评论
最近发表的《回到构建模块白宫国家网络主任办公室 (ONCD) 的“迈向安全和可衡量软件之路”提供了更多细节和战略方向,支持 国家网络安全战略 该战略于 2023 年 XNUMX 月发布。该战略旨在将更多的网络安全责任转移给软件供应商、服务提供商和其他开发软件应用程序的实体。这份最新报告强调了积极转变,提供了更具体的方向 内存安全的编程语言 与软件开发实践。
内存安全势在必行
传统编程语言往往是软件开发中的薄弱环节,内存安全漏洞导致重大事件。尽管进行了全面的代码审查和其他安全措施,这些漏洞仍然存在,占这些语言中高达 70% 的安全问题。根据网络安全和基础设施安全局 (CISA) 路线图的建议,转向内存安全编程语言是开发设计安全的软件的关键一步。
应对遗留系统的复杂性
这一战略转变中最艰巨的挑战之一是解决用 C 和 C++ 开发的遗留系统的问题。这些遗留系统不仅数量众多,而且通常对许多组织的运营至关重要。用现代的内存安全语言重写这些系统可能既昂贵又复杂,从而导致关键业务流程停机。
此外,内存安全漏洞主要出现在操作系统级别,影响 Microsoft 和 Linux 等重要平台。这种运行时级别而不是应用程序级别的问题分类强调了网络安全中更广泛的挑战:对先进安全措施的追求必须与实施这些更改的实用性和成本进行平衡,特别是对于已建立的系统。
经济和技术考虑
许多组织面临着与检修旧系统相关的巨额成本。改变编码协议不仅是一项技术决策,也是确保未来数字基础设施安全的战略决策。因此,决策者在考虑何时进行转型时必须评估直接的财务和运营影响与长期利益。
幸运的是,技术创新已经开发出来,可以降低过渡到更安全代码的成本和中断。例如,代码分析工具可以分析遗留应用程序,并半自主地识别 C 或 Python 代码在没有适当隔离的情况下运行的实例。而且由于编译器技术的最新进展,如果用较旧的语言编写,即使是最坏情况的不安全编码实践也可以受到保护。这些发展应该会显着减少任何规模的组织采用安全编码实践的障碍。
共同努力创造安全的未来
政策制定者和供应商必须密切合作,以平衡增强安全性和维护基本软件服务。正如 ONCD 所建议的那样,采用内存安全的编程语言是这一旅程中的关键一步,也是推进我们集体网络安全不可或缺的一部分。
一些行业领导者已经对内存安全语言进行了大量投资。示例包括:
-
Mozilla 的 Rust 编程语言: Rust 强调内存安全,为传统编程语言提供了可靠的替代方案,将安全性和性能结合在一起。
-
微软对 Rust 的投资: 认识到旧语言存在局限性,微软已经接受了 Rust,并将其用于几个关注内存安全的新项目中。
-
Google 的内存安全工作: 谷歌投入了大量资源来查找和缓解内存安全漏洞,并呼吁在新开发中使用内存安全语言。上周,谷歌发布了一份新的研究报告,《设计安全:谷歌对内存安全的看法》,倡导安全设计策略。该报告重点关注采用具有强大内存安全功能的语言,并承认不断发展的 C++ 以满足这些标准的局限性。
前进:满足 ONCD 建议的实际步骤
最新的 ONCD 报告中的道路充满挑战,但充满机遇。它要求软件开发和网络安全生态系统中的所有参与者采取实际步骤,包括:
-
教育和培训: 组织必须致力于向其团队传授有关内存安全语言和安全开发实践的知识,确保开发人员能够做出必要的更改。
-
逐步过渡计划: 组织应该制定计划,将遗留系统过渡到内存安全且可管理的语言。他们应该首先解决最关键的领域,然后缓慢地分阶段实施该项目,以最大程度地减少运营中断。
-
利用自动化工具: 组织应该使用现代代码分析工具和编译器来自动查找和修复不安全的代码实践,同时减轻手动流程的负担。
-
政策和治理: 组织必须开发明确的治理结构,在整个软件开发生命周期中融入内存安全和安全开发实践。
-
社区与协作: 重要的是,组织应该在论坛、合作伙伴关系和开源项目中走出自己的围墙和更广泛的技术社区,分享这一旅程中围绕内存安全的知识、挑战和解决方案。
改善 应用程序中的安全性 推动数字经济是一项崇高、复杂但必要的事业,需要公共和私营部门之间的持续合作。 ONCD 的最新报告是阐明该战略的坚实的下一步;然而,要实现这一愿景还需要更多的意愿。为新应用程序过渡到内存安全的编码语言和更新遗留代码是巨大的挑战。然而,随着软件分析和编译器技术的最新进展以及许多全球技术领导者所做出的承诺,正在取得进展。
- :具有
- :是
- :不是
- :在哪里
- $UP
- 13
- 14
- 2023
- 7
- 8
- 9
- a
- 关于
- 基本会计和财务报表
- 演员
- 额外
- 地址
- 解决
- 采用
- 高级
- 进步
- 进步
- 前进
- 建议
- 主张
- 影响
- 驳
- 机构
- 侵略性
- 所有类型
- 已经
- 还
- 替代
- an
- 分析
- 分析
- 和
- 和基础设施
- 任何
- 应用领域
- 应用领域
- 保健
- 地区
- 围绕
- AS
- 相关
- At
- 自动
- 自动化和干细胞工程
- 当前余额
- 均衡
- 障碍
- BE
- 因为
- 很
- 作为
- 好处
- 之间
- 带来
- 更广泛
- 建筑物
- 负担
- 商业
- 但是
- by
- C + +中
- 呼叫
- 被称为
- CAN
- 挑战
- 挑战
- 挑战
- 更改
- 改变
- 圆
- 密切
- 码
- 编码
- 合作
- 合作
- 共同
- 集体
- 如何
- 承诺
- 承诺
- 社体的一部分
- 复杂
- 复杂性
- 全面
- 关心
- 大量
- 注意事项
- 考虑
- 结构体
- 价格
- 成本
- 创建信息图
- 危急
- 关键
- 网络
- 网络安全
- 决定
- 决策者
- 需求
- 证明
- 设计
- 尽管
- 细节
- 开发
- 发达
- 开发
- 发展
- 研发支持
- 发展
- 数字
- 数字经济
- 方向
- 副总经理
- 瓦解
- 停机
- 驾驶
- 经济
- 经济
- 生态系统
- 努力
- 工作的影响。
- 拥抱
- 拥抱
- 重点
- 强调
- 加强
- 巨大
- 确保
- 保证
- 实体
- 特别
- 必要
- 成熟
- 评估
- 甚至
- 演变
- 例子
- 昂贵
- 面部彩妆
- 特征
- 金融
- 找到最适合您的地方
- 寻找
- 姓氏:
- 重点
- 针对
- 强大
- 论坛
- 向前
- 频繁
- 止
- 未来
- 全球
- 谷歌
- 治理
- 更大的
- 有
- 别墅
- 但是
- HTTPS
- ICON
- 鉴定
- if
- 即时
- 影响
- 势在必行
- 实施
- 重要的
- in
- 包括
- 包含
- 行业中的应用:
- 基础设施
- 创新
- 例
- 积分
- 拟
- 成
- 投资
- 投资
- 投资
- 隔离
- 问题
- IT
- 它的
- 旅程
- JPG
- 知识
- 语言
- 语言
- 名:
- 最新
- 领导人
- 领导
- 遗产
- Level
- 生命周期
- 喜欢
- 限制
- 友情链接
- Linux的
- 崇高的
- 长期
- 制成
- 维护
- 使
- 管理
- 手册
- 许多
- 地图
- 三月
- 措施
- 满足
- 内存
- 微软
- 大幅减低
- 缓解
- 现代
- 更多
- 最先进的
- 移动
- 许多
- 必须
- National
- 导航
- 必要
- 打印车票
- 全新
- 下页
- 众多
- of
- 优惠精选
- 办公
- 经常
- 老年人
- on
- 一
- 正在进行
- 仅由
- 打开
- 开放源码
- 操作
- 操作系统
- 操作
- 运营
- ZAP优势
- or
- 组织
- 其他名称
- 我们的
- 学校以外
- 合作伙伴关系
- 径
- 性能
- 透视
- 相
- 计划
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 实用
- 做法
- 主要
- 私立
- 过程
- 代码编程
- 编程语言
- 进展
- 项目
- 项目
- 正确
- 保护
- 协议
- 供应商
- 提供
- 国家
- 出版物
- 追求
- 蟒蛇
- 宁
- 达到
- 实现
- 最近
- 认识
- 建议
- 建议
- 减少
- 减少
- 发布
- 报告
- 研究
- 资源
- 责任
- 导致
- 导致
- 评论
- 重写
- 丰富
- 路
- 健壮
- 运行
- 运行
- 锈
- s
- 安全
- 更安全
- 实现安全
- 行业
- 安全
- 保安
- 保安措施
- 服务
- 服务供应商
- 特色服务
- 几个
- Share
- 转移
- 应该
- 显著
- 显著
- 尺寸
- 慢慢地
- 软件
- 软件开发
- 固体
- 解决方案
- 来源
- 具体的
- 标准
- 步
- 步骤
- 善用
- 策略
- 支持
- 系统
- 产品
- 教诲
- 队
- 科技
- 文案
- 技术性
- 技术
- 专业技术
- 比
- 这
- 未来
- 其
- 博曼
- 他们
- Free Introduction
- 始终
- 至
- 工具
- 对于
- 传统
- 产品培训
- 过渡
- 过渡
- 下划线
- 承担
- 更新
- 使用
- 用过的
- 运用
- 厂商
- 与
- 愿景
- 漏洞
- 是
- 弱
- 周
- ,尤其是
- 而
- 白色
- 白宫
- 将
- 中
- 也完全不需要
- 书面
- 和风网