---

白宫国家网络总监办公室（ONCD，以下简称网总办）在本周一发布的报告中说道：“程序员编写代码并非没有后果，他们的⼯作⽅式于国家利益而言至关重要。”

在该报告中，拜登政府希望软件开发人员尽量使用 Rust 这样的内存安全编程语言，并放弃 C 和 C++ 等安全性薄弱的语言。另外，参议院还强调会努力为内存安全立法。

科技巨头应为安全漏洞负起责任

美国网络安全与基础设施安全局（CISA）早在去年9月就已敦促开发人员采用内存安全编程语言。随后的《内存安全路线图案例》报告更是明确指出，C/C++等传统编程语言存在内存安全漏洞，建议软件开发商转向C#、Rust、Go、Java、Python和Swift等更为安全的编程语言。

白宫在最新的19页报告中，也将C和C++列为存在内存安全漏洞的编程语言代表，而Rust则被树为正面典型。微软和谷歌的研究也显示，高达70%的安全漏洞源于内存安全问题。面对这一严峻形势，国家网络总监Harry Coker强调，美国有责任缩小网络空间的攻击面，而解决内存安全问题是其中的关键。
科技企业被寄予厚望，被要求采用内存安全编程语言来防止漏洞侵入数字生态系统。内存安全编程语言能够抵御与内存访问相关的各类软件bug和漏洞，如缓冲区溢出、越界读取和内存泄漏等。
这份报告还强调了大型组织、科技巨头及美国政府在网络安全方面的责任。报告指出，这些机构更有能力应对不断变化的威胁形势，因此应将网络安全责任从个人和小型企业转移到他们身上。
在筹备报告过程中，各方意见纷呈。Rust基金会呼吁公共资助组织及其承包商默认使用内存安全编程语言，如Rust。微软则关注软件供应链和开源项目的投入不足问题。IBM认为重写软件可能成本高昂，主张保护现有软件免受内存安全漏洞影响。谷歌则与政府机构合作倡导向内存安全语言和框架的过渡。亚马逊云科技则提出，虽然支持用内存安全语言编写新项目，但这仅是提升开源软件安全性的一部分，并强调开发人员可能禁用Rust中的内存安全功能。

使用其他语言的开发者​该何去何从？

此外，一个自称拥有多位C++高级成员的组织也对C++的安全性进行了辩护，他们认为内存安全只是整体安全保护的一小部分，并强调C++的安全实践得益于其正式规范和内存模型。
专家如华盛顿大学计算机科学教授Dan Grossman认为，尽管C和C++的安全风险已为人所知，但现在正是推广内存安全编程的最佳时机。他强调，恶意攻击者利用内存安全违规实施威胁的手段非常复杂，因此变革刻不容缓。

​大家对于这件事情怎么看？

您好，我是肥晨。
欢迎关注我获取前端学习资源，日常分享技术变革，生存法则；行业内幕，洞察先机。