Objavljeno: 4.11.2024 06:00 | Teme: varnost, programiranje

Američani želijo prepovedati uporabo programskih jezikov C in C++

Ameriška agencija za kibernetsko varnost in zaščito infrastrukture (CISA) in Zvezni preiskovalni urad (FBI) proizvajalce ključne programske opreme za nacionalno varnost pozivata k opustitvi pomnilniško nevarnih programskih jezikov.

CISA in FBI sta objavila poročilo o slabih praksah v proizvodnji programske opreme ter izpostavila tvegane programske jezike z ranljivostmi pri delu s pomnilnikom. Uporaba pomnilniško nevarnih jezikov znatno poveča tveganje za nacionalno varnost, gospodarsko varnost ter javno zdravje in varnost, zato pozivata razvijalce, da jih nehajo uporabljati. Med najbolj razširjenimi tovrstnimi programskimi jeziki pri razvoju kritične programske opreme sta C in C++.

Poročilo razvršča slabe prakse v tri glavne kategorije: lastnosti izdelkov, ki opisujejo varnostno pomembne lastnosti programske opreme, varnostne funkcionalnosti, ki jih izdelek podpira in organizacijske procese ter politike, ki zagotavljajo transparenten in varen razvoj programske opreme. Objavljene smernice veljajo za vse proizvajalce programske opreme, ki razvijajo izdelke za kritično infrastrukturo, vključno s programsko opremo za lokalno uporabo, oblačne storitve in programsko opremo kot storitev (SaaS).

CISA je pozvala razvijalce, naj do 1. januarja 2026 pripravijo tako imenovani načrt za pomnilniško varnost, ki mora vključevati korake za postopno odpravo pomnilniških ranljivosti v ključnih komponentah programske opreme, kot so omrežno usmerjeni deli kode ali funkcije, ki obravnavajo občutljive operacije, kakršna je kriptografija. Čeprav je dokument tehnično neobvezujoč, predstavlja najmočnejše priporočilo ameriške vlade doslej glede osnovnih varnostnih praks in tveganja malomarnosti pri razvoju programske opreme za kritično infrastrukturo.

Analitiki in strokovnjaki so mnenja, da bodo objavljene smernice pomenile velik izziv za številna podjetja, saj množična migracija obsežnih programov, napisanih v C ali C++, ni enostavna niti finančno niti z vidika tveganj. Kljub temu pa vlada verjame, da bo ta korak prispeval k večji varnosti ključnih digitalnih sistemov.

Naroči se na redna tedenska ali mesečna obvestila o novih prispevkih na naši spletni strani!

Komentirajo lahko le prijavljeni uporabniki

 
  • Polja označena z * je potrebno obvezno izpolniti
  • Pošlji