上週五,美國國會透過的2023年撥款法案中包含了一項特別值得注意的倡導:鼓勵開發者使用記憶體安全編碼語言,以阻止網路對手利用大部分軟體漏洞。關於編碼語言如何支援軟體開發人員管理記憶體的問題最近引起了美國國家安全委員會、網路安全和基礎設施安全域性以及國會的關注。
“這是美國有史以來第一次,國會將記憶體安全納入法律,要求國家網路總監研究政府層面的記憶體安全,很自豪能在參議院為這項規定工作!” 安全研究員Jack Cable在推特上寫道。
美國網路安全與基礎設施安全域性CISA的高階技術顧問Bob Lord,在12月6日該機構網路安全諮詢委員會的一次會議上表示:“我們年復一年、甚至是十年又十年地看到的漏洞之中,大約有三分之二都與記憶體管理問題有關。”
在11月的一份資訊表中,美國國家安全域性NSA說:“利用糟糕或粗心的記憶體管理,可以讓惡意駭客實施惡意行為,例如隨意使程式崩潰或更改執行程式的指令以為所欲為。”該機構表示,“軟體程式如何管理記憶體是防止諸多漏洞及確保程式健壯性的核心,建議儘可能使用記憶體安全語言。”
劃歸到記憶體安全語言的有Javascript、Ruby、Python等。美國國家安全域性表示,與C和C++等更常用的記憶體不安全語言不同,記憶體安全語言可以“透過控制記憶體的分配,訪問和管理方式提供相當大的保護。”
當然,這其中也是需要權衡取捨的。完成記憶體安全語言固有的檢查可能會耗費大量時間和資源。NSA補充說,“對於固有保護程度極高的語言,由於檢查和保護,可能需要大量工作才能簡單地編譯程式,記憶體安全在效能和靈活性方面可能代價高昂。”但是,手動檢查記憶體管理錯誤的程式碼也可能耗時耗力,成本還可能包括處理成功的網路攻擊的後果。
CISA高階技術顧問Bob Lord總結說:“好訊息是,有一些新的程式語言是記憶體安全的,而且相關的一些配套技術、硬體和其他元素正在陸續出現,所以我們已有可行解決方案在手。我們需要提高人們的意識,現在是組織採取行動的時候了。”
編輯:左右裡
資訊來源:nextgov.com
轉載請註明出處和本文連結
﹀
﹀
﹀