COMMENTAAR
De recente publicatie “Terug naar de bouwstenen: A Path Toward Secure and Measurable Software” door het White House Office van de National Cyber Director (ONCD) biedt aanvullende details en strategische richting ter ondersteuning van de Nationale Cybersecurity Strategie uitgebracht in maart 2023. De strategie is bedoeld om een veel groter deel van de verantwoordelijkheid voor cyberbeveiliging te verschuiven naar softwareleveranciers, dienstverleners en andere entiteiten die softwareapplicaties ontwikkelen. Dit laatste rapport geeft een meer specifieke richting aan door de nadruk te leggen op een agressieve verschuiving naar geheugenveilige programmeertalen met softwareontwikkelingspraktijken.
De geheugenveiligheidsimperatief
Traditionele programmeertalen zijn vaak de zwakke schakel in de softwareontwikkeling, waarbij kwetsbaarheden in de geheugenveiligheid tot aanzienlijke incidenten leiden. Ondanks uitgebreide codecontroles en andere beveiligingsmaatregelen blijven deze kwetsbaarheden bestaan en vertegenwoordigen ze tot 70% van de beveiligingsproblemen in deze talen. Een verschuiving naar geheugenveilige programmeertalen, zoals geadviseerd door de routekaart van de Cybersecurity and Infrastructure Security Agency (CISA), is een cruciale stap in de richting van de ontwikkeling van software die door het ontwerp veilig is.
Navigeren door de complexiteit van verouderde systemen
Een van de grootste uitdagingen bij deze strategische verschuiving is het aanpakken van de oudere systemen die zijn ontwikkeld in C en C++. Deze verouderde systemen zijn niet alleen talrijk, maar vaak ook cruciaal voor de bedrijfsvoering van veel organisaties. Het herschrijven van deze systemen in moderne, geheugenveilige talen kan duur en complex zijn, wat resulteert in downtime van kritieke bedrijfsprocessen.
Bovendien worden kwetsbaarheden in de geheugenveiligheid voornamelijk waargenomen op het niveau van het besturingssysteem, wat gevolgen heeft voor belangrijke platforms zoals Microsoft en Linux. Deze categorisering van problemen op runtime-niveau, in plaats van op applicatieniveau, onderstreept de bredere uitdaging op het gebied van cyberbeveiliging: het nastreven van geavanceerde beveiligingsmaatregelen moet worden afgewogen tegen de praktische aspecten en kosten van het implementeren van deze veranderingen, vooral voor gevestigde systemen.
Economische en technische overwegingen
Veel organisaties worden geconfronteerd met enorme kosten die gepaard gaan met het reviseren van oudere systemen. Het veranderen van coderingsprotocollen is niet alleen een technische beslissing, maar ook een strategische beslissing om de veiligheid van de digitale infrastructuur van de toekomst te garanderen. Als gevolg hiervan moeten besluitvormers die overwegen wanneer ze de transitie zullen ondernemen, de onmiddellijke financiële en operationele gevolgen moeten afwegen tegen de voordelen op de lange termijn.
Gelukkig zijn er al technologische innovaties ontwikkeld die de kosten en verstoringen van de transitie naar veiligere code kunnen verminderen. Code-analysetools kunnen bijvoorbeeld oudere applicaties analyseren en semi-autonoom instanties identificeren waarin C- of Python-code wordt uitgevoerd zonder de juiste isolatie. En dankzij de recente ontwikkelingen op het gebied van compilertechnologie kunnen zelfs in het slechtste geval onveilige codeerpraktijken worden beschermd als ze in een oudere taal worden geschreven. Deze ontwikkelingen zouden de barrières voor het adopteren van veilige codeerpraktijken voor organisaties van elke omvang aanzienlijk moeten verminderen.
Een gezamenlijke inspanning voor een veilige toekomst
Beleidsmakers en leveranciers moeten nauw samenwerken om een evenwicht te vinden tussen het verbeteren van de beveiliging en het onderhouden van essentiële softwareservices. Het omarmen van geheugenveilige programmeertalen, zoals aanbevolen door de ONCD, is een cruciale stap op deze reis en is een integraal onderdeel van het bevorderen van onze collectieve cyberbeveiliging.
Verschillende marktleiders hebben al aanzienlijke investeringen gedaan in geheugenveilige talen. Voorbeelden zijn onder meer:
-
Mozilla's Rust-programmeertaal: Met de nadruk op geheugenveiligheid biedt Rust een solide alternatief voor traditionele programmeertalen dat veiligheid en prestaties combineert.
-
Microsofts investering in Rust: In het besef dat oudere talen beperkingen hebben, heeft Microsoft Rust omarmd en gebruikt in verschillende nieuwe projecten waarbij geheugenveiligheid een probleem was.
-
Google's inspanningen op het gebied van geheugenveiligheid: Google heeft aanzienlijke middelen geïnvesteerd in het vinden en beperken van kwetsbaarheden in de geheugenveiligheid en heeft opgeroepen tot het gebruik van geheugenveilige talen bij nieuwe ontwikkelingen. Vorige week bracht Google een nieuw onderzoeksrapport uit, 'Secure by Design: Google's Perspective on Memory Safety', waarin werd gepleit voor een secure-by-design-strategie. Het rapport richt zich op het adopteren van talen met robuuste geheugenveiligheidsfuncties en erkent de beperkingen van het ontwikkelen van C++ om aan deze normen te voldoen.
Vooruit: praktische stappen om aan de ONCD-aanbevelingen te voldoen
Het pad in het laatste ONCD-rapport is uitdagend, maar rijk aan kansen. Het vereist praktische stappen van alle actoren binnen de ecosystemen voor softwareontwikkeling en cyberbeveiliging, waaronder:
-
Onderwijs en training: Organisaties moeten zich ertoe verbinden hun teams te onderwijzen over geheugenveilige talen en veilige ontwikkelpraktijken, en ervoor te zorgen dat ontwikkelaars de noodzakelijke veranderingen kunnen doorvoeren.
-
Geleidelijke transitieplannen: Organisaties moeten plannen maken voor de transitie van oudere systemen naar geheugenveilige en beheersbare talen. Ze moeten eerst de meest kritieke gebieden aanpakken en het project langzaam faseren om de operationele verstoring tot een minimum te beperken.
-
Gebruikmaken van automatiseringstools: Organisaties moeten gebruik maken van moderne tools voor codeanalyse en compilers die automatisch onveilige codepraktijken opsporen en verhelpen, terwijl de last van handmatige processen wordt verminderd.
-
Beleid en bestuur: Organisaties moeten expliciete bestuursconstructies ontwikkelen die zorgen voor geheugenveiligheid en veilige ontwikkelpraktijken gedurende de gehele levenscyclus van softwareontwikkeling.
-
Gemeenschap en samenwerking: Belangrijk is dat organisaties buiten hun muren en de bredere technologiegemeenschap moeten reiken in forums, partnerschappen en open source-projecten om de kennis, uitdagingen en oplossingen rond geheugenveiligheid die bij deze reis horen, te delen.
Het verbeteren van beveiliging in de applicaties die de digitale economie aandrijven is een verheven en complexe maar noodzakelijke onderneming die voortdurende samenwerking tussen de publieke en private sector vereist. Het nieuwste rapport van de ONCD is een solide volgende stap in het formuleren van de strategie; Er is echter meer wil nodig om de visie te verwezenlijken. De overgang naar geheugenveilige codeertalen voor nieuwe toepassingen en het bijwerken van verouderde code zijn enorme uitdagingen. Er wordt echter vooruitgang geboekt met recente ontwikkelingen op het gebied van softwareanalyse en compilertechnologieën en met de toezeggingen die door veel mondiale technologieleiders zijn gedemonstreerd.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
- : heeft
- :is
- :niet
- :waar
- $UP
- 13
- 14
- 2023
- 7
- 8
- 9
- a
- Over
- Accounting
- actoren
- Extra
- adres
- aanpakken
- De goedkeuring van
- vergevorderd
- vooruitgang
- voorschotten
- oprukkende
- adviseerde
- pleiten voor
- die van invloed
- tegen
- agentschap
- agressief
- Alles
- al
- ook
- alternatief
- an
- analyse
- analyseren
- en
- en infrastructuur
- elke
- Aanvraag
- toepassingen
- ZIJN
- gebieden
- rond
- AS
- geassocieerd
- At
- webmaster.
- Automatisering
- Balance
- evenwichtige
- barrières
- BE
- omdat
- geweest
- wezen
- betekent
- tussen
- Brengt
- bredere
- Gebouw
- last
- bedrijfsdeskundigen
- maar
- by
- C + +
- Bellen
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- CAN
- uitdagen
- uitdagingen
- uitdagend
- Wijzigingen
- veranderende
- Circle
- van nabij
- code
- codering
- samenwerken
- samenwerking
- samenwerkend
- Collective
- hoe
- plegen
- verplichtingen
- gemeenschap
- complex
- complexiteit
- uitgebreid
- Bezorgdheid
- aanzienlijk
- overwegingen
- aangezien
- constructies
- Kosten
- Kosten
- en je merk te creëren
- kritisch
- cruciaal
- cyber
- Cybersecurity
- beslissing
- besluitvormers
- eisen
- gedemonstreerd
- Design
- Niettegenstaande
- detail
- ontwikkelen
- ontwikkelde
- ontwikkelaars
- het ontwikkelen van
- Ontwikkeling
- ontwikkelingen
- digitaal
- Digitale economie
- richting
- Director
- Ontwrichting
- uitvaltijd
- rit
- Economisch
- economie
- ecosystemen
- inspanning
- inspanningen
- omarmd
- omarmen
- nadruk
- nadruk te leggen op
- verbeteren
- enorm
- verzekeren
- zorgen
- entiteiten
- vooral
- essentieel
- gevestigd
- schatten
- Zelfs
- evoluerende
- voorbeelden
- duur
- Gezicht
- Voordelen
- financieel
- VIND DE PLEK DIE PERFECT VOOR JOU IS
- het vinden van
- Voornaam*
- richt
- Voor
- geducht
- forums
- Naar voren
- vaak
- oppompen van
- toekomst
- Globaal
- Kopen Google Reviews
- bestuur
- meer
- Hebben
- Huis
- Echter
- HTTPS
- ICON
- identificeren
- if
- Onmiddellijk
- Effecten
- gebiedende wijs
- uitvoering
- belangrijker
- in
- omvatten
- Inclusief
- -industrie
- Infrastructuur
- innovaties
- instantie
- integraal
- voornemens
- in
- investeerde
- investering
- Investeringen
- isolatie
- problemen
- IT
- HAAR
- jpg
- kennis
- taal
- Talen
- Achternaam*
- laatste
- leiders
- leidend
- Nalatenschap
- Niveau
- levenscyclus van uw product
- als
- beperkingen
- LINK
- linux
- verheven
- langdurig
- gemaakt
- Het handhaven
- maken
- handelbaar
- handboek
- veel
- kaart
- Maart
- maatregelen
- Maak kennis met
- Geheugen
- Microsoft
- verkleinen
- verzachtende
- Modern
- meer
- meest
- bewegend
- veel
- Dan moet je
- nationaal
- navigeren
- noodzakelijk
- nodig
- New
- volgende
- vele
- of
- Aanbod
- Kantoor
- vaak
- ouder
- on
- EEN
- lopend
- Slechts
- open
- open source
- werkzaam
- besturingssysteem
- operationele
- Operations
- kansen
- or
- organisaties
- Overige
- onze
- buiten
- partnerships
- pad
- prestatie
- perspectief
- fase
- plannen
- platforms
- Plato
- Plato gegevensintelligentie
- PlatoData
- PRAKTISCH
- praktijken
- in de eerste plaats
- privaat
- processen
- Programming
- programmeertalen
- Voortgang
- project
- projecten
- gepast
- beschermd
- protocollen
- providers
- biedt
- publiek
- Publicatie
- achtervolging
- Python
- liever
- bereiken
- realiseren
- recent
- herkennen
- aanbevelingen
- aanbevolen
- verminderen
- vermindering
- uitgebracht
- verslag
- onderzoek
- Resources
- verantwoordelijkheid
- resultaat
- verkregen
- Recensies
- herschrijven
- Rijk
- weg
- robuust
- loopt
- runtime
- Roest
- s
- veilig
- veiliger
- Veiligheid
- Sectoren
- beveiligen
- veiligheid
- Veiligheidsmaatregelen
- service
- dienstverleners
- Diensten
- verscheidene
- Delen
- verschuiving
- moet
- aanzienlijke
- aanzienlijk
- Maat
- Langzaam
- Software
- software development
- solide
- Oplossingen
- bron
- specifiek
- normen
- Stap voor
- Stappen
- strategisch
- Strategie
- Ondersteuning
- system
- Systems
- Onderwijs
- teams
- tech
- Technisch
- technologisch
- Technologies
- Technologie
- neem contact
- dat
- De
- De toekomst
- hun
- Deze
- ze
- dit
- overal
- naar
- tools
- in de richting van
- traditioneel
- Trainingen
- overgang
- overgang
- underscores
- ondernemen
- bijwerken
- .
- gebruikt
- gebruik
- vendors
- Tegen
- visie
- kwetsbaarheden
- was
- zwak
- week
- wanneer
- en
- wit
- Witte Huis
- wil
- Met
- binnen
- zonder
- geschreven
- zephyrnet
