KOMMENTÁR
A közelmúltban megjelent „Vissza az építőkockákhoz: A Path To To Secure and Measurable Software” (Út a biztonságos és mérhető szoftver felé) című kiadvány, amelyet a Fehér Ház Nemzeti Kiberigazgatójának (ONCD) irodája készített, további részleteket és stratégiai iránymutatást nyújt a Nemzeti Kiberbiztonsági Stratégia 2023 márciusában jelent meg. A stratégia a kiberbiztonsággal kapcsolatos felelősség jóval nagyobb részét kívánja áthárítani a szoftverszállítókra, szolgáltatókra és más, szoftveralkalmazásokat fejlesztő entitásokra. Ez a legutóbbi jelentés konkrétabb irányt ad azáltal, hogy hangsúlyozza az agresszív elmozdulást memóriabiztos programozási nyelvek szoftverfejlesztési gyakorlattal.
A memória biztonsága elengedhetetlen
A hagyományos programozási nyelvek gyakran a gyenge láncszem a szoftverfejlesztésben, és a memória biztonsági rései jelentős incidensekhez vezetnek. Az átfogó kódellenőrzések és egyéb biztonsági intézkedések ellenére ezek a sérülékenységek továbbra is fennállnak, és az ezeken a nyelveken előforduló biztonsági problémák 70%-át teszik ki. A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) ütemtervében foglaltak szerint a memóriabiztos programozási nyelvek felé való elmozdulás kritikus lépés a tervezésileg biztonságos szoftverek fejlesztése felé.
Navigáció a régi rendszer bonyolultságai között
Ennek a stratégiai váltásnak az egyik legijesztőbb kihívása a C és C++ nyelven kifejlesztett örökölt rendszerek kezelése. Ezek az örökölt rendszerek nemcsak számosak, hanem gyakran kritikus fontosságúak számos szervezet működése szempontjából. Ezeknek a rendszereknek a modern, memóriabiztos nyelveken való átírása költséges és bonyolult lehet, ami a kritikus üzleti folyamatok leállását eredményezheti.
Ezen túlmenően, a memória biztonsági réseit elsősorban az operációs rendszer szintjén figyelték meg, és olyan jelentős platformokat érintenek, mint a Microsoft és a Linux. A problémáknak ez a futásidejű, nem pedig az alkalmazás szintjén történő kategorizálása rávilágít a kiberbiztonság szélesebb körű kihívására: a fejlett biztonsági intézkedésekre való törekvésnek egyensúlyban kell lennie e változtatások végrehajtásának gyakorlati szempontjaival és költségeivel, különösen a bevett rendszerek esetében.
Gazdasági és műszaki megfontolások
Sok szervezetnek óriási költségekkel kell szembenéznie a régebbi rendszerek felújításával kapcsolatban. A kódolási protokollok megváltoztatása nemcsak technikai döntés, hanem stratégiai döntés is a jövő digitális infrastruktúrájának biztonsága érdekében. Ennek eredményeként az átállás időpontját mérlegelő döntéshozóknak értékelniük kell az azonnali pénzügyi és működési hatásokat a hosszú távú előnyökkel szemben.
Szerencsére már kifejlesztettek olyan technológiai újításokat, amelyek csökkenthetik a biztonságosabb kódra való átállás költségeit és megszakításait. Például a kódelemző eszközök képesek elemezni a régi alkalmazásokat, és félig autonóm módon azonosítani azokat a példányokat, ahol a C vagy a Python kód megfelelő elkülönítés nélkül fut. A fordítótechnológia közelmúltbeli fejlődése miatt még a legrosszabb esetben is védhető a nem biztonságos kódolási gyakorlat, ha régebbi nyelven írják őket. Ezek a fejlesztések jelentősen csökkenthetik a biztonságos kódolási gyakorlatok elfogadása előtti akadályokat bármilyen méretű szervezet számára.
Együttműködési erőfeszítés a biztos jövő felé
A döntéshozóknak és a szállítóknak szorosan együtt kell működniük a biztonság fokozása és az alapvető szoftverszolgáltatások fenntartása között. A memóriabiztos programozási nyelvek alkalmazása, amint azt az ONCD ajánlja, döntő lépés ezen az úton, és elengedhetetlen kollektív kiberbiztonságunk fejlesztéséhez.
Számos iparági vezető jelentős beruházásokat eszközölt már a memóriabiztos nyelvek terén. Példák:
-
A Mozilla Rust programozási nyelve: A memóriabiztonságra helyezve a hangsúlyt, a Rust szilárd alternatívát kínál a hagyományos programozási nyelvekkel szemben, amely párosítja a biztonságot és a teljesítményt.
-
A Microsoft befektetése a Rustba: Felismerve, hogy a régebbi nyelveknek vannak korlátai, a Microsoft felkarolta a Rust-ot, és több olyan új projektben is felhasználta, ahol a memóriabiztonság aggodalomra ad okot.
-
A Google memóriabiztonsági erőfeszítései: A Google jelentős erőforrásokat fektetett be a memóriabiztonsági sebezhetőségek felkutatásába és enyhítésébe, és a memóriabiztos nyelvek használatát szorgalmazta az új fejlesztésekben. A múlt héten a Google kiadott egy új kutatási jelentést "Secure by Design: Google's Perspective on Memory Safety" címmel, amely a biztonságos tervezési stratégiát szorgalmazza. A jelentés a robusztus memóriabiztonsági funkciókkal rendelkező nyelvek bevezetésére összpontosít, és elismeri a C++ fejlesztésének korlátait, hogy megfeleljen ezeknek a szabványoknak.
Továbblépés: gyakorlati lépések az ONCD-ajánlások teljesítéséhez
A legutóbbi ONCD-jelentésben szereplő út kihívásokkal teli, de lehetőségekben gazdag. Gyakorlati lépéseket követel meg a szoftverfejlesztési és kiberbiztonsági ökoszisztémák minden szereplőjétől, beleértve:
-
Oktatás és képzés: A szervezeteknek vállalniuk kell, hogy megtanítják csapataikat a memóriabiztos nyelvekről és a biztonságos fejlesztési gyakorlatokról, biztosítva, hogy a fejlesztők elvégezhessék a szükséges változtatásokat.
-
Fokozatos átállási tervek: A szervezeteknek terveket kell készíteniük a régi rendszereknek a memóriabiztos és kezelhető nyelvekre való átállására. Először a legkritikusabb területekkel kell foglalkozniuk, és a projektet lassan kell ütemezni, hogy minimálisra csökkentsék a működési zavarokat.
-
Az automatizálási eszközök kihasználása: A szervezeteknek modern kódelemző eszközöket és fordítókat kell használniuk, amelyek automatikusan megtalálják és orvosolják a nem biztonságos kódolási gyakorlatokat, miközben csökkentik a manuális folyamatok terhét.
-
Politika és kormányzás: A szervezeteknek explicit irányítási konstrukciókat kell kidolgozniuk, amelyek a memóriabiztonságot és a biztonságos fejlesztési gyakorlatokat tükrözik a szoftverfejlesztés teljes életciklusa során.
-
Közösség és együttműködés: Fontos, hogy a szervezeteknek fórumokon, partnerségeken és nyílt forráskódú projekteken kívül el kell jutniuk falain kívülre és a szélesebb technológiai közösségre, hogy megosszák az ezzel az utazással járó memóriabiztonsággal kapcsolatos ismereteket, kihívásokat és megoldásokat.
Javuló biztonság az alkalmazásokban A digitális gazdaság mozgatórugója magasztos és összetett, de szükséges vállalkozás, amely folyamatos együttműködést igényel a köz- és a magánszektor között. Az ONCD legújabb jelentése egy szilárd következő lépés a stratégia megfogalmazásában; a vízió megvalósításához azonban több akarat szükséges. A memóriabiztos kódolási nyelvekre való átállás az új alkalmazásokhoz és a régi kód frissítése óriási kihívást jelent. A szoftverelemzés és a fordítótechnológiák terén elért közelmúltbeli fejlemények, valamint számos globális technológiai vezető által tanúsított kötelezettségvállalások azonban előrehaladást mutatnak.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
- :van
- :is
- :nem
- :ahol
- $ UP
- 13
- 14
- 2023
- 7
- 8
- 9
- a
- Rólunk
- számvitel
- szereplők
- További
- cím
- címzés
- Elfogadása
- fejlett
- fejlesztések
- előlegek
- továbbjutó
- tanácsos
- támogatja
- érintő
- ellen
- ügynökség
- agresszív
- Minden termék
- már
- Is
- alternatív
- an
- elemzés
- elemez
- és a
- és az infrastruktúra
- bármilyen
- Alkalmazás
- alkalmazások
- VANNAK
- területek
- körül
- AS
- társult
- At
- automatikusan
- Automatizálás
- Egyenleg
- kiegyensúlyozott
- akadályok
- BE
- mert
- óta
- hogy
- Előnyök
- között
- Bring
- tágabb
- Épület
- teher
- üzleti
- de
- by
- C + +
- hívás
- hívott
- TUD
- kihívás
- kihívások
- kihívást
- Változások
- változó
- Kör
- szorosan
- kód
- Kódolás
- együttműködik
- együttműködés
- kollaboratív
- Kollektív
- hogyan
- elkövetni
- kötelezettségvállalások
- közösség
- bonyolult
- bonyodalmak
- átfogó
- Vonatkozik
- tekintélyes
- megfontolások
- figyelembe véve
- konstrukciókat
- Költség
- kiadások
- teremt
- kritikai
- kritikus
- cyber
- Kiberbiztonság
- döntés
- döntés hozó
- igények
- igazolták
- Design
- Ellenére
- részlet
- Fejleszt
- fejlett
- fejlesztők
- fejlesztése
- Fejlesztés
- fejlesztések
- digitális
- Digitális gazdaság
- irány
- Igazgató
- Zavar
- állásidő
- hajtás
- Gazdasági
- gazdaság
- ökoszisztémák
- erőfeszítés
- erőfeszítések
- felkarolta
- átkarolás
- hangsúly
- hangsúlyozva
- fokozása
- hatalmas
- biztosítására
- biztosítása
- Szervezetek
- különösen
- alapvető
- megalapozott
- értékelni
- Még
- fejlődik
- példák
- drága
- Arc
- Jellemzők
- pénzügyi
- Találjon
- megtalálása
- vezetéknév
- koncentrál
- A
- csodálatos
- fórumok
- Előre
- gyakran
- ból ből
- jövő
- Globális
- kormányzás
- nagyobb
- Legyen
- Ház
- azonban
- HTTPS
- ICON
- azonosítani
- if
- azonnali
- Hatások
- parancsoló
- végrehajtási
- ami fontos
- in
- tartalmaz
- Beleértve
- ipar
- Infrastruktúra
- újítások
- példa
- szerves
- szándékozik
- bele
- befektetett
- beruházás
- Beruházások
- szigetelés
- kérdések
- IT
- ITS
- utazás
- jpg
- tudás
- nyelv
- Nyelvek
- keresztnév
- legutolsó
- vezetők
- vezető
- Örökség
- szint
- életciklus
- mint
- korlátozások
- LINK
- linux
- magas
- hosszú lejáratú
- készült
- fenntartása
- csinál
- kezelhető
- kézikönyv
- sok
- térkép
- március
- intézkedések
- Találkozik
- Memory design
- microsoft
- minimalizálása
- enyhítő
- modern
- több
- a legtöbb
- mozgó
- sok
- kell
- nemzeti
- navigálás
- elengedhetetlen
- szükséges
- Új
- következő
- számos
- of
- Ajánlatok
- Office
- gyakran
- idősebb
- on
- ONE
- folyamatban lévő
- csak
- nyitva
- nyílt forráskódú
- üzemeltetési
- operációs rendszer
- operatív
- Művelet
- Alkalom
- or
- szervezetek
- Más
- mi
- kívül
- partnerségek
- ösvény
- teljesítmény
- perspektíva
- fázis
- tervek
- Platformok
- Plató
- Platón adatintelligencia
- PlatoData
- Gyakorlati
- gyakorlat
- elsősorban
- magán
- Folyamatok
- Programozás
- programozási nyelvek
- Haladás
- program
- projektek
- megfelelő
- védett
- protokollok
- szolgáltatók
- biztosít
- nyilvános
- A megjelenés
- törekvés
- Piton
- Inkább
- el
- észre
- új
- felismerés
- ajánlások
- ajánlott
- csökkenteni
- csökkentő
- felszabaduló
- jelentést
- kutatás
- Tudástár
- felelősség
- eredményez
- kapott
- Vélemények
- átírás
- Gazdag
- út
- erős
- fut
- futásidejű
- Rozsda
- s
- biztonságos
- biztonságosabb
- Biztonság
- ágazatok
- biztonság
- biztonság
- Biztonsági intézkedések
- szolgáltatás
- szolgáltatók
- Szolgáltatások
- számos
- Megosztás
- váltás
- kellene
- jelentős
- jelentősen
- Méret
- Lassan
- szoftver
- szoftverfejlesztés
- szilárd
- Megoldások
- forrás
- különleges
- szabványok
- Lépés
- Lépései
- Stratégiai
- Stratégia
- Támogató
- rendszer
- Systems
- Tanítási
- csapat
- tech
- Műszaki
- technikai
- Technologies
- Technológia
- mint
- hogy
- A
- A jövő
- azok
- Ezek
- ők
- ezt
- egész
- nak nek
- szerszámok
- felé
- hagyományos
- Képzések
- átmenet
- átálláshoz
- aláhúzás
- vállal
- frissítése
- használ
- használt
- segítségével
- gyártók
- Ellen
- látomás
- sérülékenységek
- volt
- gyenge
- hét
- amikor
- míg
- fehér
- Fehér Ház
- lesz
- val vel
- belül
- nélkül
- írott
- zephyrnet