Цагаан ордон хөгжүүлэгчиддээ "аюулгүй" програмчлалын хэлийг илүүд үзэхийн тулд C болон C++ хэлнээс зайлсхийхийг уриалж байна

У шинэ тайлан Цагаан ордны Үндэсний Кибер Захирлын алба (ONCD) хөгжүүлэгчдийг "хөнгөн жинтэй програмчлалын хэл" - түгээмэл хэлийг оруулаагүй ангилал ашиглахыг уриалав. Энэхүү зөвлөгөө нь АНУ-ын Ерөнхийлөгч Байдены кибер аюулгүй байдлын стратегийн нэг хэсэг бөгөөд "кибер орон зайн барилгын материалуудыг хамгаалах" алхам юм.

Програм хангамжийн код дахь санах ойн буруу менежмент нь ноцтой эмзэг байдалд хүргэж, халдагчид кибер халдлага хийх боломжийг олгодог. Java гэх мэт програмчлалын хэлүүд нь ажиллах үеийн алдаа илрүүлэх механизмын улмаас санах ойн менежментийн хувьд аюулгүй гэж тооцогддог. Үүний эсрэгээр C болон C++ нь хөгжүүлэгчдэд заагч үйлдлийг гүйцэтгэх, компьютерийн санах ой дахь хаягуудыг шууд хаяглах боломжийг олгодог. Үүнд заагчаар хандаж болох дурын санах ойн байршилд өгөгдөл уншиж, бичих орно.

2019 онд аюулгүй ажиллагааны инженерүүд Microsoft Эмзэг байдлын 70 орчим хувь нь санах ойн аюулгүй байдлын асуудлаас үүдэлтэй гэж мэдээлсэн. 2020 онд Google ижил тоог мэдээлсэн боловч Chromium хөтчөөс олдсон алдааны талаар.

"Мэргэжилтнүүд санах ойн аюулгүй байдалтай холбоотой шинж чанаргүй хэд хэдэн програмчлалын хэлийг тодорхойлсон бөгөөд C, C++ зэрэг чухал системүүдэд өргөн тархсан" гэж тайланд дурджээ. "Цахим аюулгүй байдал, дэд бүтцийн аюулгүй байдлын агентлагийн (CISA) Нээлттэй эхийн програм хангамжийн аюулгүй байдлын замын газрын зурагт зөвлөсний дагуу санах ойд аюулгүй програмчлалын хэлийг эхнээс нь сонгох нь энэ оны эцэс хүртэл аюулгүй программ хангамжийг эхнээс нь хөгжүүлэх нэг жишээ юм"".

19 хуудас илтгэлийн зорилго нь кибер аюулгүй байдлын хариуцлагыг зөвхөн хувь хүмүүс болон жижиг бизнес эрхлэгчдэд хүлээхгүй байх явдал юм. Харин хариуцлага нь томоохон байгууллага, технологийн компаниуд, эцсийн дүндээ төрд ногддог.

Тайлан нь зөвхөн C ба C++-тэй холбоотой асуудлуудыг онцолж үзээд зогсохгүй "санах ойд аюулгүй" гэж хүлээн зөвшөөрөгдсөн програмчлалын хэд хэдэн хувилбаруудыг санал болгодог. Үндэсний аюулгүй байдлын агентлагаас (NSA) санал болгож буй хэлүүдэд: Rust, Go, C#, Java, Swift, JavaScript, Ruby орно. Эдгээр хэлүүд нь нийтлэг төрлийн санах ойн халдлагаас урьдчилан сэргийлэх механизмуудыг агуулдаг бөгөөд ингэснээр боловсруулж буй системийн аюулгүй байдлыг нэмэгдүүлдэг.

ONCD нь компаниуд болон инженерүүдээс програм хангамж хөгжүүлэх шилдэг туршлагыг хэрэгжүүлж, халдагчид халдаж болох халдлагын гадаргууг багасгахын тулд санах ойд аюулгүй техник хангамж ашиглахыг хүсч байна. Тус тайланд санах ойд аюулгүй програмчлалын хэл гэж яг юу гэж тооцогддог талаар дэлгэрэнгүй бичээгүй. Гэсэн хэдий ч 2022 оны арваннэгдүгээр сард Үндэсний аюулгүй байдлын агентлаг (NSA) гаргасан кибер аюулгүй байдлын мэдээллийн товхимол, түүний санах ойд аюулгүй гэж үзсэн програмчлалын хэлүүдийг нарийвчлан харуулсан.

Уг тайланд мөн програм хангамжийн аюулгүй байдлыг илүү сайн хэмжихийг уриалсан байна. ONCD нь илүү сайн хэмжүүрүүд нь технологи нийлүүлэгчдэд эмзэг байдлыг асуудал болохоос нь өмнө илүү сайн төлөвлөх, урьдчилан таамаглах, багасгах боломжийг олгодог гэж үздэг.

Энэхүү тайлан нь АНУ-ын засгийн газраас авч хэрэгжүүлсэн цуврал арга хэмжээний хамгийн сүүлийн тайлан юм. 2023 оны -р сард Ерөнхийлөгч Байден Кибер аюулгүй байдлын тухай тушаалд гарын үсэг зурсан бөгөөд энэ нь программ хангамж, техник хангамжийг хамгаалах үйл явцыг эхлүүлж, технологийн салбарын харилцаа холбоог бий болгосон.

Мөн уншина уу:

• Microsoft AI хэрэгслийг ашиглаж байсан Хятад, Оросын хакеруудыг илрүүлжээ
• Пентагон агаарын довтолгооны байг тодорхойлохын тулд Google-ийн хиймэл оюун ухааныг ашигласан