کاخ سفید نسبت به استفاده از این زبان های برنامه نویسی هشدار می دهد

به گفته کاخ سفید، برخی از زبان های برنامه نویسی مورد علاقه توسعه دهندگان، بزرگترین خطرات امنیتی را برای سیستم هایی که به بیشترین امنیت نیاز دارند، دارند.

دفتر مدیر ملی سایبری (ONCD) که توسط دولت تحریم شده است اخیراً گزارشی منتشر کرده است که در آن به توسعه دهندگان توصیه می کند از انواع “زبان های برنامه نویسی ایمن برای حافظه” استفاده کنند. این فهرست به‌طور تصادفی زبان‌های محبوبی مانند C و C++ را که گمان می‌رود دارای نقص‌هایی در ایمنی حافظه هستند، حذف می‌کند و باعث خطرات امنیتی می‌شود.

همانطور که Tom's Hardware اشاره می کند، ایمنی حافظه حفاظتی است که در دسترسی به حافظه تعبیه شده است که از خطاها و آسیب پذیری ها جلوگیری می کند. چنین مثال هایی شامل بررسی خطای زمان اجرا در جاوا است که یک زبان امن برای حافظه در نظر گرفته می شود. با این حال، C و C++ هیچ بررسی ایمنی ندارند و اجازه دسترسی مستقیم به حافظه را می دهند.

چندین شرکت، از جمله مایکروسافت و گوگل، آسیب پذیری های امنیتی را به مسائل ایمنی حافظه در سیستم های خود مرتبط کرده اند. در سال 2019، مایکروسافت دریافت که حدود 70 درصد از آسیب‌پذیری‌های امنیتی ناشی از مشکلات ایمنی حافظه است. گوگل در سال 2020 همین رقم را از نظر باگ های مرورگر کرومیوم خود گزارش کرد. لازم به ذکر است که مایکروسافت اخیراً سازگاری اپ استور خود را برای استفاده توسعه دهندگان از زبان هایی مانند C++ گسترش داده است.

از آنجایی که C و C++ جزو زبان‌های برنامه‌نویسی هستند که چک‌های ایمنی داخلی ندارند، ONCD توصیه می‌کند که از آن‌ها در سازمان‌های بزرگ، شرکت‌های فناوری و موسسات دولتی استفاده نشوند. این توصیه همزمان با استراتژی امنیت سایبری رئیس جمهور جو بایدن برای “حفاظت از اجزای سازنده فضای سایبری” است.

با این حال، ONCD فهرستی از زبان‌های برنامه‌نویسی تایید شده ندارد و به سادگی از شرکت‌ها خواسته است تا هنگام انتخاب سخت‌افزار محافظت‌شده با حافظه، از تشخیص با نرم‌افزار خود استفاده کنند تا مسائل امنیتی را به حداقل برسانند. نزدیک‌ترین فهرست به فهرست تحریم‌شده، فهرستی است که توسط آژانس امنیت ملی (NSA) در سال 2022 ایجاد شد. زبان‌های ایمنی حافظه عبارتند از:

• زنگ
• من دارم میروم
• °C#
• جاوا
• سریع
• جاوا اسکریپت
• مالش در

Tom's Hardware اشاره می‌کند که اگرچه این زبان‌ها ممکن است از نظر امنیت آزمون را پشت سر بگذارند، اما بسیاری از آنها مورد علاقه توسعه‌دهندگان نیستند. این نشریه می افزاید که زبان ها در 20 زبان برتر قرار دارند، اما تنها چهار زبان از آن ها، C#، Java، Python و JavaScript، به طور مداوم در بین توسعه دهندگان محبوب هستند.

این گزارش یک توصیه است نه یک قانون. دیدن نحوه کار شرکت ها و توسعه دهندگان با آن در طول زمان جالب خواهد بود.

توصیه های سردبیران