Ақ үй әзірлеушілерді «қауіпсіз» бағдарламалау тілдерінің пайдасына C және C++ тілдерінен аулақ болуға шақырады

У жаңа есеп Ақ үйдің Ұлттық кибердиректорының кеңсесі (ONCD) әзірлеушілерді «жеңіл бағдарламалау тілдерін» - танымал тілдерді жоққа шығаратын санатты пайдалануға шақырды. Бұл кеңес АҚШ президенті Байденнің киберқауіпсіздік стратегиясының бөлігі болып табылады және «киберкеңістіктің құрылыс блоктарын қорғауға» бағытталған қадам болып табылады.

Бағдарламалық кодтағы жадты дұрыс басқармау шабуылдаушыларға кибершабуылдар жасауға мүмкіндік беретін елеулі осалдықтарға әкелуі мүмкін. Java сияқты бағдарламалау тілдері жұмыс уақытындағы қателерді анықтау механизмдеріне байланысты жадты басқаруға қатысты қауіпсіз болып саналады. Керісінше, C және C++ әзірлеушілерге көрсеткіш операцияларын орындауға және компьютер жадындағы мекенжайларды тікелей адрестеуге мүмкіндік береді. Бұған олар көрсеткіш арқылы қол жеткізе алатын кез келген жад орнына деректерді оқу және жазу кіреді.

2019 жылы қауіпсіздік инженерлері Microsoft осалдықтардың шамамен 70% жад қауіпсіздігі мәселелерінен туындағанын хабарлады. 2020 жылы Google дәл осындай көрсеткішті хабарлады, бірақ Chromium браузерінде табылған қателер туралы.

«Сарапшылар жад қауіпсіздігіне қатысты мүмкіндіктері жоқ, сонымен қатар C және C++ сияқты маңызды жүйелерде кең таралған бірнеше бағдарламалау тілдерін анықтады», - делінген хабарламада. «Киберқауіпсіздік және инфрақұрылымдық қауіпсіздік агенттігінің (CISA) ашық бастапқы бағдарламалық қамтамасыз ету қауіпсіздігінің жол картасы ұсынғандай, жад үшін қауіпсіз бағдарламалау тілдерін басынан бастап таңдау - осы жылдың соңына дейін қауіпсіз бағдарламалық жасақтаманы басынан бастап әзірлеудің бір мысалы»».

19 беттен тұратын есептің мақсаты киберқауіпсіздік жауапкершілігі тек жеке тұлғалар мен шағын бизнеске жүктелмейтінін қамтамасыз ету болып табылады. Оның орнына жауапкершілік ірі ұйымдарға, технологиялық компанияларға және сайып келгенде үкіметке жүктеледі.

Есеп тек C және C++ проблемаларын көрсетіп қана қоймайды, сонымен қатар бірқатар балама нұсқаларды ұсынады - «жадты қауіпсіз» деп танылған бағдарламалау тілдері. Ұлттық қауіпсіздік агенттігі (NSA) ұсынған тілдерге мыналар жатады: Rust, Go, C#, Java, Swift, JavaScript және Ruby. Бұл тілдерде жад шабуылдарының жалпы түрлерін болдырмайтын механизмдер бар, осылайша әзірленетін жүйелердің қауіпсіздігін арттырады.

ONCD компаниялар мен инженерлерден бағдарламалық жасақтаманы әзірлеудегі ең жақсы тәжірибелерді қолдануды және шабуылдаушылар шабуыл жасай алатын шабуыл бетін азайту үшін жадты қауіпсіз жабдықты пайдалануды сұрайды. Есептің өзі жад үшін қауіпсіз бағдарламалау тілі болып саналатын нақты нені егжей-тегжейлі көрсетпеді. Алайда, 2022 жылдың қарашасында Ұлттық қауіпсіздік агенттігі (ҰҚА) шығарды киберқауіпсіздік ақпараттық бюллетень, ол жад үшін қауіпсіз деп санайтын бағдарламалау тілдерін егжей-тегжейлі сипаттады.

Есеп сонымен қатар бағдарламалық қамтамасыз ету қауіпсіздігін жақсырақ өлшеуге шақырады. ONCD жақсы көрсеткіштер технология провайдерлеріне осалдықтарды проблема болмас бұрын жақсырақ жоспарлауға, болжауға және азайтуға мүмкіндік береді деп санайды.

Бұл есеп АҚШ үкіметі қабылдаған қадамдардың соңғысы болып табылады. 2023 жылдың наурызында президент Байден бағдарламалық жасақтама мен аппараттық құралдарды қорғау, сондай-ақ технология индустриясындағы байланыстарды орнату процестерін іске қосқан киберқауіпсіздік жөніндегі бұйрыққа қол қойды.

Сондай-ақ оқыңыз:

• Microsoft оның AI құралдарын пайдаланатын Қытай мен Ресейден келген хакерлерді тапты
• Пентагон әуе шабуылдарының нысандарын анықтау үшін Google-дың AI-сын пайдаланды