خالق C++ هشدار کاخ سفید را رد کرد

بیارن استراستروپ گفت که دولت بایدن از نقاط قوت C++ معاصر و تلاش برای ارائه تضمین های ایمنی قوی غافل است.

Bjarne Stroustrup خالق C++ از زبان برنامه نویسی پرکاربرد در پاسخ به گزارش دولت بایدن دفاع کرده است که از توسعه دهندگان می خواهد از زبان های ایمن برای حافظه استفاده کنند و از استفاده از زبان های آسیب پذیر مانند C++< پرهیز کنند. /a> و C.

در پاسخی در ۱۵ مارس به یک پرسش از InfoWorld، استروستروپ به نقاط قوت C++ که در سال ۱۹۷۹ طراحی شده بود اشاره کرد. استروستروپ گفت تا تضمین های ایمنی قوی ارائه کند. از سوی دیگر، به نظر می رسد که آنها متوجه شده اند که یک زبان برنامه نویسی تنها بخشی از یک زنجیره ابزار است، بنابراین ابزارهای بهبود یافته و فرآیندهای توسعه ضروری هستند.

استروستروپ تاکید کرد: بهبود ایمنی همیشه هدف تلاش‌های توسعه ++C بوده است. بهبود ایمنی هدف C++ از روز اول و در طول تکامل آن بوده است. فقط زبان K&R C را با اولین C++ و C++ اولیه را با C++ معاصر مقایسه کنید. او گفت که CppCon 2023 این تحول را مشخص می کند. “C++ بسیار باکیفیت با استفاده از تکنیک‌های مبتنی بر RAII (دستیابی به منابع اولیه است)، کانتینرها و نشانگرهای مدیریت منابع به جای آشفتگی‌های نشانگر به سبک C معمولی نوشته شده است.

کاخ سفید در گزارش منتشر شده در ۲۶ فوریه از توسعه دهندگان خواست تا با استفاده از زبان های برنامه نویسی که آسیب پذیری ایمنی حافظه ندارند، خطر حملات سایبری را کاهش دهند. C++ و C به عنوان دو نمونه از زبان‌های دارای آسیب‌پذیری ایمنی حافظه ذکر شدند. یک برگ اطلاعات امنیت سایبری از سوی آژانس امنیت ملی ایالات متحده (NSA) C#، Go، Java، Python و Rust را به عنوان زبان هایی که از نظر حافظه ایمن در نظر گرفته می شوند، ذکر کرد.

Stroustrup به تعدادی تلاش برای بهبود ایمنی C++ اشاره کرد. «دو مشکل مربوط به ایمنی وجود دارد. از میلیاردها خط C++، تعداد کمی از آنها به طور کامل از دستورالعمل‌های مدرن پیروی می‌کنند، و تصورات افراد درباره اینکه چه جنبه‌هایی از ایمنی مهم است، متفاوت است. من و کمیته استاندارد C++ در حال تلاش برای مقابله با آن هستیم. «نمایه‌ها چارچوبی برای تعیین چه چیزی تضمین می کند که یک قطعه کد به آن نیاز دارد و پیاده سازی ها را برای تأیید آنها فعال می کند. اسنادی وجود دارد که در وب سایت کمیته توضیح می دهد – WG21 را جستجو کنید—و موارد دیگر در حال آمدن. با این حال، برخی از ما در حال و هوای انتظار برای پیشرفت الزاماً آهسته کمیته نیستیم.”

پروفایل ها، استراستروپ گفت، «چارچوبی است که به ما امکان می دهد تضمین ها را به طور تدریجی بهبود دهیم – به عنوان مثال، اکثر خطاهای محدوده را نسبتاً زود حذف کنیم – و به تدریج تضمین ها را از طریق تجزیه و تحلیل استاتیک محلی و بررسی حداقل زمان اجرا در پایگاه های کد بزرگ وارد کنیم. هدف بلندمدت من برای C++ این بوده و بوده است که C++ ایمنی نوع و منابع را در صورت نیاز ارائه دهد. شاید فشار فعلی برای ایمنی حافظه – زیرمجموعه‌ای از تضمین‌هایی که می‌خواهم – برای تلاش‌های من مفید باشد، تلاش‌هایی که توسط بسیاری در کمیته استانداردهای C++ به اشتراک گذاشته می‌شود.”

Stroustrup قبلاً از ایمنی C++ در برابر NSA دفاع کرده بود، که توصیه می‌کرد از زبان‌های ایمن حافظه به جای C++ و C در بولتن نوامبر ۲۰۲۲.