IT之家2月29日消息，美國政府近日發(fā)布了一份網(wǎng)絡(luò)安全報告，呼吁開發(fā)人員停止使用容易出現(xiàn)內(nèi)存安全漏洞的編程語言，例如C和C++，轉(zhuǎn)而使用內(nèi)存安全的編程語言進行開發(fā)。這份報告由美國網(wǎng)絡(luò)空間總監(jiān)辦公室(ONCD)發(fā)布，旨在落實美國總統(tǒng)拜登的網(wǎng)絡(luò)安全戰(zhàn)略，目標是“保護網(wǎng)絡(luò)空間的基石”。

內(nèi)存安全指的是程序在訪問內(nèi)存時能夠避免出現(xiàn)錯誤和漏洞，例如緩沖區(qū)溢出和懸空指針。Java由于其runtime錯誤檢測功能，被認為是一種內(nèi)存安全的語言。然而，C和C++允許直接操作內(nèi)存地址，并且缺乏邊界檢查，容易出現(xiàn)內(nèi)存安全問題。

報告援引微軟和谷歌的研究數(shù)據(jù)，指出超過70%的安全漏洞都與內(nèi)存安全問題有關(guān)。報告還引用了美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的開源軟件安全路線圖，建議開發(fā)人員從一開始就使用內(nèi)存安全的編程語言，進行“安全設(shè)計”式的開發(fā)。

這份報告長達19頁，旨在強調(diào)網(wǎng)絡(luò)安全不僅僅是個人的責(zé)任，更是大型組織、科技公司和政府的共同責(zé)任。報告沒有推薦特定的編程語言替代C和C++，而是強調(diào)有多種內(nèi)存安全的編程語言可供選擇。報告還呼吁企業(yè)和工程師采用最佳軟件開發(fā)實踐，并使用內(nèi)存安全的硬件，以減少惡意攻擊的可能性。

據(jù)悉，美國國家安全局(NSA)在去年11月發(fā)布的網(wǎng)絡(luò)安全信息文件中，列出了他們認為安全的編程語言，其中包括：

Rust

Go

C#

Java

Swift

JavaScript

Ruby

但根據(jù)TIOBE指數(shù)(衡量編程語言流行程度的指標)，C#位居排行榜第5位，Java第4位，JavaScript第6位，Go第8位，Swift第16位，Rust第18位，Ruby第20位?？梢姡琋SA推薦的語言中只有4種屬于開發(fā)者最常用的語言。

該報告還強調(diào)了軟件安全評估的重要性，并認為更好地評估標準能夠幫助科技公司更好地規(guī)劃、預(yù)測和緩解漏洞風(fēng)險。報告還以阿波羅13號登月任務(wù)為例，強調(diào)了在太空探索等關(guān)鍵領(lǐng)域使用內(nèi)存安全代碼的重要性。

這份報告是美國政府一系列網(wǎng)絡(luò)安全舉措的一部分。2023年3月，拜登總統(tǒng)簽署了網(wǎng)絡(luò)安全行政命令，旨在加強軟件和硬件安全，并與科技行業(yè)建立合作關(guān)系。隨著數(shù)字化的不斷推進，更安全的編程語言和開發(fā)方式變得至關(guān)重要，這份報告正是呼吁業(yè)界重視這一問題的最新舉措。