Большой передел мира
261,191,168
515,245
|
Мерк ( Слушатель ) |
| 29 фев 2024 22:10:21 |
Белый дом рекомендовал отказаться от C и C++ в пользу безопасных языков программирования
новая дискуссия Новость 1.489ЦитатаОфис национального директора по кибербезопасности (ONCD) Белого дома США призвал разработчиков отказаться от использования языков программирования C и C++ в разработке критически важного ПО. Этот совет основывается на опасениях, связанных с безопасностью управления памятью — аспекте, играющем критическую роль в предотвращении уязвимостей, таких как переполнение буфера и висячие указатели.
Неправильное управление памятью в программном коде может привести к серьёзным уязвимостям, позволяя злоумышленникам осуществлять кибератаки. Языки программирования, такие как Java, благодаря своим механизмам обнаружения ошибок во время выполнения, считаются безопасными в отношении управления памятью. В отличие от них, C и C++ позволяют разработчикам выполнять операции с указателями и обращаться непосредственно к адресам в памяти компьютера. Это включает в себя чтение и запись данных в любом месте памяти, к которому они могут получить доступ через указатель.Однако эти языки не проводят автоматической проверки на то, выходят ли эти операции за пределы выделенного для данных или структур пространства в памяти. Такая проверка называется «проверкой границ». Отсутствие такой проверки означает, что программист может случайно или намеренно записать данные за пределы выделенного блока памяти, что может привести к перезаписи других данных, испорченным данным или, в худшем случае, к уязвимостям безопасности, которые злоумышленники могут использовать для выполнения вредоносного кода или получения контроля над системой.
Отчёт ONCD подчёркивает, что около 70 % всех уязвимостей в системе безопасности, выявленных инженерами Microsoft в 2019 году и Google в 2020 году, были связаны именно с нарушениями безопасности памяти. Эта статистика ясно демонстрирует необходимость переосмысления подходов к разработке ПО в контексте нынешней стратегии кибербезопасности США.
В отчёте не только указывается на проблемы с C и C++, но и предлагается ряд альтернатив — языков программирования, признанных «безопасными для памяти». Среди рекомендованных Агентством национальной безопасности (NSA) языков находятся: Rust, Go, C#, Java, Swift, JavaScript и Ruby. Эти языки включают в себя механизмы, предотвращающие распространённые типы атак на память, тем самым повышая безопасность разрабатываемых систем.
Анализ популярности языков программирования по версии индекса TIOBE показывает, что из предложенных NSA языков C# занимает пятое место по популярности, Java — четвёртое, JavaScript — шестое, а Go — восьмое. Эти данные указывают на то, что часть рекомендуемых языков уже имеет широкое распространение и признание в профессиональном сообществе разработчиков.Инициатива Белого дома выходит за рамки простого перечисления рекомендаций. Она включает в себя стратегический план по укреплению кибербезопасности на национальном уровне, что отражено в исполнительном приказе президента Джо Байдена (Joe Biden) от марта 2023 года. Этот документ задаёт направление для всестороннего сотрудничества между государственным сектором, технологическими компаниями и общественностью в целях разработки и внедрения безопасного ПО и аппаратных решений.
Заключение отчёта ONCD призывает к сознательному выбору языков программирования с учётом их способности обеспечивать безопасное управление памятью. Это не только техническое руководство для разработчиков, но и стратегическое направление для организаций, занимающихся разработкой критически важного ПО. Переход на использование языков программирования, гарантирующих безопасность памяти, может существенно снизить риск возникновения уязвимостей, повысить надёжность и безопасность цифровой инфраструктуры.
https://3dnews.ru/11…mirovaniya
ОТВЕТЫ (16)
|
|
olenevod ( Практикант ) |
| 29 фев 2024 22:20:06 |
Цитата: Мерк от 29.02.2024 22:10:21
Ну да, писать надо на гендернонейтральных, инклюзивных и бодипозитивных языках программирования.
|
|
Alex F ( Слушатель ) |
| 29 фев 2024 22:48:02 |
Цитата: Мерк от 29.02.2024 22:10:21
Передача значений по ссылке - наследие кровавого GULAG! Использование указателей - признак шибко грамотных, указателель на указатель - вообще тайный знак коммунистов (две пятиконечные звезды подряд)!! Срочно переписать ядро Windows на жаваскрипт, так подедимъ!!
Д,Б (с)
|
|
Теофраст ( Практикант ) |
| 29 фев 2024 22:51:44 |
Цитата: Alex F от 29.02.2024 22:48:02
Да Вы батенька извращенец. Винду да на жава скрипт. У меня все внутри похолодело и я направился к холодильнику где лежит стратегический запас пива.
|
|
bar_bos ( Слушатель ) |
| 29 фев 2024 23:07:00 |
Цитата: Alex F от 29.02.2024 22:48:02
Да ладно, не сумеют в жабаскрипт - пусть перепишут на жабе, и без всяких там опасных NDK.
А то одного ведроида нам мало, пусть будет второй, но уже гиперведроид.
|
|
RF ( Слушатель ) |
| 29 фев 2024 22:57:38 |
Цитата: Мерк от 29.02.2024 22:10:21
и драйвера тоже писать под виртуальные машины будут ?
мне почему то казалось что С++ наоборот популярность возвращает.
|
Hayama007 ( Слушатель ) |
| 29 фев 2024 23:09:51 |
Цитата: Мерк от 29.02.2024 22:10:21
Белый дом обнародовал список языков куда ЦРУ уже встроило системные бекдоры? А С++ слишком старый, тогда еще не подумали об этом?
|
|
Мельхиседек ( Практикант ) |
| 29 фев 2024 23:20:58 |
Цитата: Hayama007 от 29.02.2024 23:09:51
Эта сфера не подведомственна ЦРУ. Там другая контора есть, которая не любит шумной рекламы.
|
|
qurvax ( Слушатель ) |
| 29 фев 2024 23:16:07 |
Цитата: Мерк от 29.02.2024 22:10:21
Это как совет молодежи сразу с резиновых начать попытки размножаться, а то мало ли, не втуда воткнут. Результат немного предсказуем...
"Висячий указатель" - возьму на вооружение
|
|
Системник ( Слушатель ) |
| 01 мар 2024 09:27:00 |
Цитата: Мерк от 29.02.2024 22:10:21
Гугель занёс чемоданчик в Белый дом?.
А по делу - попытка "лидировать" с помощью индусских и китайских программистов провалилась. Они отучили работодателя писать софт.
|
BUR ( Специалист ) |
| 01 мар 2024 14:25:47 |
Сообщение удалено
BUR
03 мар 2024 20:05:37
BUR
03 мар 2024 20:05:37
Отредактировано: BUR - 03 мар 2024 20:05:37
|
bormann ( Слушатель ) |
| 01 мар 2024 16:11:42 |
Цитата: BUR от 01.03.2024 14:25:47
толи с 386, толи 486 процессора архитектура уже не позволяет просто взять и записать в произвольное место памяти. так что обгадившийся С-шник или плюшник разве что какой-нибудь сигфолт поймает и всё.
|
|
BUR ( Специалист ) |
| 01 мар 2024 18:13:15 |
Сообщение удалено
BUR
03 мар 2024 19:44:32
BUR
03 мар 2024 19:44:32
Отредактировано: BUR - 03 мар 2024 19:44:32
|
|
Привет! ( Слушатель ) |
| 01 мар 2024 19:39:48 |
Сообщение удалено
Привет!
02 мар 2024 21:13:48
Привет!
02 мар 2024 21:13:48
Отредактировано: Привет! - 02 мар 2024 21:13:48
|
|
BUR ( Специалист ) |
| 01 мар 2024 20:55:49 |
Сообщение удалено
BUR
03 мар 2024 19:41:51
BUR
03 мар 2024 19:41:51
Отредактировано: BUR - 03 мар 2024 19:41:51
|
|
Привет! ( Слушатель ) |
| 01 мар 2024 21:32:36 |
Сообщение удалено
Привет!
02 мар 2024 21:13:30
Привет!
02 мар 2024 21:13:30
Отредактировано: Привет! - 02 мар 2024 21:13:30