KOMENTARZ
Niedawna publikacja „Wracając do klocków konstrukcyjnych: Ścieżka w kierunku bezpiecznego i mierzalnego oprogramowania” autorstwa Biura Krajowego Dyrektora ds. Cyberbezpieczeństwa (ONCD) w Białym Domu zawiera dodatkowe szczegóły i kierunki strategiczne wspierające Narodowa Strategia Cyberbezpieczeństwa opublikowana w marcu 2023 r. Strategia zakłada przeniesienie znacznie większej części odpowiedzialności za cyberbezpieczeństwo na dostawców oprogramowania, usługodawców i inne podmioty tworzące aplikacje. Najnowszy raport wyznacza bardziej konkretny kierunek, kładąc nacisk na agresywną zmianę języki programowania bezpieczne dla pamięci z praktykami tworzenia oprogramowania.
Imperatyw bezpieczeństwa pamięci
Tradycyjne języki programowania są często słabym ogniwem w rozwoju oprogramowania, a luki w zabezpieczeniach pamięci prowadzą do poważnych incydentów. Pomimo kompleksowych przeglądów kodu i innych środków bezpieczeństwa, luki te nadal występują i odpowiadają za aż 70% problemów związanych z bezpieczeństwem w tych językach. Przejście na języki programowania bezpieczne dla pamięci, zgodnie z planem działania Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), to kluczowy krok w kierunku tworzenia oprogramowania, które jest bezpieczne z założenia.
Poruszanie się po złożonościach starszych systemów
Jednym z najbardziej zniechęcających wyzwań w tej strategicznej zmianie jest zajęcie się starszymi systemami opracowanymi w językach C i C++. Te starsze systemy są nie tylko liczne, ale często mają kluczowe znaczenie dla działalności wielu organizacji. Przepisanie tych systemów na nowoczesne, bezpieczne dla pamięci języki może być kosztowne i złożone, powodując przestoje w krytycznych procesach biznesowych.
Co więcej, luki w zabezpieczeniach pamięci są obserwowane przede wszystkim na poziomie systemu operacyjnego i dotykają znaczących platform, takich jak Microsoft i Linux. Ta kategoryzacja problemów na poziomie środowiska wykonawczego, a nie na poziomie aplikacji, podkreśla szersze wyzwanie związane z cyberbezpieczeństwem: dążenie do zaawansowanych środków bezpieczeństwa musi być wyważone z praktycznością i kosztami wdrożenia tych zmian, szczególnie w przypadku ustalonych systemów.
Względy ekonomiczne i techniczne
Wiele organizacji ponosi ogromne koszty związane z modernizacją starszych systemów. Zmiana protokołów kodowania to nie tylko decyzja techniczna, ale także strategiczna, mająca na celu zapewnienie bezpieczeństwa infrastruktury cyfrowej przyszłości. W rezultacie decydenci rozważający moment przeprowadzenia przejścia muszą ocenić bezpośrednie skutki finansowe i operacyjne w porównaniu z długoterminowymi korzyściami.
Na szczęście opracowano już innowacje technologiczne, które mogą obniżyć koszty i zakłócenia związane z przejściem na bezpieczniejszy kod. Na przykład narzędzia do analizy kodu mogą analizować starsze aplikacje i półautonomicznie identyfikować przypadki, w których kod C lub Python działa bez odpowiedniej izolacji. A dzięki niedawnym postępom w technologii kompilatorów nawet najgorsze niebezpieczne praktyki kodowania mogą być chronione, jeśli zostaną napisane w starszym języku. Zmiany te powinny znacznie zmniejszyć bariery w przyjmowaniu praktyk bezpiecznego kodowania w organizacjach dowolnej wielkości.
Wspólny wysiłek na rzecz bezpiecznej przyszłości
Decydenci i dostawcy muszą ściśle współpracować, aby zrównoważyć poprawę bezpieczeństwa z utrzymaniem podstawowych usług oprogramowania. Stosowanie języków programowania zapewniających bezpieczną pamięć, zgodnie z zaleceniami ONCD, jest kluczowym krokiem na tej drodze i stanowi integralną część poprawy naszego zbiorowego bezpieczeństwa cybernetycznego.
Kilku liderów branży poczyniło już znaczne inwestycje w języki bezpieczne dla pamięci. Przykłady obejmują:
-
Język programowania Rust Mozilli: Kładąc nacisk na bezpieczeństwo pamięci, Rust oferuje solidną alternatywę dla tradycyjnych języków programowania, która łączy bezpieczeństwo i wydajność.
-
Inwestycja Microsoftu w Rust: Zdając sobie sprawę, że starsze języki mają ograniczenia, Microsoft przyjął Rusta i użył go w kilku nowych projektach, w których problemem było bezpieczeństwo pamięci.
-
Działania Google na rzecz bezpieczeństwa pamięci: Firma Google zainwestowała znaczne zasoby w wyszukiwanie i eliminowanie luk w zabezpieczeniach pamięci i wzywa do stosowania języków bezpiecznych dla pamięci w nowych rozwiązaniach. W zeszłym tygodniu firma Google opublikowała nowy raport badawczy zatytułowany „Bezpieczeństwo od samego początku: spojrzenie Google na bezpieczeństwo pamięci”, w którym opowiada się za strategią bezpiecznego projektowania. Raport koncentruje się na przyjęciu języków z solidnymi funkcjami bezpieczeństwa pamięci i uznaje ograniczenia ewolucji C++ w celu spełnienia tych standardów.
Idąc dalej: praktyczne kroki w celu spełnienia zaleceń ONCD
Ścieżka opisana w najnowszym raporcie ONCD jest wymagająca, ale bogata w możliwości. Wymaga praktycznych działań ze strony wszystkich podmiotów zajmujących się tworzeniem oprogramowania i ekosystemami cyberbezpieczeństwa, w tym:
-
Edukacja i trening: Organizacje muszą zobowiązać się do nauczania swoich zespołów na temat języków bezpiecznych dla pamięci i bezpiecznych praktyk programistycznych, zapewniając programistom możliwość wprowadzenia niezbędnych zmian.
-
Plany stopniowego przejścia: Organizacje powinny stworzyć plany przejścia starszych systemów na języki bezpieczne dla pamięci i łatwe w zarządzaniu. Powinni w pierwszej kolejności zająć się najbardziej krytycznymi obszarami i stopniowo wprowadzać projekt w etapy, aby zminimalizować zakłócenia operacyjne.
-
Wykorzystanie narzędzi automatyzacji: Organizacje powinny korzystać z nowoczesnych narzędzi i kompilatorów do analizy kodu, które automatycznie wyszukują i korygują niebezpieczne praktyki w kodzie, jednocześnie zmniejszając obciążenie procesów ręcznych.
-
Polityka i zarządzanie: Organizacje muszą opracować jawne konstrukcje zarządzania, które zapamiętują zasady bezpieczeństwa pamięci i bezpieczne praktyki programistyczne w całym cyklu życia oprogramowania.
-
Społeczność i współpraca: Co ważne, organizacje powinny docierać poza swoje mury i do szerszej społeczności technologicznej za pośrednictwem forów, partnerstw i projektów open source, aby dzielić się wiedzą, wyzwaniami i rozwiązaniami dotyczącymi bezpieczeństwa pamięci, które towarzyszą tej podróży.
Poprawa bezpieczeństwo w aplikacjach które napędzają gospodarkę cyfrową, jest wzniosłym i złożonym, ale koniecznym przedsięwzięciem wymagającym ciągłej współpracy między sektorem publicznym i prywatnym. Najnowszy raport ONCD to solidny kolejny krok w formułowaniu strategii; jednak potrzeba więcej woli, aby zrealizować tę wizję. Przejście na języki kodowania oszczędzające pamięć dla nowych aplikacji i aktualizacja starszego kodu to ogromne wyzwania. Jednak dzięki najnowszym postępom w technologiach analizy oprogramowania i kompilatorów oraz zobowiązaniom wykazanym przez wielu światowych liderów technologii następuje postęp.
- Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
- PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
- PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
- PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
- Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
- Źródło: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
- :ma
- :Jest
- :nie
- :Gdzie
- $W GÓRĘ
- 13
- 14
- 2023
- 7
- 8
- 9
- a
- O nas
- Księgowość
- aktorzy
- Dodatkowy
- adres
- adresowanie
- Przyjęcie
- zaawansowany
- postępy
- zaliczki
- postęp
- rozmyślny
- propagowanie
- wpływający
- przed
- agencja
- agresywny
- Wszystkie kategorie
- już
- również
- alternatywny
- an
- analiza
- w czasie rzeczywistym sprawiają,
- i
- i infrastruktura
- każdy
- Zastosowanie
- aplikacje
- SĄ
- obszary
- na około
- AS
- powiązany
- At
- automatycznie
- Automatyzacja
- Bilans
- zrównoważony
- bariery
- BE
- bo
- być
- jest
- Korzyści
- pomiędzy
- Przynosi
- szerszy
- Budowanie
- ciężar
- biznes
- ale
- by
- C + +
- wezwanie
- nazywa
- CAN
- wyzwanie
- wyzwania
- wyzwanie
- Zmiany
- wymiana pieniędzy
- Okrągłe
- dokładnie
- kod
- Kodowanie
- współpracować
- współpraca
- współpracy
- Collective
- jak
- popełnić
- zobowiązania
- społeczność
- kompleks
- złożoności
- wszechstronny
- Troska
- znaczny
- Rozważania
- wobec
- konstrukty
- Koszty:
- Koszty:
- Stwórz
- krytyczny
- istotny
- cyber
- Bezpieczeństwo cybernetyczne
- decyzja
- Decydenci
- wymagania
- wykazać
- Wnętrze
- Mimo
- detal
- rozwijać
- rozwinięty
- deweloperzy
- rozwijanie
- oprogramowania
- wydarzenia
- cyfrowy
- Gospodarka cyfrowa
- kierunek
- Dyrektor
- Zakłócenie
- przestojów
- napęd
- Gospodarczy
- gospodarka
- Ekosystemy
- wysiłek
- starania
- objęty
- ogarnięcie
- nacisk
- podkreślając
- wzmocnienie
- ogromny
- zapewnić
- zapewnienie
- podmioty
- szczególnie
- niezbędny
- ustanowiony
- oceniać
- Parzyste
- ewoluuje
- przykłady
- drogi
- Twarz
- Korzyści
- budżetowy
- Znajdź
- znalezieniu
- i terminów, a
- koncentruje
- W razie zamówieenia projektu
- wielki
- Forum
- Naprzód
- często
- od
- przyszłość
- Globalne
- zarządzanie
- większy
- Have
- dom
- Jednak
- HTTPS
- ICON
- zidentyfikować
- if
- Natychmiastowy
- Oddziaływania
- tryb rozkazujący
- wykonawczych
- co ważne
- in
- zawierać
- Włącznie z
- przemysł
- Infrastruktura
- innowacje
- przykład
- integralny
- zamierza
- najnowszych
- zainwestowany
- inwestycja
- Inwestycje
- izolacja
- problemy
- IT
- JEGO
- podróż
- jpg
- wiedza
- język
- Języki
- Nazwisko
- firmy
- Przywódcy
- prowadzący
- Dziedzictwo
- poziom
- wifecycwe
- lubić
- Ograniczenia
- LINK
- linux
- wysoki
- długoterminowy
- zrobiony
- Utrzymywanie
- robić
- wykonalny
- podręcznik
- wiele
- mapa
- March
- środków
- Poznaj nasz
- Pamięć
- Microsoft
- zminimalizować
- łagodzenie
- Nowoczesne technologie
- jeszcze
- większość
- przeniesienie
- dużo
- musi
- narodowy
- żeglujący
- niezbędny
- potrzebne
- Nowości
- Następny
- liczny
- of
- Oferty
- Biurowe
- często
- starszych
- on
- ONE
- trwający
- tylko
- koncepcja
- open source
- operacyjny
- system operacyjny
- operacyjny
- operacje
- Okazja
- or
- organizacji
- Inne
- ludzkiej,
- zewnętrzne
- partnerstwa
- ścieżka
- jest gwarancją najlepszej jakości, które mogą dostarczyć Ci Twoje monitory,
- perspektywa
- faza
- plany
- Platformy
- plato
- Analiza danych Platona
- PlatoDane
- Praktyczny
- praktyki
- głównie
- prywatny
- procesów
- Programowanie
- języki programowania
- Postęp
- projekt
- projektowanie
- właściwy
- chroniony
- protokoły
- dostawców
- zapewnia
- publiczny
- Publikacja
- pościg
- Python
- raczej
- dosięgnąć
- zrealizować
- niedawny
- rozpoznawanie
- zalecenia
- Zalecana
- zmniejszyć
- redukcja
- wydany
- raport
- Badania naukowe
- Zasoby
- odpowiedzialność
- dalsze
- wynikły
- Recenzje
- przepisanie
- Bogaty
- droga
- krzepki
- działa
- Czas
- Rdza
- s
- "bezpiecznym"
- bezpieczniej
- Bezpieczeństwo
- Sektory
- bezpieczne
- bezpieczeństwo
- Środki bezpieczeństwa
- usługa
- usługodawcy
- Usługi
- kilka
- Share
- przesunięcie
- powinien
- znaczący
- znacznie
- Rozmiar
- Powoli
- Tworzenie
- rozwoju oprogramowania
- solidny
- Rozwiązania
- Źródło
- specyficzny
- standardy
- Ewolucja krok po kroku
- Cel
- Strategiczny
- Strategia
- Wspierający
- system
- systemy
- Nauczanie
- Zespoły
- tech
- Techniczny
- techniczny
- Technologies
- Technologia
- niż
- że
- Połączenia
- Przyszłość
- ich
- Te
- one
- to
- poprzez
- do
- narzędzia
- w kierunku
- tradycyjny
- Trening
- przejście
- przejście
- podkreślenia
- podjąć
- aktualizowanie
- posługiwać się
- używany
- za pomocą
- sprzedawców
- Przeciw
- wizja
- Luki w zabezpieczeniach
- była
- słaby
- tydzień
- jeśli chodzi o komunikację i motywację
- Podczas
- biały
- Biały Dom
- będzie
- w
- w ciągu
- bez
- napisany
- zefirnet