COMENTÁRIO
A recente publicação “De volta aos blocos de construção: A Path Toward Secure and Measurable Software” do Escritório do Diretor Nacional Cibernético da Casa Branca (ONCD) fornece detalhes adicionais e orientação estratégica que apoiam o Estratégia Nacional de Cibersegurança lançado em março de 2023. A estratégia pretende transferir uma parcela muito maior de responsabilidade pela segurança cibernética para fornecedores de software, provedores de serviços e outras entidades que desenvolvem aplicativos de software. Este último relatório fornece uma orientação mais específica, enfatizando uma mudança agressiva para linguagens de programação seguras para memória com práticas de desenvolvimento de software.
O imperativo de segurança da memória
As linguagens de programação tradicionais são frequentemente o elo mais fraco no desenvolvimento de software, com vulnerabilidades de segurança de memória levando a incidentes significativos. Apesar das revisões abrangentes de código e de outras medidas de segurança, essas vulnerabilidades persistem, sendo responsáveis por até 70% dos problemas de segurança nessas linguagens. Uma mudança em direção a linguagens de programação seguras para memória, conforme recomendado pelo roteiro da Agência de Segurança Cibernética e de Infraestrutura (CISA), é um passo crítico para o desenvolvimento de software que seja seguro por design.
Navegando pelas complexidades do sistema legado
Um dos desafios mais assustadores nesta mudança estratégica é abordar os sistemas legados desenvolvidos em C e C++. Esses sistemas legados não são apenas numerosos, mas muitas vezes essenciais para as operações de muitas organizações. Reescrever esses sistemas em linguagens modernas e com memória segura pode ser caro e complexo, resultando no tempo de inatividade de processos comerciais críticos.
Além disso, as vulnerabilidades de segurança da memória são observadas principalmente no nível do sistema operacional, afetando plataformas significativas como Microsoft e Linux. Esta categorização de questões ao nível do tempo de execução, e não ao nível da aplicação, sublinha o desafio mais amplo da segurança cibernética: a procura de medidas de segurança avançadas deve ser equilibrada com os aspectos práticos e os custos de implementação destas mudanças, especialmente para sistemas estabelecidos.
Considerações Econômicas e Técnicas
Muitas organizações enfrentam custos formidáveis associados à revisão de sistemas mais antigos. A alteração dos protocolos de codificação não é apenas uma decisão técnica, mas também estratégica para garantir a segurança da infraestrutura digital do futuro. Como resultado, os decisores que consideram quando realizar a transição devem avaliar os impactos financeiros e operacionais imediatos versus os benefícios a longo prazo.
Felizmente, já foram desenvolvidas inovações tecnológicas que podem reduzir o custo e a interrupção da transição para um código mais seguro. Por exemplo, as ferramentas de análise de código podem analisar aplicativos legados e identificar de forma semi-autônoma instâncias em que o código C ou Python é executado sem o isolamento adequado. E devido aos recentes avanços na tecnologia de compiladores, mesmo as piores práticas de codificação inseguras podem ser protegidas se escritas em uma linguagem mais antiga. Estes desenvolvimentos deverão diminuir significativamente as barreiras à adoção de práticas de codificação seguras para organizações de qualquer dimensão.
Um esforço colaborativo em direção a um futuro seguro
Os decisores políticos e os fornecedores devem colaborar estreitamente para equilibrar o aumento da segurança com a manutenção de serviços de software essenciais. Adotar linguagens de programação seguras em termos de memória, conforme recomendado pela ONCD, é um passo crucial nesta jornada e é essencial para o avanço da nossa segurança cibernética coletiva.
Vários líderes da indústria já fizeram investimentos significativos em linguagens seguras para memória. Exemplos incluem:
-
Linguagem de programação Rust da Mozilla: Com ênfase na segurança da memória, Rust oferece uma alternativa sólida às linguagens de programação tradicionais que aliam segurança e desempenho.
-
O investimento da Microsoft em Rust: Reconhecendo que as linguagens mais antigas têm limitações, a Microsoft adotou o Rust e o utilizou em vários novos projetos onde a segurança da memória era uma preocupação.
-
Esforços de segurança de memória do Google: O Google investiu recursos consideráveis para encontrar e mitigar vulnerabilidades de segurança de memória e apelou ao uso de linguagens seguras de memória em novos desenvolvimentos. Na semana passada, o Google lançou um novo relatório de pesquisa, “Secure by Design: Google's Perspective on Memory Safety”, defendendo uma estratégia de segurança desde o design. O relatório se concentra na adoção de linguagens com recursos robustos de segurança de memória e reconhece as limitações da evolução do C++ para atender a esses padrões.
Seguindo em frente: etapas práticas para atender às recomendações da ONCD
O caminho indicado no último relatório da ONCD é desafiador, mas rico em oportunidades. Exige medidas práticas de todos os intervenientes nos ecossistemas de desenvolvimento de software e de segurança cibernética, incluindo:
-
Educação e treinamento: As organizações devem comprometer-se a ensinar às suas equipas linguagens seguras em termos de memória e práticas de desenvolvimento seguras, garantindo que os desenvolvedores possam fazer as alterações necessárias.
-
Planos de transição gradual: As organizações devem criar planos para a transição de sistemas legados para linguagens gerenciáveis e com segurança de memória. Devem abordar primeiro as áreas mais críticas e fasear o projecto lentamente para minimizar perturbações operacionais.
-
Aproveitando ferramentas de automação: As organizações devem usar ferramentas e compiladores modernos de análise de código que encontrem e corrijam automaticamente práticas de código inseguras, ao mesmo tempo que reduzem a carga de processos manuais.
-
Política e governança: As organizações devem desenvolver construções de governança explícitas que incluam segurança na memória e práticas de desenvolvimento seguras durante todo o ciclo de vida de desenvolvimento de software.
-
Comunidade e colaboração: É importante ressaltar que as organizações devem ir além de seus muros e da comunidade tecnológica mais ampla em fóruns, parcerias e projetos de código aberto para compartilhar o conhecimento, os desafios e as soluções em torno da segurança da memória que acompanham esta jornada.
Melhorar segurança nos aplicativos que impulsionam a economia digital é um empreendimento elevado e complexo, mas necessário, que exige colaboração contínua entre os setores público e privado. O último relatório da ONCD é um próximo passo sólido na articulação da estratégia; no entanto, é necessária mais vontade para concretizar a visão. A transição para linguagens de codificação com memória segura para novos aplicativos e a atualização de códigos legados são enormes desafios. No entanto, estão sendo feitos progressos com avanços recentes em análise de software e tecnologias de compilador e compromissos demonstrados por muitos líderes tecnológicos globais.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
- :tem
- :é
- :não
- :onde
- $UP
- 13
- 14
- 2023
- 7
- 8
- 9
- a
- Sobre
- Contabilidade
- atores
- Adicional
- endereço
- endereçando
- Adotando
- avançado
- avanços
- avanços
- Avançando
- aconselhado
- defendendo
- afetando
- contra
- agência
- agressivo
- Todos os Produtos
- já
- tb
- alternativa
- an
- análise
- analisar
- e
- e infra-estrutura
- qualquer
- Aplicação
- aplicações
- SOMOS
- áreas
- por aí
- AS
- associado
- At
- automaticamente
- Automação
- Equilíbrio
- balanced
- barreiras
- BE
- Porque
- sido
- ser
- Benefícios
- entre
- Traz
- mais amplo
- Prédio
- carga
- negócio
- mas a
- by
- C + +
- chamada
- chamado
- CAN
- desafiar
- desafios
- desafiante
- Alterações
- mudança
- Círculo
- de perto
- código
- Codificação
- colaborar
- colaboração
- colaborativo
- Collective
- como
- commit
- compromissos
- comunidade
- integrações
- complexidades
- compreensivo
- Interesse
- considerável
- Considerações
- considerando
- construções
- Custo
- custos
- crio
- crítico
- crucial
- cibernético
- Cíber segurança
- decisão
- decisores
- demandas
- demonstraram
- Design
- Apesar de
- detalhe
- desenvolver
- desenvolvido
- desenvolvedores
- em desenvolvimento
- Desenvolvimento
- desenvolvimentos
- digital
- Economia digital
- direção
- Diretor
- Rompimento
- tempo de inatividade
- distância
- Econômico
- economia
- ecossistemas
- esforço
- esforços
- abraçou
- abraçando
- ênfase
- enfatizando
- aprimorando
- enorme
- garantir
- assegurando
- entidades
- especialmente
- essencial
- estabelecido
- avaliar
- Mesmo
- evolução
- exemplos
- caro
- Rosto
- Funcionalidades
- financeiro
- Encontre
- descoberta
- Primeiro nome
- concentra-se
- Escolha
- formidável
- fóruns
- para a frente
- freqüentemente
- da
- futuro
- Global
- governo
- maior
- Ter
- House
- Contudo
- HTTPS
- ÍCONE
- identificar
- if
- Imediato
- Impacto
- imperativo
- implementação
- importante
- in
- incluir
- Incluindo
- indústria
- Infraestrutura
- e inovações
- instância
- integral
- pretende
- para dentro
- investido
- investimento
- Investimentos
- isolamento
- questões
- IT
- ESTÁ
- viagem
- jpg
- Conhecimento
- língua
- Idiomas
- Sobrenome
- mais recente
- líderes
- principal
- Legado
- Nível
- wifecycwe
- como
- limitações
- LINK
- linux
- sublime
- longo prazo
- moldadas
- Manter
- fazer
- manejável
- manual
- muitos
- mapa,
- Março
- medidas
- Conheça
- Memória
- Microsoft
- minimizar
- mitigando
- EQUIPAMENTOS
- mais
- a maioria
- em movimento
- muito
- devo
- Nacional
- navegação
- necessário
- necessário
- Novo
- Próximo
- numeroso
- of
- Oferece
- Office
- frequentemente
- mais velho
- on
- ONE
- contínuo
- só
- aberto
- open source
- operando
- sistema operativo
- operacional
- Operações
- Oportunidade
- or
- organizações
- Outros
- A Nossa
- lado de fora
- parcerias
- caminho
- atuação
- perspectiva
- fase
- planos
- Plataformas
- platão
- Inteligência de Dados Platão
- PlatãoData
- Prática
- práticas
- principalmente
- privado
- processos
- Programação
- linguagens de programação
- Progresso
- projeto
- projetos
- adequado
- protegido
- protocolos
- fornecedores
- fornece
- público
- Publicação
- busca
- Python
- em vez
- alcançar
- perceber
- recentemente
- reconhecendo
- recomendações
- Recomenda
- reduzir
- redução
- liberado
- Denunciar
- pesquisa
- Recursos
- responsabilidade
- resultar
- resultando
- Opinões
- reescrevendo
- Rico
- estrada
- uma conta de despesas robusta
- é executado
- tempo de execução
- Ferrugem
- s
- seguro
- mais segura
- Segurança
- Setores
- seguro
- segurança
- Medidas de Segurança
- serviço
- provedores de serviço
- Serviços
- vários
- Partilhar
- mudança
- rede de apoio social
- periodo
- de forma considerável
- Tamanho
- Lentamente
- Software
- desenvolvimento de software
- sólido
- Soluções
- fonte
- específico
- padrões
- Passo
- Passos
- Estratégico
- Estratégia
- Apoiar
- .
- sistemas
- Ensino
- equipes
- tecnologia
- Dados Técnicos:
- tecnológica
- Tecnologias
- Tecnologia
- do que
- que
- A
- O Futuro
- deles
- Este
- deles
- isto
- todo
- para
- ferramentas
- para
- tradicional
- Training
- transição
- transição
- sublinhados
- empreender
- atualização
- usar
- usava
- utilização
- fornecedores
- Contra
- visão
- vulnerabilidades
- foi
- fraco
- semana
- quando
- enquanto
- branco
- a Casa Branca
- precisarão
- de
- dentro
- sem
- escrito
- zefirnet
