Заклик Білого дому до збереження пам’яті приносить виклики, зміни та витрати

КОМЕНТАР

Остання публікація "Назад до будівельних блоків: A Path Toward Secure and Measurable Software” Офісу Національного кібердиректора Білого дому (ONCD) надається додаткова інформація та стратегічний напрямок для підтримки Національна стратегія кібербезпеки випущений у березні 2023 року. Стратегія має на меті перекласти набагато більшу частку відповідальності за кібербезпеку на постачальників програмного забезпечення, постачальників послуг та інших організацій, які розробляють програмні додатки. Цей останній звіт пропонує більш конкретний напрямок, наголошуючи на агресивному переході до мови програмування, безпечні для пам'яті з практиками розробки програмного забезпечення.

Імператив безпеки пам'яті

Традиційні мови програмування часто є слабкою ланкою в розробці програмного забезпечення, а вразливості безпеки пам’яті призводять до серйозних інцидентів. Незважаючи на комплексну перевірку коду та інші заходи безпеки, ці вразливості зберігаються, на них припадає до 70% проблем безпеки в цих мовах. Перехід до безпечних для пам’яті мов програмування, згідно з рекомендаціями дорожньої карти Агентства з кібербезпеки та безпеки інфраструктури (CISA), є критично важливим кроком до розробки безпечного програмного забезпечення.

Навігація складнощами застарілої системи

Одним із найскладніших викликів у цій стратегічній зміні є звернення до застарілих систем, розроблених на C та C++. Ці застарілі системи не тільки численні, але й часто критичні для роботи багатьох організацій. Переписування цих систем сучасними мовами, безпечними для пам’яті, може бути дорогим і складним, що призведе до простою критичних бізнес-процесів.

Більше того, уразливості безпеки пам’яті в основному спостерігаються на рівні операційної системи, впливаючи на такі важливі платформи, як Microsoft і Linux. Така класифікація проблем на рівні середовища виконання, а не на рівні додатків, підкреслює ширшу проблему кібербезпеки: прагнення до вдосконалених заходів безпеки має бути збалансовано з практичністю та вартістю впровадження цих змін, особливо для встановлених систем.

Економічні та технічні міркування

Багато організацій стикаються з величезними витратами, пов’язаними з капітальним ремонтом старих систем. Зміна протоколів кодування — це не лише технічне, але й стратегічне рішення для забезпечення безпеки цифрової інфраструктури майбутнього. У результаті особи, які приймають рішення, обмірковуючи, коли здійснити перехід, повинні оцінити негайні фінансові та операційні наслідки порівняно з довгостроковими вигодами.

На щастя, уже розроблено технологічні інновації, які можуть зменшити вартість і перешкоди переходу на безпечніший код. Наприклад, інструменти аналізу коду можуть аналізувати застарілі програми та напівавтономно визначати випадки, коли код C або Python виконується без належної ізоляції. А завдяки останнім досягненням у технології компілятора навіть найгірші небезпечні методи кодування можна захистити, якщо вони написані старішою мовою. Ці розробки мають значно зменшити перешкоди для впровадження безпечних методів кодування для організацій будь-якого розміру.

Спільні зусилля до безпечного майбутнього

Розробники політики та постачальники повинні тісно співпрацювати, щоб збалансувати підвищення безпеки та підтримку основних програмних служб. Застосування мов програмування, безпечних для роботи з пам’яттю, згідно з рекомендаціями ONCD, є вирішальним кроком на цьому шляху та є невід’ємною частиною просування нашої колективної кібербезпеки. 

Кілька лідерів галузі вже зробили значні інвестиції в мови, безпечні для пам’яті. Приклади: 

Рух вперед: практичні кроки для виконання рекомендацій ONCD

Шлях, описаний в останньому звіті про ONCD, є складним, але багатим на можливості. Це вимагає практичних кроків від усіх учасників екосистем розробки програмного забезпечення та кібербезпеки, зокрема:

Поліпшення безпеки в програмах які рухають цифрову економіку, є високою та складною, але необхідною справою, що вимагає постійної співпраці між державним і приватним секторами. Останній звіт ONCD є надійним наступним кроком у формулюванні стратегії; однак для реалізації бачення потрібно більше волі. Перехід на безпечні для пам’яті мови кодування для нових програм і оновлення застарілого коду є величезними проблемами. Проте прогрес досягається завдяки останнім досягненням у аналізі програмного забезпечення та технологіям компілятора та зобов’язанням, продемонстрованим багатьма світовими технологічними лідерами.

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
• джерело: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs