თეთრი სახლი მოუწოდებს დეველოპერებს, თავი აარიდონ C და C++-ს „უსაფრთხო“ პროგრამირების ენების სასარგებლოდ

У ახალი ანგარიში ეროვნული კიბერ დირექტორის თეთრი სახლის ოფისმა (ONCD) მოუწოდა დეველოპერებს გამოიყენონ "მსუბუქი პროგრამირების ენები" - კატეგორია, რომელიც გამორიცხავს პოპულარულ ენებს. რჩევა აშშ-ს პრეზიდენტის ბაიდენის კიბერუსაფრთხოების სტრატეგიის ნაწილია და არის ნაბიჯი „კიბერსივრცის სამშენებლო ბლოკების დაცვისკენ“.

პროგრამულ კოდში მეხსიერების არასწორმა მართვამ შეიძლება გამოიწვიოს სერიოზული დაუცველობა, რაც თავდამსხმელებს კიბერშეტევების განხორციელების საშუალებას აძლევს. პროგრამირების ენები, როგორიცაა Java, მათი მუშაობის დროს შეცდომების გამოვლენის მექანიზმების გამო, მეხსიერების მართვის თვალსაზრისით უსაფრთხოდ ითვლება. ამის საპირისპიროდ, C და C++ დეველოპერებს საშუალებას აძლევს შეასრულონ მაჩვენებლის ოპერაციები და პირდაპირ მიმართონ მისამართებს კომპიუტერის მეხსიერებაში. ეს მოიცავს მონაცემების წაკითხვას და ჩაწერას მეხსიერების ნებისმიერ ადგილას, სადაც მათ შეუძლიათ წვდომა მაჩვენებლის საშუალებით.

2019 წელს უსაფრთხოების ინჟინრები Microsoft იტყობინება, რომ დაუცველობის დაახლოებით 70% გამოწვეული იყო მეხსიერების უსაფრთხოების პრობლემებით. 2020 წელს Google-მა იგივე მაჩვენებელი გამოაცხადა, მაგრამ Chromium ბრაუზერში აღმოჩენილი შეცდომებისთვის.

„ექსპერტებმა გამოავლინეს პროგრამირების რამდენიმე ენა, რომლებსაც არა მხოლოდ არ გააჩნიათ მეხსიერების უსაფრთხოებასთან დაკავშირებული ფუნქციები, არამედ ფართოდ არის გავრცელებული მისიისთვის კრიტიკულ სისტემებში, როგორიცაა C და C++“, ნათქვამია მოხსენებაში. „მეხსიერებისთვის უსაფრთხო პროგრამირების ენების არჩევა თავიდანვე, როგორც ეს რეკომენდებულია კიბერუსაფრთხოების და ინფრასტრუქტურის უსაფრთხოების სააგენტოს (CISA) ღია კოდის პროგრამული უზრუნველყოფის უსაფრთხოების საგზაო რუქის მიერ, არის უსაფრთხო პროგრამული უზრუნველყოფის განვითარების ერთ-ერთი მაგალითი „მიწიდან“ ბოლოსთვის.

19-გვერდიანი ანგარიშის მიზანია უზრუნველყოს, რომ კიბერუსაფრთხოებაზე პასუხისმგებლობა არ ეკისრება მხოლოდ ინდივიდებსა და მცირე ბიზნესს. ამის ნაცვლად, პასუხისმგებლობა ეკისრება დიდ ორგანიზაციებს, ტექნოლოგიურ კომპანიებს და, საბოლოოდ, მთავრობას.

ანგარიში არა მხოლოდ მიუთითებს C და C++-ის პრობლემებზე, არამედ გთავაზობთ უამრავ ალტერნატივას - პროგრამირების ენებს, რომლებიც აღიარებულია, როგორც "მეხსიერების უსაფრთხო". ეროვნული უსაფრთხოების სააგენტოს (NSA) მიერ რეკომენდებული ენები მოიცავს: Rust, Go, C#, Java, Swift, JavaScript და Ruby. ეს ენები შეიცავს მექანიზმებს, რომლებიც ხელს უშლის მეხსიერების შეტევების ჩვეულებრივ ტიპებს, რითაც ზრდის შემუშავებული სისტემების უსაფრთხოებას.

ONCD სთხოვს კომპანიებსა და ინჟინრებს გამოიყენონ საუკეთესო პრაქტიკა პროგრამული უზრუნველყოფის შემუშავებაში და გამოიყენონ მეხსიერების უსაფრთხო აპარატურა, რათა შემცირდეს თავდასხმის ზედაპირი, რომლის მეშვეობითაც თავდამსხმელებს შეუძლიათ შეტევა. თავად მოხსენებაში არ არის აღწერილი, თუ კონკრეტულად რა ითვლება მეხსიერებისთვის უსაფრთხო პროგრამირების ენად. თუმცა, 2022 წლის ნოემბერში, ეროვნული უსაფრთხოების სააგენტომ (NSA) გამოაქვეყნა კიბერუსაფრთხოების ბიულეტენი, რომელიც დეტალურად აღწერს პროგრამირების ენებს, რომლებიც მას მეხსიერებისთვის უსაფრთხოდ თვლიდა.

ანგარიში ასევე მოითხოვს პროგრამული უზრუნველყოფის უსაფრთხოების უკეთ გაზომვას. ONCD თვლის, რომ უკეთესი მეტრიკა საშუალებას აძლევს ტექნოლოგიების პროვაიდერებს უკეთ დაგეგმონ, განჭვრიტონ და შეარბილონ დაუცველობა, სანამ ისინი პრობლემად გახდებიან.

ეს ანგარიში აშშ-ს მთავრობის მიერ გადადგმული ნაბიჯების სერიიდან უკანასკნელია. 2023 წლის მარტში პრეზიდენტმა ბაიდენმა ხელი მოაწერა კიბერუსაფრთხოების აღმასრულებელ ბრძანებას, რომელმაც დაიწყო პროცესები პროგრამული უზრუნველყოფისა და აპარატურის დასაცავად, ასევე ტექნოლოგიურ ინდუსტრიაში კავშირების გასამყარებლად.

ასევე წაიკითხეთ:

• Microsoft აღმოაჩინა ჰაკერები ჩინეთიდან და რუსეთიდან, რომლებიც იყენებდნენ მის AI ინსტრუმენტებს
• პენტაგონმა გამოიყენა Google-ის ხელოვნური ინტელექტი საჰაერო თავდასხმების სამიზნეების დასადგენად