У nuovo rapporto L'Ufficio del National Cyber Director (ONCD) della Casa Bianca ha esortato gli sviluppatori a utilizzare "linguaggi di programmazione leggeri", una categoria che esclude i linguaggi popolari. Il consiglio fa parte della strategia di sicurezza informatica del presidente americano Biden e rappresenta un passo verso la “protezione degli elementi costitutivi del cyberspazio”.
Una gestione impropria della memoria nel codice software può portare a gravi vulnerabilità, consentendo agli aggressori di sferrare attacchi informatici. I linguaggi di programmazione come Java, grazie ai loro meccanismi di rilevamento degli errori di runtime, sono considerati sicuri rispetto alla gestione della memoria. Al contrario, C e C++ consentono agli sviluppatori di eseguire operazioni sui puntatori e indirizzare direttamente gli indirizzi nella memoria del computer. Ciò include la lettura e la scrittura di dati in qualsiasi posizione di memoria a cui possono accedere tramite un puntatore.
Nel 2019, ingegneri della sicurezza Microsoft ha riferito che circa il 70% delle vulnerabilità sono state causate da problemi di sicurezza della memoria. Nel 2020, Google ha riportato la stessa cifra, ma per bug riscontrati nel browser Chromium.
"Gli esperti hanno identificato diversi linguaggi di programmazione che non solo mancano di funzionalità legate alla sicurezza della memoria, ma sono anche diffusi in sistemi mission-critical come C e C++", si legge nel rapporto. "La scelta da zero di linguaggi di programmazione sicuri per la memoria, come raccomandato dalla Roadmap di sicurezza del software open source della Cybersecurity and Infrastructure Security Agency (CISA), è un esempio di sviluppo di software sicuro da zero entro la fine del"".
Lo scopo del rapporto di 19 pagine è garantire che la responsabilità della sicurezza informatica non ricada esclusivamente sui singoli individui e sulle piccole imprese. Invece, la responsabilità ricade sulle grandi organizzazioni, sulle aziende tecnologiche e, in ultima analisi, sul governo.
Il rapporto non solo evidenzia i problemi di C e C++, ma offre anche una serie di alternative: linguaggi di programmazione riconosciuti come "memory-safe". I linguaggi consigliati dalla National Security Agency (NSA) includono: Rust, Go, C#, Java, Swift, JavaScript e Ruby. Questi linguaggi contengono meccanismi che impediscono i tipi comuni di attacchi alla memoria, aumentando così la sicurezza dei sistemi in fase di sviluppo.
L'ONCD chiede ad aziende e ingegneri di applicare le migliori pratiche nello sviluppo di software e di utilizzare hardware sicuro per la memoria per ridurre la superficie di attacco attraverso la quale gli aggressori possono attaccare. Il rapporto in sé non descrive in dettaglio cosa sia esattamente considerato un linguaggio di programmazione sicuro per la memoria. Tuttavia, nel novembre 2022, la National Security Agency (NSA) ha rilasciato newsletter sulla sicurezza informatica, che descriveva dettagliatamente i linguaggi di programmazione che riteneva fossero sicuri per la memoria.
Il rapporto richiede inoltre una migliore misurazione della sicurezza del software. L’ONCD ritiene che parametri migliori consentano ai fornitori di tecnologia di pianificare, anticipare e mitigare meglio le vulnerabilità prima che diventino un problema.
Questo rapporto è l’ultimo di una serie di misure adottate dal governo degli Stati Uniti. Nel marzo 2023, il presidente Biden ha firmato l’ordine esecutivo sulla sicurezza informatica, che ha avviato processi per proteggere software e hardware, oltre a creare legami nel settore tecnologico.
Leggi anche:
Il C++ sarà sempre al top per la sua capacità di ottimizzazione. E la sicurezza della memoria non è un bug ma una funzionalità
Ficha huicha
"Allora ho confuso un angolo retto... (c)" :))
"I linguaggi consigliati dalla National Security Agency (NSA) includono: Rust, Go, C#, Java, Swift, JavaScript e Ruby."
Biden sta affogando in Java, è chiaro...
Vengono curate importanti questioni strategiche...
Dobbiamo ancora organizzare un briefing"Android contro iOS".
1. In quale parte del mondo hai conosciuto Java? Anche lì è indicata la ruggine.
2. Non capisco il sarcasmo, ora c'è davvero un problema con il software che perde, soprattutto se si tratta di una sorta di eredità, e una combo se è stata scritta su un subappalto con chi.
1. Nel sorgente – ctrl+F “Java”
2. Questo è puramente sarcasmo ucraino, per capire se devi programmare da qualche parte a Kharkiv, per esempio, o a Kupyansk.
1 - no, la fonte primaria è il primo link nel post (https://whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf)
in realtà lo screenshot viene da lì.
Si scopre che THD ha commesso un errore e tu l'hai preso e tradotto.
2 - non ho capito.
Proviamo a capirlo. Grazie per l'attenzione.
La Casa Bianca cambierà, ma il C++ rimarrà