Molann an Teach Bán ar fhorbróirí C agus C++ a sheachaint i bhfabhar teangacha ríomhchlárúcháin “sábháilte”.

У tuarascáil nua D’áitigh Oifig an Stiúrthóra Náisiúnta Cibear sa Teach Bán (ONCD) d’fhorbróirí “teangacha ríomhchlárúcháin éadroma” a úsáid – catagóir a eisiann teangacha coitianta. Tá an chomhairle mar chuid de straitéis cibearshlándála Uachtarán na SA Biden agus is céim í i dtreo "bloic thógála an chibearspáis a chosaint."

Is féidir le leochaileachtaí tromchúiseacha a bheith mar thoradh ar bhainistiú cuimhne míchuí i gcód bogearraí, rud a ligeann d'ionsaitheoirí cibear-ionsaithe a dhéanamh. Meastar go bhfuil teangacha ríomhchlárúcháin ar nós Java, mar gheall ar a meicníochtaí braite earráide ama rite, sábháilte maidir le bainistiú cuimhne. I gcodarsnacht leis sin, ligeann C agus C++ d’fhorbróirí oibríochtaí pointeora a dhéanamh agus seoltaí a sheoladh go díreach i gcuimhne ríomhaire. Áirítear leis seo sonraí a léamh agus a scríobh chuig aon láthair chuimhne ar féidir leo rochtain a fháil air trí phointeoir.

In 2019, innealtóirí sábháilteachta Microsoft tuairiscíodh gur saincheisteanna slándála cuimhne ba chúis le thart ar 70% de na leochaileachtaí. In 2020, thuairiscigh Google an figiúr céanna, ach maidir le fabhtanna a fuarthas sa bhrabhsálaí Cróimiam.

"D'aithin saineolaithe go leor teangacha ríomhchlárúcháin nach hamháin go bhfuil gnéithe a bhaineann le sábháilteacht chuimhne in easnamh orthu, ach atá forleathan freisin i gcórais atá ríthábhachtach do mhisin ar nós C agus C++," a dúirt an tuarascáil. "Is sampla amháin é teangacha ríomhchlárúcháin atá sábháilte ó thaobh cuimhne a roghnú ón talamh aníos, mar atá molta ag Treochlár Slándála Bogearraí Foinse Oscailte na Gníomhaireachta Cybersecurity and Infrastructure Security (CISA), d'fhorbairt bogearraí slán ón talamh aníos faoi dheireadh na"".

Is é aidhm na tuarascála 19 leathanach a chinntiú nach ar dhaoine aonair agus ar ghnólachtaí beaga amháin atá an fhreagracht as cibearshlándáil. Ina áit sin, tá an fhreagracht ar eagraíochtaí móra, cuideachtaí teicneolaíochta, agus ar deireadh thiar an rialtas.

Ní hamháin go dtugann an tuarascáil aird ar na fadhbanna le C agus C++, ach cuireann sé roinnt roghanna eile ar fáil freisin - teangacha ríomhchlárúcháin a aithnítear mar “chuimhne sábháilte”. I measc na dteangacha atá molta ag an nGníomhaireacht Náisiúnta Slándála (NSA) tá: Rust, Go, C#, Java, Swift, JavaScript, agus Ruby. Tá meicníochtaí sna teangacha seo a chuireann cosc ​​ar chineálacha coitianta ionsaithe cuimhne, rud a mhéadaíonn slándáil na gcóras atá á bhforbairt.

Tá ONCD ag iarraidh ar chuideachtaí agus innealtóirí dea-chleachtais a chur i bhfeidhm i bhforbairt bogearraí agus crua-earraí cuimhne-sábháilte a úsáid chun an dromchla ionsaithe a laghdú trína bhféadfaidh ionsaitheoirí ionsaí. Níor sonraíodh sa tuarascáil féin cad go díreach a mheastar a bheith ina teanga ríomhchláraithe atá sábháilte do chuimhne. I mí na Samhna 2022, áfach, d’eisigh an Ghníomhaireacht Náisiúnta Slándála (NSA). nuachtlitir cibearshlándála, a mhionsonraigh teangacha ríomhchlárúcháin a chreid sé a bheith sábháilte ó thaobh cuimhne.

Iarrtar sa tuarascáil freisin go ndéanfaí slándáil bogearraí a thomhas níos fearr. Creideann ONCD go gcuireann méadracht níos fearr ar chumas soláthraithe teicneolaíochta leochaileachtaí a phleanáil, a réamh-mheas agus a mhaolú níos fearr sula n-éiríonn siad ina bhfadhb.

Is í an tuarascáil seo an ceann is déanaí i sraith céimeanna a ghlac rialtas SAM. I mí an Mhárta 2023, shínigh an tUachtarán Biden an tOrdú Feidhmiúcháin Cybersecurity, a sheol próisis chun bogearraí agus crua-earraí a chosaint, chomh maith le naisc a chruthú sa tionscal teicneolaíochta.

Léigh freisin:

• Microsoft d'aimsigh hackers ón tSín agus ón Rúis a bhí ag baint úsáide as a gcuid uirlisí AI
• Bhain an Pentagon úsáid as AI Google chun spriocanna a shainaithint le haghaidh stailceanna aeir