Beyaz Saray, geliştiricilere C ve C++ yerine "güvenli" programlama dilleri kullanmalarını tavsiye ediyor

У yeni rapor Beyaz Saray Ulusal Siber Direktör Ofisi (ONCD), geliştiricileri, popüler dilleri hariç tutan bir kategori olan "hafif programlama dillerini" kullanmaya çağırdı. Tavsiye, ABD Başkanı Biden'ın siber güvenlik stratejisinin bir parçası ve "siber uzayın yapı taşlarını korumaya" yönelik bir adımdır.

Yazılım kodunda hatalı bellek yönetimi, ciddi güvenlik açıklarına yol açarak saldırganların siber saldırılar gerçekleştirmesine olanak tanıyabilir. Java gibi programlama dilleri çalışma zamanı hata tespit mekanizmaları nedeniyle bellek yönetimi açısından güvenli kabul edilmektedir. Buna karşılık, C ve C++, geliştiricilerin işaretçi işlemlerini gerçekleştirmesine ve bilgisayar belleğindeki adresleri doğrudan adreslemesine olanak tanır. Bu, bir işaretçi aracılığıyla erişebilecekleri herhangi bir bellek konumuna veri okumayı ve yazmayı içerir.

2019'da güvenlik mühendisleri Microsoft Güvenlik açıklarının yaklaşık %70'inin bellek güvenliği sorunlarından kaynaklandığını bildirdi. 2020'de Google aynı rakamı bildirdi ancak Chromium tarayıcısında bulunan hatalar için.

Raporda, "Uzmanlar, yalnızca bellek güvenliğiyle ilgili özelliklerden yoksun olmakla kalmayıp, aynı zamanda C ve C++ gibi kritik görev sistemlerinde de yaygın olan çeşitli programlama dilleri belirlediler" denildi. "Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) Açık Kaynak Yazılım Güvenliği Yol Haritasında önerildiği gibi, bellek açısından güvenli programlama dillerini sıfırdan seçmek, sonuna kadar sıfırdan güvenli yazılım geliştirmenin bir örneğidir"".

19 sayfalık raporun amacı, siber güvenlik sorumluluğunun yalnızca bireylere ve küçük işletmelere ait olmamasını sağlamaktır. Bunun yerine sorumluluk büyük kuruluşlara, teknoloji şirketlerine ve nihayetinde hükümete aittir.

Rapor yalnızca C ve C++ ile ilgili sorunlara dikkat çekmekle kalmıyor, aynı zamanda bir takım alternatifler de sunuyor; programlama dilleri "bellek açısından güvenli" olarak kabul ediliyor. Ulusal Güvenlik Ajansı (NSA) tarafından önerilen diller şunları içerir: Rust, Go, C#, Java, Swift, JavaScript ve Ruby. Bu diller, yaygın olarak görülen bellek saldırılarını önleyen ve böylece geliştirilmekte olan sistemlerin güvenliğini artıran mekanizmalar içerir.

ONCD, şirketlerden ve mühendislerden yazılım geliştirmede en iyi uygulamaları uygulamalarını ve saldırganların saldırabileceği saldırı yüzeyini azaltmak için bellek korumalı donanım kullanmalarını istiyor. Raporun kendisi, hafıza açısından güvenli programlama dilinin tam olarak ne olduğu konusunda ayrıntılı bilgi vermedi. Ancak Kasım 2022'de Ulusal Güvenlik Ajansı (NSA) şunları açıkladı: siber güvenlik bülteni, hafıza açısından güvenli olduğuna inandığı programlama dillerini ayrıntılı olarak anlattı.

Raporda ayrıca yazılım güvenliğinin daha iyi ölçülmesi çağrısı da yapılıyor. ONCD, daha iyi ölçümlerin teknoloji sağlayıcılarının güvenlik açıklarını sorun haline gelmeden önce daha iyi planlamalarına, tahmin etmelerine ve azaltmalarına olanak sağladığına inanıyor.

Bu rapor, ABD hükümetinin attığı bir dizi adımın sonuncusudur. Mart 2023'te Başkan Biden, yazılım ve donanımı korumanın yanı sıra teknoloji endüstrisinde bağları güçlendirmeye yönelik süreçleri başlatan Siber Güvenlik Yönetici Kararnamesini imzaladı.

Ayrıca okuyun:

• Microsoft AI araçlarını kullanan Çin ve Rusya'dan bilgisayar korsanlarını keşfetti
• Pentagon, hava saldırılarının hedeflerini belirlemek için Google'ın yapay zekasını kullandı