Уряд США рекомендує відмовитися від інструментів програмування на C або C++. У новому звіті Офіс національного кібердиректора Білого дому (ONCD) закликав розробників використовувати «безпечні для пам’яті мови програмування». Порада є кроком до «захисту будівельних блоків кіберпростору».
Безпека пам’яті — це захист від багів і вразливостей, пов’язаних з доступом до пам’яті. Переповнення буфера та зависання є прикладами цього. Java вважається безпечною для пам’яті мовою завдяки перевірці виявлення помилок під час виконання. Однак, C та C++ дозволяють довільну арифметику з вказівниками з прямими адресами пам’яті без перевірки меж.
У 2019 році інженери з безпеки Microsoft повідомили, що близько 70% вразливостей були спричинені проблемами безпеки пам’яті. У 2020 році компанія Google повідомила про таку ж цифру, але вже для багів, знайдених у браузері Chromium, передає Tom’s Hardware.
Рекомендовані мови програмування, які АНБ вважає безпечними для пам’яті
У звіті також міститься заклик до кращого вимірювання безпеки програмного забезпечення. ONCD вважає, що кращі показники дають змогу постачальникам технологій краще планувати, передбачати та зменшувати вразливості до того, як вони стануть проблемою.