Det Hvide Hus' opfordring til hukommelsessikkerhed bringer udfordringer, ændringer og omkostninger

KOMMENTAR

Den seneste udgivelse "Tilbage til byggeklodserne: A Path Toward Secure and Measurable Software" af Det Hvide Hus Office of the National Cyber ​​Director (ONCD) giver yderligere detaljer og strategisk retning, der understøtter National Cybersikkerhedsstrategi udgivet i marts 2023. Strategien har til hensigt at flytte en langt større del af ansvaret for cybersikkerhed til softwareleverandører, tjenesteudbydere og andre enheder, der udvikler softwareapplikationer. Denne seneste rapport giver en mere specifik retning ved at understrege et aggressivt skift til hukommelsessikre programmeringssprog med softwareudviklingspraksis.

Hukommelsessikkerhed imperativ

Traditionelle programmeringssprog er ofte det svage led i softwareudvikling, hvor hukommelsessikkerhedssårbarheder fører til betydelige hændelser. På trods af omfattende kodegennemgange og andre sikkerhedsforanstaltninger fortsætter disse sårbarheder og tegner sig for op til 70 % af sikkerhedsproblemerne på disse sprog. Et skift mod hukommelsessikre programmeringssprog, som anbefalet af Cybersecurity and Infrastructure Security Agency's (CISA) køreplan, er et kritisk skridt i retning af at udvikle software, der er designsikker.

Navigering af ældre systemkompleksiteter

En af de mest skræmmende udfordringer i dette strategiske skift er at adressere de ældre systemer udviklet i C og C++. Disse gamle systemer er ikke kun talrige, men ofte kritiske for driften af ​​mange organisationer. Omskrivning af disse systemer på moderne, hukommelsessikre sprog kan være dyrt og komplekst, hvilket resulterer i nedetid for kritiske forretningsprocesser.

Desuden observeres hukommelsessikkerhedssårbarheder primært på operativsystemniveau, hvilket påvirker væsentlige platforme som Microsoft og Linux. Denne kategorisering af problemer på runtime-niveau, snarere end på applikationsniveau, understreger den bredere udfordring inden for cybersikkerhed: forfølgelsen af ​​avancerede sikkerhedsforanstaltninger skal balanceres mod de praktiske og omkostningerne ved at implementere disse ændringer, især for etablerede systemer.

Økonomiske og tekniske overvejelser

Mange organisationer står over for formidable omkostninger forbundet med eftersyn af ældre systemer. Ændring af kodningsprotokoller er ikke kun en teknisk beslutning, men også en strategisk beslutning for at sikre sikkerheden i fremtidens digitale infrastruktur. Som følge heraf skal beslutningstagere, der overvejer, hvornår overgangen skal gennemføres, vurdere de umiddelbare økonomiske og operationelle virkninger versus de langsigtede fordele.

Heldigvis er der allerede udviklet teknologiske innovationer, der kan reducere omkostningerne og forstyrrelsen af ​​overgangen til sikrere kode. For eksempel kan kodeanalyseværktøjer analysere ældre applikationer og semi-autonomt identificere tilfælde, hvor C- eller Python-kode kører uden ordentlig isolation. Og på grund af de seneste fremskridt inden for compilerteknologi, kan selv worst case usikker kodningspraksis beskyttes, hvis den er skrevet på et ældre sprog. Denne udvikling skulle i væsentlig grad mindske barriererne for at indføre sikker kodningspraksis for organisationer af enhver størrelse.

En fælles indsats mod en sikker fremtid

Politikere og leverandører skal samarbejde tæt for at skabe balance mellem forbedring af sikkerhed og vedligeholdelse af væsentlige softwaretjenester. At omfavne hukommelsessikre programmeringssprog, som anbefalet af ONCD, er et afgørende skridt i denne rejse og er integreret i at fremme vores kollektive cybersikkerhed. 

Adskillige industriledere har allerede foretaget betydelige investeringer i hukommelsessikre sprog. Eksempler omfatter: 

Fremad: Praktiske trin til at opfylde ONCD-anbefalingerne

Vejen i den seneste ONCD-rapport er udfordrende, men rig på muligheder. Det kræver praktiske skridt fra alle aktører inden for softwareudvikling og cybersikkerhedsøkosystemer, herunder:

Forbedring sikkerhed i applikationerne at drive den digitale økonomi er en høj og kompleks, men nødvendig virksomhed, der kræver et løbende samarbejde mellem den offentlige og den private sektor. ONCD's seneste rapport er et solidt næste skridt i at formulere strategien; der skal dog mere vilje til for at realisere visionen. Overgangen til hukommelsessikre kodesprog til nye applikationer og opdatering af ældre kode er enorme udfordringer. Der gøres dog fremskridt med de seneste fremskridt inden for softwareanalyse og kompileringsteknologier og forpligtelser demonstreret af mange globale teknologiledere.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs