美国 CISA 建议放弃 C/C++,消除内存安全漏洞
美国网络安全与基础设施安全局 (CISA) 发布了一份名为“The Case for Memory Safe Roadmaps”的文件,详细介绍了软件厂商应如何过渡到内存安全编程语言 (MSL),以消除内存安全漏洞。
CISA 认为,内存安全错误经常会造成重大损失,需要加以杜绝;因此敦促企业和技术领导者密切关注软件开发中的内存安全。而 C 和 C++ 等编程语言就是内存不安全编程语言的典范;它们可能导致内存不安全代码,但仍然是当今使用最广泛的语言之一。
该指南文件由美国网络安全与基础设施安全局 (CISA)、国家安全局 (NSA)、联邦调查局 (FBI),以及澳大利亚、加拿大、英国和新西兰的网络安全机构联合制定。旨在敦促每家软件厂商的高级管理人员通过优先考虑实施 MSL 的设计和开发实践来降低客户风险;同时敦促他们创建并发布内存安全路线图,以便客户了解所面临的内存安全风险。
“MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。此外,将不安全的代码库迁移到 MSL 的投资将以更安全的产品的形式带来长期回报--这也抵消了过渡到 MSL 的部分前期成本。”
文件指出,微软约 70% 的 CVE 是内存安全漏洞(基于 2006-2018 年的 CVE),Mozilla 的 34 个关键/高危漏洞中有 32 个是内存安全漏洞。谷歌 Chromium 项目中所发现的漏洞,有约 70% 是内存安全漏洞;且 2021 年的零日漏洞中也有 67% 是内存安全漏洞。
虽然一些组织为了减少 C/C++ 内存不安全代码引入的风险,投入了大量资金用于开发人员培训。但 CISA 等机构认为,“虽然培训可以减少程序员可能引入的漏洞数量,但考虑到内存安全缺陷的普遍性,内存安全漏洞的出现几乎是不可避免的。”
鉴于此,他们建议组织放弃 C/C++,转而使用 C#、Go、Java、Python、Rust 和 Swift 等“内存安全语言”。
详情可查看完整文档。
相关阅读:
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
IntelliJ IDEA 2023.3
JetBrains 为多款 IDE 发布了 2023 年度第 3 个大版本更新。 包括: IntelliJ IDEA 2023.3 在 IntelliJ IDEA 2023.3 中,AI Assistant 持续演进,现已超越技术预览阶段,获得了大量令人期待的改进。 在其他方面,此版本包括对最新 Java 21 功能的全面支持,引入了带有编辑操作的直观浮动工具栏,并添加了 Run to Cursor(运行到光标)嵌入选项来增强调试工作流。 此外 IntelliJ IDEA Ultimate 现在提供无缝的开箱即用 Kubernetes 开发体验。 详情:https://www.jetbrains.com/zh-cn/idea/whatsnew/ WebStorm 2023.3 改进 Angular、Svelte 和 Vue 支持、AI Assistant、针对 TypeScript 的更新,以及对 Cypress、Playwright 和 Node.js 原生测试运行程序的支持。 详情:https://www.jetbrains.com/zh-cn/webstorm/whatsnew/...
- 下一篇
新概念“防御性编程”:让自己稳拿铁饭碗
译者:/coderLMN 翻译链接:https://coderlmn.github.io/frontEndCourse/unmaintainable.html 让自己稳拿铁饭碗 ;-) -- Roedy Green(老码农翻译,略有删节) 简介 永远不要(把自己遇到的问题)归因于(他人的)恶意,这恰恰说明了(你自己的)无能。-- 拿破仑 为了造福大众,在Java编程领域创造就业机会,兄弟我在此传授大师们的秘籍。这些大师写的代码极其难以维护,后继者就是想对它做最简单的修改都需要花上数年时间。而且,如果你能对照秘籍潜心修炼,你甚至可以给自己弄个铁饭碗,因为除了你之外,没人能维护你写的代码。再而且,如果你能练就秘籍中的全部招式,那么连你自己都无法维护你的代码了! 你不想练功过度走火入魔吧。那就不要让你的代码一眼看去就完全无法维护,只要它实质上是那样就行了。否则,你的代码就有被重写或重构的风险! 总体原则 Quidquid latine dictum sit, altum sonatur. (随便用拉丁文写点啥都会显得高大上。) 想挫败维护代码的程序员,你必须先明白他的思维方式。他接手了你的...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,CentOS8安装Elasticsearch6.8.6
- Red5直播服务器,属于Java语言的直播服务器
- CentOS关闭SELinux安全模块
- SpringBoot2更换Tomcat为Jetty,小型站点的福音
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- CentOS8编译安装MySQL8.0.19