文章目录
- 科技巨头应为安全漏洞负起责任
- 使用其他语言的开发者该何去何从?
白宫国家网络总监办公室(ONCD,以下简称网总办)在本周一发布的报告中说道:“程序员编写代码并非没有后果,他们的⼯作⽅式于国家利益而言至关重要。”
在该报告中,拜登政府希望软件开发人员尽量使用 Rust 这样的内存安全编程语言,并放弃 C 和 C++ 等安全性薄弱的语言。另外,参议院还强调会努力为内存安全立法。
科技巨头应为安全漏洞负起责任
美国网络安全与基础设施安全局(CISA)早在去年9月就已敦促开发人员采用内存安全编程语言。随后的《内存安全路线图案例》报告更是明确指出,C/C++等传统编程语言存在内存安全漏洞,建议软件开发商转向C#、Rust、Go、Java、Python和Swift等更为安全的编程语言。
白宫在最新的19页报告中,也将C和C++列为存在内存安全漏洞的编程语言代表,而Rust则被树为正面典型。微软和谷歌的研究也显示,高达70%的安全漏洞源于内存安全问题。面对这一严峻形势,国家网络总监Harry Coker强调,美国有责任缩小网络空间的攻击面,而解决内存安全问题是其中的关键。
科技企业被寄予厚望,被要求采用内存安全编程语言来防止漏洞侵入数字生态系统。内存安全编程语言能够抵御与内存访问相关的各类软件bug和漏洞,如缓冲区溢出、越界读取和内存泄漏等。
这份报告还强调了大型组织、科技巨头及美国政府在网络安全方面的责任。报告指出,这些机构更有能力应对不断变化的威胁形势,因此应将网络安全责任从个人和小型企业转移到他们身上。
在筹备报告过程中,各方意见纷呈。Rust基金会呼吁公共资助组织及其承包商默认使用内存安全编程语言,如Rust。微软则关注软件供应链和开源项目的投入不足问题。IBM认为重写软件可能成本高昂,主张保护现有软件免受内存安全漏洞影响。谷歌则与政府机构合作倡导向内存安全语言和框架的过渡。亚马逊云科技则提出,虽然支持用内存安全语言编写新项目,但这仅是提升开源软件安全性的一部分,并强调开发人员可能禁用Rust中的内存安全功能。
使用其他语言的开发者该何去何从?
此外,一个自称拥有多位C++高级成员的组织也对C++的安全性进行了辩护,他们认为内存安全只是整体安全保护的一小部分,并强调C++的安全实践得益于其正式规范和内存模型。
专家如华盛顿大学计算机科学教授Dan Grossman认为,尽管C和C++的安全风险已为人所知,但现在正是推广内存安全编程的最佳时机。他强调,恶意攻击者利用内存安全违规实施威胁的手段非常复杂,因此变革刻不容缓。
大家对于这件事情怎么看?
您好,我是肥晨。
欢迎关注我获取前端学习资源,日常分享技术变革,生存法则;行业内幕,洞察先机。