Правительство США рекомендует отказаться от инструментов программирования на C или C++. В новом отчете Офис национального кибердиректора Белого дома (ONCD) призвал разработчиков использовать «безопасные для памяти языки программирования». Совет является шагом к «защите строительных блоков киберпространства».
Безопасность памяти — это защита от багов и уязвимостей, связанных с доступом к памяти. Переполнение буфера и зависание являются примерами этого. Java считается безопасным для памяти языком благодаря проверке на обнаружение ошибок во время выполнения. Однако C и C++ позволяют произвольную арифметику с указателями с прямыми адресами памяти без проверки границ.
В 2019 году инженеры по безопасности Microsoft сообщили, что около 70% уязвимостей были вызваны проблемами безопасности памяти. В 2020 году компания Google сообщила о такой же цифре, но уже для багов, найденных в браузере Chromium, передаёт Tom’s Hardware.
Рекомендуемые языки программирования, которые АНБ считает безопасными для памяти
- Rust
- Go
- C#
- Java
- Swift
- JavaScript
- Ruby
В отчете также содержится призыв к лучшему измерению безопасности программного обеспечения. ONCD считает, что лучшие показатели позволяют поставщикам технологий лучше планировать, предвидеть и уменьшать уязвимости до того, как они станут проблемой.