本站2 月29 日消息,美國政府近日發布了一份網路安全報告,呼籲開發人員停止使用容易出現記憶體安全漏洞的程式語言,例如C 和C ,轉而使用記憶體安全的程式語言進行開發。這份報告由美國網路空間總監辦公室 (ONCD) 發布,旨在落實美國總統拜登的網路安全戰略,目標是「保護網路空間的基石」。
記憶體安全性是指程式在存取記憶體時能夠有效地避免潛在的錯誤和漏洞,如緩衝區溢位和懸空指標。 Java因其具有運行時錯誤檢測功能而被認為是一種記憶體安全的程式語言。相比之下,C和C 允許直接存取記憶體位址,並且缺乏邊界檢查,這使得它們更容易出現記憶體安全問題。因此,在開發應用程式時,選擇合適的程式語言和採取相應的記憶體管理策略對確保記憶體安全至關重要。
根據報告引用的微軟和Google的研究數據,顯示超過70%的安全漏洞與記憶體安全問題密切相關。此外,報告也提及美國網路安全與基礎設施安全局(CISA)發布的開源軟體安全路線圖,鼓勵開發人員在專案初期就採用記憶體安全的程式語言,實施「安全設計」式的開發方法。此方法旨在透過在軟體設計和開發的早期階段專注於考慮安全性,來減少後續需要修復安全漏洞的風險。因此,強調在軟體開發過程中註重記憶體安全性是至關重要的,可以有效減少潛在的安全漏洞和風險。
這份報告長達 19 頁,旨在強調網路安全不僅是個人的責任,更是大型組織、科技公司和政府的共同責任。報告沒有推薦特定的程式語言取代 C 和 C ,而是強調有多種記憶體安全的程式語言可供選擇。報告還呼籲企業和工程師採用最佳軟體開發實踐,並使用記憶體安全的硬件,以減少惡意攻擊的可能性。
美國國家安全局(NSA) 在最近發布的網路安全資訊檔案中提到了一些被認為安全的程式語言,值得注意的是…
# Rust
Go
C
#Java
Swift
JavaScript
Ruby
但根據TIOBE 指數(衡量程式語言流行程度的指標),C# 位居排行榜第5 位,Java 第4 位,JavaScript 第6 位,Go 第8 位,Swift 第16 位,Rust 第18 位,Ruby 第20 位。可見,NSA 推薦的語言中只有 4 種屬於開發者最常使用的語言。
該報告也強調了軟體安全評估的重要性,並認為更好地評估標準能夠幫助科技公司更好地規劃、預測和緩解漏洞風險。報告也以阿波羅 13 號登月任務為例,強調了在太空探索等關鍵領域使用記憶體安全代碼的重要性。
這份報告是美國政府一系列網路安全措施的一部分。 2023 年 3 月,拜登總統簽署了網路安全行政命令,旨在加強軟體和硬體安全,並與科技業建立合作關係。隨著數位化的不斷推進,更安全的程式語言和開發方式變得至關重要,這份報告正是呼籲業界重視這個議題的最新舉措。
以上是美國政府建議開發者停止使用 C / C++,改用記憶體安全程式語言的詳細內容。更多資訊請關注PHP中文網其他相關文章!
