Der Aufruf des Weißen Hauses zur Sicherheit des Gedächtnisses bringt Herausforderungen, Veränderungen und Kosten mit sich

Der Aufruf des Weißen Hauses zur Sicherheit des Gedächtnisses bringt Herausforderungen, Veränderungen und Kosten mit sich

Zeitstempel: 5. April 2024, 10:00 Uhr
White House's Call for Memory Safety Brings Challenges, Changes, and Costs PlatoBlockchain Data Intelligence. Vertical Search. Ai.

KOMMENTAR

Die jüngste Veröffentlichung „Zurück zu den Bausteinen„: A Path Toward Secure and Measurable Software“ des White House Office of the National Cyber ​​Director (ONCD) bietet zusätzliche Details und strategische Ausrichtung zur Unterstützung Nationale Cybersicherheitsstrategie veröffentlicht im März 2023. Die Strategie zielt darauf ab, einen viel größeren Teil der Verantwortung für Cybersicherheit auf Softwareanbieter, Dienstleister und andere Einheiten zu verlagern, die Softwareanwendungen entwickeln. Dieser neueste Bericht gibt eine konkretere Richtung vor, indem er einen aggressiven Wandel betont Speichersichere Programmiersprachen mit Softwareentwicklungspraktiken.

Das Gebot der Speichersicherheit

Herkömmliche Programmiersprachen sind häufig das schwache Glied in der Softwareentwicklung, da Sicherheitslücken im Speicher zu erheblichen Vorfällen führen. Trotz umfassender Codeüberprüfungen und anderer Sicherheitsmaßnahmen bestehen diese Schwachstellen weiterhin und machen bis zu 70 % der Sicherheitsprobleme in diesen Sprachen aus. Eine Umstellung auf speichersichere Programmiersprachen, wie sie in der Roadmap der Cybersecurity and Infrastructure Security Agency (CISA) empfohlen wird, ist ein entscheidender Schritt auf dem Weg zur Entwicklung von Software, die von Natur aus sicher ist.

Eine der gewaltigsten Herausforderungen bei diesem strategischen Wandel ist die Auseinandersetzung mit den in C und C++ entwickelten Legacy-Systemen. Diese Legacy-Systeme sind nicht nur zahlreich, sondern oft auch entscheidend für den Betrieb vieler Unternehmen. Das Umschreiben dieser Systeme in moderne, speichersichere Sprachen kann teuer und komplex sein und zu Ausfallzeiten kritischer Geschäftsprozesse führen.

Darüber hinaus werden Sicherheitslücken im Speicher hauptsächlich auf Betriebssystemebene beobachtet und betreffen bedeutende Plattformen wie Microsoft und Linux. Diese Kategorisierung von Problemen auf der Laufzeitebene und nicht auf der Anwendungsebene unterstreicht die umfassendere Herausforderung der Cybersicherheit: Das Streben nach fortschrittlichen Sicherheitsmaßnahmen muss gegen die Praktikabilität und die Kosten der Implementierung dieser Änderungen abgewogen werden, insbesondere bei etablierten Systemen.

Wirtschaftliche und technische Überlegungen

Viele Unternehmen sind mit enormen Kosten konfrontiert, die mit der Überholung älterer Systeme verbunden sind. Die Änderung von Codierungsprotokollen ist nicht nur eine technische, sondern auch eine strategische Entscheidung, um die Sicherheit der digitalen Infrastruktur der Zukunft zu gewährleisten. Daher müssen Entscheidungsträger, die über den Zeitpunkt der Umstellung nachdenken, die unmittelbaren finanziellen und betrieblichen Auswirkungen im Vergleich zu den langfristigen Vorteilen abwägen.

Glücklicherweise wurden bereits technologische Innovationen entwickelt, die die Kosten und Unterbrechungen beim Übergang zu sichererem Code reduzieren können. Code-Analysetools können beispielsweise Legacy-Anwendungen analysieren und halbautonom Instanzen identifizieren, in denen C- oder Python-Code ohne ordnungsgemäße Isolierung ausgeführt wird. Und aufgrund der jüngsten Fortschritte in der Compiler-Technologie können selbst im schlimmsten Fall unsichere Codierungspraktiken geschützt werden, wenn sie in einer älteren Sprache geschrieben werden. Diese Entwicklungen sollten die Hindernisse für die Einführung sicherer Codierungspraktiken für Unternehmen jeder Größe erheblich verringern.

Eine gemeinsame Anstrengung für eine sichere Zukunft

Politische Entscheidungsträger und Anbieter müssen eng zusammenarbeiten, um die Verbesserung der Sicherheit mit der Aufrechterhaltung wesentlicher Softwaredienste in Einklang zu bringen. Die Einführung speichersicherer Programmiersprachen, wie von der ONCD empfohlen, ist ein entscheidender Schritt auf diesem Weg und von wesentlicher Bedeutung für die Weiterentwicklung unserer kollektiven Cybersicherheit. 

Mehrere Branchenführer haben bereits erhebliche Investitionen in speichersichere Sprachen getätigt. Beispiele beinhalten: 

  • Mozillas Programmiersprache Rust: Mit seinem Schwerpunkt auf Speichersicherheit bietet Rust eine solide Alternative zu herkömmlichen Programmiersprachen, die Sicherheit und Leistung vereint.

  • Microsofts Investition in Rust: Microsoft hat erkannt, dass ältere Sprachen Einschränkungen haben, hat sich Rust zu eigen gemacht und es in mehreren neuen Projekten eingesetzt, bei denen die Speichersicherheit ein Problem darstellte.

  • Googles Bemühungen zur Speichersicherheit: Google hat beträchtliche Ressourcen in die Suche und Behebung von Sicherheitslücken im Speicher investiert und die Verwendung speichersicherer Sprachen in neuen Entwicklungen gefordert. Letzte Woche veröffentlichte Google einen neuen Forschungsbericht mit dem Titel „Secure by Design: Google's Perspective on Memory Safety“, der sich für eine Secure-by-Design-Strategie ausspricht. Der Bericht konzentriert sich auf die Einführung von Sprachen mit robusten Speichersicherheitsfunktionen und erkennt die Einschränkungen an, die mit der Weiterentwicklung von C++ zur Erfüllung dieser Standards einhergehen.

Weiter geht es: Praktische Schritte zur Erfüllung der ONCD-Empfehlungen

Der Weg im neuesten ONCD-Bericht ist herausfordernd, aber reich an Chancen. Es erfordert praktische Schritte von allen Akteuren innerhalb der Softwareentwicklungs- und Cybersicherheitsökosysteme, darunter:

  • Schul-und Berufsbildung: Unternehmen müssen sich dazu verpflichten, ihren Teams speichersichere Sprachen und sichere Entwicklungspraktiken beizubringen und sicherzustellen, dass Entwickler die notwendigen Änderungen vornehmen können.

  • Schrittweise Übergangspläne: Unternehmen sollten Pläne für die Umstellung von Altsystemen auf speichersichere und verwaltbare Sprachen erstellen. Sie sollten sich zuerst mit den kritischsten Bereichen befassen und das Projekt langsam schrittweise durchführen, um Betriebsunterbrechungen zu minimieren.

  • Nutzung von Automatisierungstools: Unternehmen sollten moderne Code-Analysetools und Compiler verwenden, die unsichere Codepraktiken automatisch finden und beheben und gleichzeitig den Aufwand manueller Prozesse reduzieren.

  • Politik und Governance: Unternehmen müssen explizite Governance-Konstrukte entwickeln, die Speichersicherheit und sichere Entwicklungspraktiken während des gesamten Softwareentwicklungslebenszyklus integrieren.

  • Gemeinschaft und Zusammenarbeit: Wichtig ist, dass Organisationen in Foren, Partnerschaften und Open-Source-Projekten über ihre Grenzen hinaus und die breitere Tech-Community erreichen, um das Wissen, die Herausforderungen und Lösungen rund um die Speichersicherheit zu teilen, die diese Reise mit sich bringt.

Verbesserung Sicherheit in den Anwendungen die die digitale Wirtschaft vorantreiben, ist ein anspruchsvolles und komplexes, aber notwendiges Unterfangen, das eine kontinuierliche Zusammenarbeit zwischen dem öffentlichen und dem privaten Sektor erfordert. Der jüngste Bericht des ONCD ist ein solider nächster Schritt bei der Formulierung der Strategie; Allerdings ist mehr Wille nötig, um die Vision zu verwirklichen. Der Übergang zu speichersicheren Programmiersprachen für neue Anwendungen und die Aktualisierung von Legacy-Code stellen enorme Herausforderungen dar. Mit den jüngsten Fortschritten bei der Softwareanalyse und den Compiler-Technologien sowie dem Engagement vieler globaler Technologieführer sind jedoch Fortschritte zu verzeichnen.

Zeitstempel:

Mehr von Dunkle Lektüre