Търсене
Close this search box.

Службата на националния кибердиректор на Белия дом (ONCD) призова днес технологичните компании да преминат към езици за програмиране, които са безопасни за паметта, като например Rust, за да подобрят сигурността на софтуера, като намалят броя на уязвимостите, свързани с безопасността на паметта.

Такива уязвимости са грешки в кодирането или слабости в софтуера, които могат да доведат до проблеми с управлението на паметта, когато тя може да бъде достъпна, записана, локализирана или разпределена.

Те се появяват, когато софтуерът осъществява достъп до паметта по непреднамерен или опасен начин, което води до различни рискове и проблеми за сигурността, като препълване на буфера, използване след освобождаване, използване на неинициализирана памет и двойно освобождаване, които нападателите могат да използват.

Успешната експлоатация крие сериозни рискове, като потенциално позволява на заплахата да получи неоторизиран достъп до данни или да изпълни зловреден код с привилегиите на собственика на системата.

„Повече от 35 години един и същ клас уязвимости тормози цифровата екосистема. Предизвикателството да се елиминират цели класове софтуерни уязвимости е спешен и сложен проблем. В перспектива трябва да се предприемат нови подходи за намаляване на този риск“, се казва в доклада на ONCD.

„Методът с най-висок коефициент на полезно действие за намаляване на уязвимостите, свързани с безопасността на паметта, е да се защити един от градивните елементи на киберпространството: езикът за програмиране. Използването на езици за програмиране, които са безопасни за паметта, може да елиминира повечето грешки, свързани с безопасността на паметта.“

Днешният доклад се основава на Националната стратегия за киберсигурност, подписана от президента Байдън през март 2023 г., която прехвърли тежестта на защитата на киберпространството на страната върху производителите на софтуер и доставчиците на услуги.

През ноември 2022 г. Агенцията за национална сигурност (АНС) също публикува насоки за това как разработчиците на софтуер могат да предотвратят проблеми с безопасността на паметта на софтуера.

Последва подобен доклад от CISA и международни партньори през декември 2023 г., в който се искаше преминаване към езици за програмиране, осигуряващи безопасност на паметта, за да се намали повърхността на атака на софтуерните продукти чрез премахване на уязвимостите, свързани с паметта.

Както Microsoft откри преди години, цели 70 % от уязвимостите в сигурността, идентифицирани в софтуер, разработен с използване на езици, които не са безопасни за паметта, произтичат от проблеми, свързани с безопасността на паметта. Това остава вярно дори и след задълбочени прегледи на кода и допълнителни мерки за превенция и откриване, както установи още компанията.

И все пак резултатите от изследването на Google показват, че използването на език, който не е безопасен за паметта, може значително да намали броя на пропуските в безопасността на паметта дори в големи бази от кодове, а в някои случаи и да ги елиминира напълно.

„В продължение на тридесет и пет години уязвимостите, свързани с безопасността на паметта, тормозят цифровата екосистема, но не е задължително да е така“, заяви Анжана Раджан, помощник-директор на Националната служба за киберсигурност по въпросите на технологичната сигурност.

„Този доклад е създаден за инженери от инженери, защото знаем, че те могат да вземат решения за архитектурата и дизайна на градивните елементи, които използват – и това ще има огромен ефект върху способността ни да намалим повърхността на заплахите, да защитим цифровата екосистема и в крайна сметка – нацията.“

Източник: e-security.bg

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
Бъдете социални
Още по темата
12/12/2024

Пионерът в симетричната кри...

Бъдещето, в което се използват квантови...
22/11/2024

ИИ- внедряване на правилнат...

Ако 2023 г. и 2024 г....
21/11/2024

145 000 индустриални мрежи ...

Според доставчика на платформа за интернет...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!