查看原文
其他

拜登:你有这么内存安全的编程语言进入美国……

白宫国家网络主任办公室 (ONCD) 发布了一份报告,呼吁科技界主动减少网络空间的攻击面;通过改用 Rust 等内存安全编程语言,减少内存安全漏洞的数量来提高软件安全性。同时鼓励研究界解决软件可测量性问题,以便开发出更好的测量网络安全质量的诊断方法。

ONCD 例举了历史上一些著名的网络攻击事件,包括:1988 年的 Morris 蠕虫病毒、2003 年的 Slammer 蠕虫病毒、2014 年的 Heartbleed 漏洞、2016 年的 Trident 漏洞、2023 年的 Blastpass 漏洞。并指出,所有这些问题的背后都有一个共同的根本原因,即内存安全漏洞

内存安全漏洞是软件中最常见的编程错误之一,当软件以非预期或不安全的方式访问内存时,会导致各种安全问题,如缓冲区溢出、释放后使用、使用未初始化的内存和双重释放。

成功利用此类漏洞会带来严重安全风险,可能允许攻击者能未经授权访问数据,或者允许以系统权限执行恶意代码。

报告称:“35 年来,三十五年来,内存安全漏洞一直困扰着数字生态系统,但情况本不必如此。消除整类软件漏洞的挑战是一个紧迫而复杂的问题。展望未来,必须采取新方法来减轻这种风险。”

减少内存安全漏洞的最高杠杆方法是保护网络空间的构建模块之一:编程语言。使用内存安全编程语言可以消除大多数内存安全错误。

在此之前,美国国家安全局 (NSA) 曾于 2022 年 11 月发布了关于软件开发人员如何防止软件内存安全问题的指南。

NSA 曾列出他们认为的内存安全编程语言,其中包括:

-Rust
-Go
-C#
-Java
-Swift
-JavaScript
-Ruby

国网络安全与基础设施安全局 (CISA) 也在 2023 年 12 月发布了类似报告,要求过渡到内存安全编程语言,通过消除与内存相关的漏洞来减少软件产品的攻击面。

ONCD 报告以美国总统拜登于 2023 年 3 月签署的国家网络安全战略为基础,将网络安全的责任从个人和小型企业转移到技术公司和联邦政府等更有能力管理不断变化的威胁的大型组织身上。并在与整个联邦政府的安全设计计划和研发工作保持一致的同时更进一步,涵盖了由 CISA、NSA、FBI 和 NIST 领导的计划和研发工作。

报告中有关内存安全的工作还补充了美国国会对此主题的兴趣。此外,美国参议院国土安全和政府事务委员会主席 Gary Peters (D-MI) 和美国参议员 Ron Wyden (D-OR) 也向 ONCD 强调了他们在内存安全方面的立法努力。

延伸阅读

建议放弃 C/C++,消除内存安全漏洞
NSA:建议从 C/C++ 切换到内存安全语言
相关链接

https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf


往期推荐


Ubuntu开始“锈化”

中国程序员独立开发9年、最受欢迎的开源Redis客户端——被Redis公司收购

2024年,只有搞颜色的P站真正关心网站性能

披着Windows 11外衣的Ubuntu:能跑exe程序、支持Android应用


这里有最新开源资讯、软件更新、技术干货等内容

点这里 ↓↓↓ 记得 关注✔ 标星⭐ 哦

继续滑动看下一个

拜登:你有这么内存安全的编程语言进入美国……

向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存