KOMMENTAR
Den nylige publikasjonen "Tilbake til byggeklossene: A Path Toward Secure and Measurable Software" av Det hvite hus-kontoret til National Cyber Director (ONCD) gir ytterligere detaljer og strategisk retning som støtter Nasjonal cybersikkerhetsstrategi utgitt i mars 2023. Strategien har til hensikt å flytte en mye større del av ansvaret for cybersikkerhet til programvareleverandører, tjenesteleverandører og andre enheter som utvikler programvareapplikasjoner. Denne siste rapporten gir en mer spesifikk retning ved å understreke et aggressivt skifte til minnesikre programmeringsspråk med programvareutviklingspraksis.
Minnesikkerhetsimperativet
Tradisjonelle programmeringsspråk er ofte det svake leddet i programvareutvikling, med minnesikkerhetssårbarheter som fører til betydelige hendelser. Til tross for omfattende kodegjennomganger og andre sikkerhetstiltak, vedvarer disse sårbarhetene, og står for opptil 70 % av sikkerhetsproblemene på disse språkene. Et skifte mot minnesikre programmeringsspråk, som anbefalt av Cybersecurity and Infrastructure Security Agency (CISA) sitt veikart, er et kritisk skritt mot utvikling av programvare som er designsikker.
Navigering av eldre systemkompleksiteter
En av de mest skremmende utfordringene i dette strategiske skiftet er å adressere de eldre systemene utviklet i C og C++. Disse eldre systemene er ikke bare mange, men ofte kritiske for driften til mange organisasjoner. Å omskrive disse systemene på moderne, minnesikre språk kan være dyrt og komplekst, noe som resulterer i nedetid for kritiske forretningsprosesser.
Dessuten observeres sikkerhetssårbarheter i minnet først og fremst på operativsystemnivå, og påvirker betydelige plattformer som Microsoft og Linux. Denne kategoriseringen av problemer på kjøretidsnivå, snarere enn applikasjonsnivå, understreker den bredere utfordringen innen cybersikkerhet: jakten på avanserte sikkerhetstiltak må balanseres mot det praktiske og kostnadene ved å implementere disse endringene, spesielt for etablerte systemer.
Økonomiske og tekniske hensyn
Mange organisasjoner står overfor formidable kostnader forbundet med overhaling av eldre systemer. Å endre kodeprotokoller er ikke bare en teknisk beslutning, men også en strategisk beslutning for å sikre sikkerheten til fremtidens digitale infrastruktur. Som et resultat må beslutningstakere som vurderer når de skal gjennomføre overgangen vurdere de umiddelbare økonomiske og operasjonelle konsekvensene kontra de langsiktige fordelene.
Heldigvis er det allerede utviklet teknologiske innovasjoner som kan redusere kostnadene og forstyrrelsen av overgangen til sikrere kode. For eksempel kan kodeanalyseverktøy analysere eldre applikasjoner og semi-autonomt identifisere forekomster der C- eller Python-kode kjører uten skikkelig isolasjon. Og på grunn av nyere fremskritt innen kompilatorteknologi, kan selv i verste fall usikker kodingspraksis beskyttes hvis den er skrevet på et eldre språk. Denne utviklingen bør betydelig redusere barrierene for å ta i bruk sikker kodingspraksis for organisasjoner av alle størrelser.
Et samarbeid mot en trygg fremtid
Politikere og leverandører må samarbeide tett for å balansere økt sikkerhet med vedlikehold av viktige programvaretjenester. Å omfavne minnesikre programmeringsspråk, som anbefalt av ONCD, er et avgjørende skritt i denne reisen og er integrert for å fremme vår kollektive cybersikkerhet.
Flere industriledere har allerede gjort betydelige investeringer i minnesikre språk. Eksempler inkluderer:
-
Mozillas Rust-programmeringsspråk: Med sin vekt på minnesikkerhet tilbyr Rust et solid alternativ til tradisjonelle programmeringsspråk som kombinerer sikkerhet og ytelse.
-
Microsofts investering i Rust: I erkjennelse av at eldre språk har begrensninger, har Microsoft omfavnet Rust og brukt det i flere nye prosjekter der minnesikkerhet var et problem.
-
Googles innsats for minnesikkerhet: Google har investert betydelige ressurser i å finne og redusere sikkerhetssårbarheter i minnet og har etterlyst bruk av minnesikre språk i nye utviklinger. Forrige uke ga Google ut en ny forskningsrapport, "Secure by Design: Google's Perspective on Memory Safety", som tar til orde for en sikker-by-design-strategi. Rapporten fokuserer på å ta i bruk språk med robuste minnesikkerhetsfunksjoner og erkjenner begrensningene ved å utvikle C++ for å møte disse standardene.
Gå videre: Praktiske trinn for å oppfylle ONCD-anbefalingene
Veien i den siste ONCD-rapporten er utfordrende, men rik på muligheter. Det krever praktiske skritt fra alle aktører innen programvareutvikling og cybersikkerhetsøkosystemer, inkludert:
-
Utdanning og opplæring: Organisasjoner må forplikte seg til å lære teamene sine om minnesikre språk og sikker utviklingspraksis, for å sikre at utviklere kan gjøre de nødvendige endringene.
-
Planer for gradvis overgang: Organisasjoner bør lage planer for å overføre eldre systemer til minnesikre og håndterbare språk. De bør ta tak i de mest kritiske områdene først og fase prosjektet sakte for å minimere driftsavbrudd.
-
Utnytte automatiseringsverktøy: Organisasjoner bør bruke moderne kodeanalyseverktøy og kompilatorer som automatisk finner og utbedrer usikker kodepraksis samtidig som de reduserer byrden med manuelle prosesser.
-
Politikk og styring: Organisasjoner må utvikle eksplisitte styringskonstruksjoner som bygger på minnesikkerhet og sikre utviklingspraksis gjennom hele programvareutviklingens livssyklus.
-
Fellesskap og samarbeid: Viktigere er at organisasjoner bør nå utenfor deres vegger og det bredere teknologisamfunnet i fora, partnerskap og åpen kildekode-prosjekter for å dele kunnskapen, utfordringene og løsningene rundt minnesikkerhet som følger med denne reisen.
Forbedre sikkerhet i applikasjonene som driver den digitale økonomien er en høy og kompleks, men nødvendig virksomhet som krever kontinuerlig samarbeid mellom offentlig og privat sektor. ONCDs siste rapport er et solid neste skritt i å artikulere strategien; men det trengs mer vilje for å realisere visjonen. Overgang til minnesikre kodespråk for nye applikasjoner og oppdatering av eldre kode er enorme utfordringer. Det gjøres imidlertid fremskritt med nylige fremskritt innen programvareanalyse og kompilatorteknologier og forpliktelser demonstrert av mange globale teknologiledere.
- SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
- PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
- PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
- PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
- kilde: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
- : har
- :er
- :ikke
- :hvor
- $OPP
- 13
- 14
- 2023
- 7
- 8
- 9
- a
- Om oss
- Regnskap og administrasjon
- aktører
- Ytterligere
- adresse
- adressering
- vedta
- avansert
- fremskritt
- fremskritt
- Advancing
- rådes
- talsmann
- påvirker
- mot
- byrå
- aggressiv
- Alle
- allerede
- også
- alternativ
- an
- analyse
- analysere
- og
- og infrastruktur
- noen
- Søknad
- søknader
- ER
- områder
- rundt
- AS
- assosiert
- At
- automatisk
- Automatisering
- Balansere
- balanserte
- barrierer
- BE
- fordi
- vært
- være
- Fordeler
- mellom
- Bringer
- bredere
- Bygning
- byrde
- virksomhet
- men
- by
- C + +
- ring
- som heter
- CAN
- utfordre
- utfordringer
- utfordrende
- Endringer
- endring
- Circle
- tett
- kode
- Koding
- samarbeide
- samarbeid
- samarbeids
- Collective
- Kom
- forplikte
- forpliktelser
- samfunnet
- komplekse
- kompleksiteten
- omfattende
- Bekymring
- betydelig
- betraktninger
- vurderer
- konstruerer
- Kostnad
- Kostnader
- skape
- kritisk
- avgjørende
- cyber
- Cybersecurity
- avgjørelse
- beslutningstakere
- krav
- demonstrert
- utforming
- Til tross for
- detalj
- utvikle
- utviklet
- utviklere
- utvikle
- Utvikling
- utviklingen
- digitalt
- Digital økonomi
- retning
- Regissør
- Avbrudd
- nedetid
- stasjonen
- økonomisk
- økonomi
- økosystemer
- innsats
- innsats
- omfavnet
- omfavner
- vekt
- streker
- styrke
- enorm
- sikre
- sikrer
- enheter
- spesielt
- avgjørende
- etablert
- evaluere
- Selv
- utvikling
- eksempler
- dyrt
- Face
- Egenskaper
- finansiell
- Finn
- finne
- Først
- fokuserer
- Til
- formidable
- fora
- Forward
- ofte
- fra
- framtid
- Global
- styresett
- større
- Ha
- hus
- Men
- HTTPS
- ICON
- identifisere
- if
- umiddelbar
- Konsekvenser
- avgjørende
- implementere
- viktigere
- in
- inkludere
- Inkludert
- industri
- Infrastruktur
- innovasjoner
- f.eks
- integrert
- hensikt
- inn
- investert
- investering
- Investeringer
- isolasjon
- saker
- IT
- DET ER
- reise
- jpg
- kunnskap
- Språk
- språk
- Siste
- siste
- ledere
- ledende
- Legacy
- Nivå
- Livssyklus
- i likhet med
- begrensninger
- LINK
- linux
- oppløftet
- langsiktig
- laget
- Vedlike
- gjøre
- overkommelig
- håndbok
- mange
- kart
- Mars
- målinger
- Møt
- Minne
- Microsoft
- minimere
- formildende
- Moderne
- mer
- mest
- flytting
- mye
- må
- nasjonal
- navigere
- nødvendig
- nødvendig
- Ny
- neste
- mange
- of
- Tilbud
- Office
- ofte
- eldre
- on
- ONE
- pågående
- bare
- åpen
- åpen kildekode
- drift
- operativsystem
- operasjonell
- Drift
- Opportunity
- or
- organisasjoner
- Annen
- vår
- utenfor
- partnerskap
- banen
- ytelse
- perspektiv
- fase
- planer
- Plattformer
- plato
- Platon Data Intelligence
- PlatonData
- Praktisk
- praksis
- primært
- privat
- Prosesser
- Programmering
- programmerings språk
- Progress
- prosjekt
- prosjekter
- ordentlig
- beskyttet
- protokoller
- tilbydere
- gir
- offentlig
- Utgivelse
- forfølgelse
- Python
- heller
- å nå
- realisere
- nylig
- gjenkjenne
- anbefalinger
- anbefales
- redusere
- redusere
- utgitt
- rapporterer
- forskning
- Ressurser
- ansvar
- resultere
- resulterende
- Anmeldelser
- omskriving
- Rich
- vei
- robust
- går
- runtime
- Rust
- s
- trygge
- sikrere
- Sikkerhet
- sektorer
- sikre
- sikkerhet
- Sikkerhetstiltak
- tjeneste
- tjenestetilbydere
- Tjenester
- flere
- Del
- skift
- bør
- signifikant
- betydelig
- Størrelse
- Sakte
- Software
- programvareutvikling
- solid
- Solutions
- kilde
- spesifikk
- standarder
- Trinn
- Steps
- Strategisk
- Strategi
- Støtte
- system
- Systemer
- Undervisning
- lag
- tech
- Teknisk
- teknologisk
- Technologies
- Teknologi
- enn
- Det
- De
- Fremtiden
- deres
- Disse
- de
- denne
- hele
- til
- verktøy
- mot
- tradisjonelle
- Kurs
- overgang
- overgangen
- understreker
- påta
- oppdatering
- bruke
- brukt
- ved hjelp av
- leverandører
- Versus
- syn
- Sikkerhetsproblemer
- var
- svak
- uke
- når
- mens
- hvit
- White House
- vil
- med
- innenfor
- uten
- skrevet
- zephyrnet
