоже писать под виртуальные машины   будут ?
мне почему то казалось что  С++ наоборот популярность возвращает.
  • +0.10 / 8
  • АУ
 
  Hayama007 ( Слушатель )
29 фев 2024 23:09:51

Белый дом обнародовал список языков куда ЦРУ уже встроило системные бекдоры? А С++ слишком старый, тогда еще не подумали об этом? Смеющийся
  • +1.26 / 39
  • АУ
 
 
  Мельхиседек ( Практикант )
29 фев 2024 23:20:58

Эта сфера не подведомственна ЦРУ. Там другая контора есть, которая не любит шумной рекламы.
  • +0.05 / 4
  • АУ
 
 
  dmitriк62 ( Практикант )
01 мар 2024 08:41:43

    
А за ассемблер будут на месте расстреливать без суда...
  • +1.05 / 23
  • АУ
 
  qurvax ( Слушатель )
29 фев 2024 23:16:07

 Это как совет молодежи сразу с резиновых начать попытки размножаться, а то мало ли, не втуда воткнут. Результат немного предсказуем...

"Висячий указатель" - возьму на вооружение Веселый
  • +0.80 / 24
  • АУ
 
  Системник ( Слушатель )
01 мар 2024 09:27:00

Веселый Гугель занёс чемоданчик в Белый дом?
.
А по делу - попытка "лидировать" с помощью индусских и китайских программистов провалилась. Они отучили работодателя писать софт. Смеющийся
  • +0.62 / 19
  • АУ
 
 
  BUR ( Специалист )
01 мар 2024 14:25:47
Сообщение удалено
BUR
03 мар 2024 20:05:37
Отредактировано: BUR - 03 мар 2024 20:05:37

  • -0.33
 
 
 
  bormann ( Слушатель )
01 мар 2024 16:11:42

толи с 386, толи 486 процессора архитектура уже не позволяет просто взять и записать в произвольное место памяти. так что обгадившийся С-шник или плюшник разве что какой-нибудь сигфолт поймает и всё.
  • +0.18 / 6
  • АУ
 
 
 
 
  BUR ( Специалист )
01 мар 2024 18:13:15
Сообщение удалено
BUR
03 мар 2024 19:44:32
Отредактировано: BUR - 03 мар 2024 19:44:32

  • +0.07
 
 
 
 
 
  Привет! ( Слушатель )
01 мар 2024 19:39:48
Сообщение удалено
Привет!
02 мар 2024 21:13:48
Отредактировано: Привет! - 02 мар 2024 21:13:48

  • -0.07
 
 
 
 
 
 
  BUR ( Специалист )
01 мар 2024 20:55:49
Сообщение удалено
BUR
03 мар 2024 19:41:51
Отредактировано: BUR - 03 мар 2024 19:41:51

  • +0.00
 
 
 
 
 
 
 
  Привет! ( Слушатель )
01 мар 2024 21:32:36
Сообщение удалено
Привет!
02 мар 2024 21:13:30
Отредактировано: Привет! - 02 мар 2024 21:13:30

  • -0.31