Ак үй иштеп чыгуучуларды "коопсуз" программалоо тилдеринин пайдасына C жана C++ тилдеринен оолак болууга чакырат

У жаңы отчет Ак үйдүн Улуттук кибердиректорунун кеңсеси (ONCD) иштеп чыгуучуларды "жеңил программалоо тилдерин" - популярдуу тилдерди кошпогон категорияны колдонууга үндөдү. Кеңеш АКШнын президенти Байдендин киберкоопсуздук стратегиясынын бир бөлүгү жана "кибермейкиндиктин курулуш блокторун коргоого" карай кадам болуп саналат.

Программалык коддогу эстутумду туура эмес башкаруу кол салуучуларга киберчабуулдарды жасоого мүмкүндүк берип, олуттуу кемчиликтерге алып келиши мүмкүн. Java сыяктуу программалоо тилдери иштөө убактысынын катасын аныктоо механизмдеринен улам эс тутумду башкарууда коопсуз деп эсептелет. Ал эми, C жана C++ иштеп чыгуучуларга көрсөткүч операцияларын аткарууга жана компьютердин эс тутумундагы даректерди түздөн-түз даректоого мүмкүндүк берет. Бул көрсөткүч аркылуу кире ала турган каалаган эстутум жерине маалыматтарды окуу жана жазуу кирет.

2019-жылы коопсуздук инженерлери Microsoft Алсыздыктардын болжол менен 70% эстутумдун коопсуздук маселелеринен улам келип чыкканын билдирди. 2020-жылы Google ушул эле көрсөткүчтү билдирди, бирок Chromium браузеринде табылган мүчүлүштүктөр үчүн.

"Эксперттер эстутумдун коопсуздугу менен байланышкан өзгөчөлүктөргө ээ болбогон бир нече программалоо тилдерин аныкташты, бирок C жана C++ сыяктуу маанилүү системаларда кеңири таралган", — деп айтылат билдирүүдө. "Киберкоопсуздук жана инфраструктуралык коопсуздук агенттигинин (CISA) Ачык булактуу программалык камсыздоонун коопсуздук жол картасы тарабынан сунушталган эстутум үчүн коопсуз программалоо тилдерин башынан баштап тандоо - бул жылдын аягына чейин коопсуз программалык камсыздоону башынан баштап иштеп чыгуунун бир мисалы"".

19 барактан турган отчеттун максаты - кибер коопсуздук үчүн жоопкерчилик жеке адамдарга жана чакан бизнеске гана жүктөлбөсүн камсыз кылуу. Анын ордуна жоопкерчилик ири уюмдарга, технологиялык компанияларга жана акыры өкмөткө жүктөлөт.

Отчет C жана C++ тилдериндеги көйгөйлөрдү гана көрсөтпөстөн, ошондой эле бир катар альтернативаларды сунуштайт - "эс сактагыч" деп таанылган программалоо тилдери. Улуттук коопсуздук агенттиги (NSA) тарабынан сунушталган тилдерге төмөнкүлөр кирет: Rust, Go, C#, Java, Swift, JavaScript жана Ruby. Бул тилдерде эстутум чабуулдарынын жалпы түрлөрүнө жол бербөөчү механизмдер бар, ошентип иштелип жаткан системалардын коопсуздугун жогорулатат.

ONCD компаниялардан жана инженерлерден программалык камсыздоону иштеп чыгууда эң мыкты тажрыйбаларды колдонууну жана чабуулчулар кол салышы мүмкүн болгон чабуулдун бетин азайтуу үчүн эстутумда коопсуз жабдыктарды колдонууну суранат. Отчеттун өзү эс-тутум үчүн коопсуз программалоо тили деп эмнени так айтаарын деталдаштырган эмес. Бирок, 2022-жылы ноябрда Улуттук коопсуздук агенттиги (NSA) чыгарган кибер коопсуздук маалымат бюллетени, ал эстутум үчүн коопсуз деп эсептеген программалоо тилдерин деталдаштырат.

Отчет ошондой эле программалык камсыздоонун коопсуздугун жакшыраак өлчөөгө чакырат. ONCD жакшы көрсөткүчтөр технология провайдерлерине көйгөйгө айланганга чейин алсыздыктарды жакшыраак пландаштырууга, алдын ала жана жумшартууга мүмкүндүк берет деп эсептейт.

Бул отчет АКШ өкмөтү тарабынан жасалган кадамдардын эң акыркысы. 2023-жылдын мартында президент Байден киберкоопсуздук боюнча буйрукка кол койгон, анда программалык камсыздоону жана аппараттык камсыздоону коргоо, ошондой эле технология тармагындагы байланыштарды бекемдөө процесстери башталган.

Ошондой эле окуңуз:

• Microsoft анын AI куралдарын колдонуп жаткан Кытай жана Орусиядан келген хакерлерди табышкан
• Пентагон аба соккулары үчүн буталарды аныктоо үчүн Google'дун AI колдонду