کاخ سفید از توسعه دهندگان می خواهد که C و C++ را کنار بگذارند

دولت بایدن از توسعه‌دهندگان می‌خواهد که زبان‌های برنامه‌نویسی ایمن برای حافظه را بپذیرند و از زبان‌هایی که باعث سرریز بافر و سایر آسیب‌پذیری‌های دسترسی به حافظه می‌شوند، فاصله بگیرند.

دولت جو بایدن، رئیس جمهور ایالات متحده، از توسعه دهندگان نرم افزار می خواهد که از زبان های برنامه نویسی ایمن برای حافظه استفاده کنند و زبان های آسیب پذیر مانند C و C++ را کنار بگذارند.

دفتر مدیر ملی سایبری کاخ سفید (ONCD)، در گزارشی که روز دوشنبه منتشر شد، از توسعه دهندگان خواست تا با استفاده از زبان های برنامه نویسی که آسیب پذیری ایمنی حافظه ندارند، خطر حملات سایبری را کاهش دهند. کاخ سفید در بیانیه‌ای اعلام کرد: شرکت‌های فناوری «می‌توانند از ورود کل دسته‌های آسیب‌پذیری به اکوسیستم دیجیتال با استفاده از زبان‌های برنامه‌نویسی ایمن برای حافظه جلوگیری کنند».

زبان های برنامه نویسی ایمن برای حافظه از اشکالات نرم افزاری و آسیب پذیری های مربوط به دسترسی به حافظه، از جمله سرریز شدن بافر، خواندن خارج از محدوده و نشت حافظه محافظت می شوند. مطالعات اخیر از Microsoft و Google دریافته‌اند که حدود ۷۰ درصد از همه آسیب‌پذیری‌های امنیتی ایجاد می‌شوند با مشکلات ایمنی حافظه.

“ما به عنوان یک ملت، توانایی و مسئولیت داریم تا سطح حمله در فضای سایبری را کاهش دهیم و از ورود کل کلاس‌های باگ امنیتی به اکوسیستم دیجیتال جلوگیری کنیم، اما این بدان معناست که ما باید با مشکل سخت حرکت به سمت مقابله کنیم. هری کوکر، مدیر ملی سایبری، در بیانیه خبری کاخ سفید گفت.

آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده همچنین از توسعه دهندگان خواسته است که از زبان های برنامه نویسی ایمن برای حافظه در پست وبلاگ سپتامبر. سیسا، اف‌بی‌آی، آژانس امنیت ملی ایالات متحده، و آژانس‌هایی از کشورهای متحد نیز این گزارش را منتشر کردند، «The Case for Memory Safe-Maps، در دسامبر.

گزارش ۱۹ صفحه‌ای جدید از ONCD، C و C++ را به عنوان دو نمونه از زبان‌های برنامه‌نویسی با آسیب‌پذیری‌های ایمنی حافظه ارائه می‌کند، و Rust را به عنوان نمونه‌ای از زبان برنامه‌نویسی ایمن می‌داند. علاوه بر این، NSA برگ اطلاعات امنیت سایبری< /a> از نوامبر ۲۰۲۲ علاوه بر Rust، C#، Go، Java، Ruby و Swift را به عنوان زبان های برنامه نویسی ایمن در نظر گرفته است.

حدود ۲۲ درصد از همه برنامه نویسان نرم افزار از C++ و ۱۹ درصد از C از سال ۲۰۲۳ استفاده می کردند، طبق گفته Statista، این باعث می شود که محبوبیت کمتری نسبت به جاوا اسکریپت، پایتون، جاوا و چند مورد دیگر داشته باشند. اما شاخص انجمن برنامه‌نویسی TIOBE تنها پایتون را به عنوان محبوب‌تر و پس از آن C، C++ و جاوا رتبه‌بندی می‌کند.

تغییر مسئولیت

یکی از اهداف گزارش جدید این است که مسئولیت امنیت سایبری را از افراد و کسب‌وکارهای کوچک و به سازمان‌های بزرگ، شرکت‌های فناوری، و دولت ایالات متحده که «توانایی بیشتری در مدیریت تهدید در حال تکامل دارند»، واگذار کند. بیانیه خبری کاخ سفید گفت.

این گزارش گفت که ONCD با بخش خصوصی، از جمله شرکت‌های فناوری، جامعه دانشگاهی و سایر سازمان‌ها برای توسعه توصیه‌های موجود در این گزارش کار کرد. ONCD در ماه اوت درخواستی برای ورودی عمومی در مورد این موضوع صادر کرد. همچنین نظرات را جمع آوری کرد در حمایت از ابتکار چندین شرکت فناوری، از جمله Hewlett Packard Enterprise، Accenture، و Palantir. سایر کارشناسان امنیت نرم افزار نیز این گزارش را تحسین کردند.

گروسمن گفت: با این حال، دور شدن از C و C++ یک شبه اتفاق نمی افتد، به خصوص در سیستم های جاسازی شده. اما استفاده از زبان‌های دیگر برای نرم‌افزارهای سیستمی، به‌ویژه Rust، قبلاً رشد چشمگیری داشته است، و من فکر می‌کنم بسیاری از مردم پیش‌بینی می‌کنند که این نوع تکامل به جای اینکه توسعه C و C++ به سادگی متوقف شود، که هنوز به طور کامل غیرقابل تصور به نظر می‌رسد، شتاب می‌گیرد. p>

جاش آس، مدیر اجرایی و یکی از بنیانگذاران گروه تحقیقاتی امنیت اینترنت، اضافه کرد: دور شدن از C و C++ یک “فرایند طولانی و دشوار” خواهد بود. “تغییر طرز فکر مردم در مورد چیزها نیاز به تلاش مداوم دارد، و ارتباطاتی مانند این کمک می کند تا موضوع ایمنی در ذهن مردم تازه بماند.”

آس گفت: برای اینکه این تغییر اتفاق بیفتد، دولت و بخش خصوصی باید با یکدیگر همکاری کنند تا کد ایمن را در اولویت قرار دهند.

او افزود: «در نهایت، ما نیاز به نوشتن و استقرار کد جدید داریم، اما برای رسیدن به آن، به منابع نیاز داریم و به رهبرانی در همه سطوح، از دولت گرفته تا بخش خصوصی، نیاز داریم تا آن را در اولویت قرار دهند.» “رهبران مربوطه باید از مشکل آگاه شوند و باید بدانند که اگر حل این مشکل را در اولویت قرار دهند، مورد حمایت قرار خواهند گرفت.”