美国国家安全局建议从 C/C++ 切换到内存安全语言

美国国家安全局（NSA）发布了一份指南，旨在帮助软件开发商和运营商预防和缓解软件内存安全问题。其鼓励组织将编程语言从 C 和 C++ 之类的语言转变为内存安全的替代语言——即 C#、Rust、Go、Java、Ruby 或 Swift，以保护代码免受远程代码执行或其他黑客攻击。

“NSA 建议企业尽可能使用内存安全语言，并通过编译器选项、工具选项和操作系统配置等代码硬化防御措施加强保护。”

NSA 方面表示，内存安全问题在可利用的漏洞中占比很大。并引用了微软的数据指出，该公司从 2006 年到 2018 年 70% 的漏洞是由于内存安全问题造成的；谷歌的 Chrome 在几年内也发现了类似比例的内存安全漏洞。该组织认为，恶意的网络行为者会利用不良的内存管理问题来访问敏感信息、颁布未经授权的代码执行、以及造成其他负面影响，而这些通常会危及设备并成为大规模网络入侵的第一步。

“常用的语言，如 C 和 C++，在内存管理方面提供了很大的自由度和灵活性，同时严重依赖程序员对内存引用执行所需的检查，简单的错误就可能会导致可利用的基于内存的漏洞。软件分析工具可以检测到许多内存管理问题的实例，操作环境选项也可以提供一些保护，但内存安全软件语言所提供的固有保护可以防止或减轻大多数内存管理问题。NSA 建议在可能的情况下使用内存安全语言。虽然使用非内存安全语言的附加保护措施和使用内存安全语言并不能对可利用的内存问题提供绝对的保护，但它们确实提供了相当的保护。因此，私营部门、学术界和美国政府的总体软件界已经开始倡议，推动软件开发文化向使用内存安全语言发展。”

不过 NSA 也指出，“内存安全”有点用词不当，且这个概念也是相对的。并警告称，即使使用内存安全语言，内存管理也不完全是内存安全的。

“大多数内存安全语言承认，软件有时需要执行不安全的内存管理功能来完成某些任务。因此，有一些类或函数被认为是非内存安全的，并允许程序员执行可能不安全的内存管理任务。某些语言要求对任何内存不安全的内容进行明确的注释，以使程序员和程序的任何审查者意识到它是不安全的。内存安全语言还可以使用以非内存安全语言编写的库，因此可以包含不安全的内存功能。尽管这些包含内存不安全机制的方法颠覆了固有的内存安全性，但它们有助于定位可能存在内存问题的位置，从而可以对这些代码部分进行额外的审查。”

另一方面，一些内存安全语言可能会以性能为代价。此外，学习一门新的语言也并不容易；譬如，Rust 虽然功能强大，但学习曲线相当陡峭。NSA 还建议，开发人员可以采取一些措施来强化非内存安全语言。例如谷歌的 Chrome 团队就正在探索多种方法来强化 C++ ，但这些方法也会带来性能开销。

更多详情可查看完整报告。