Agensi keselamatan siber dan infrastruktur AS (CISA) dan biro penyiasatan Persekutuan (FBI) sedang menganda usaha kepada pengeluar perisian untuk berhenti mengguna bahasa pengaturcaraan “memori-tidak-selamat” seperti C dan C++. Kerana adalah berbahaya dan berisiko kepada keselamatan negara, keselamatan ekonomi negara dan kesihatan dan keselamatan awam negara.
CISA memberitahu bahawa kelemahan keselamatan memori menyumbang 70 peratus daripada kelemahan keselamatan. CISA mengesyor agar pembangun beralih kepada bahasa pengaturcaraan yang selamat memori seperti rust, java, c#, go, python dan swift. Bahasa-bahasa ini menggabung perlindungan terbina terhadap ralat berkaitan memori biasa menjadi lebih selamat.
Tetapi
Menukar pangkalan kod besar sedia ada kepada bahasa selamat memori boleh jadi satu usaha yang besar. Ia memakan masa, intensif sumber, memerlu perancangan teliti untuk mengekal kefungsian.
Bahasa selamat memori mungkin berprestasi lebih perlahan berbanding dengan bahasa C dan C++.
Kelebihan mengguna bahasa-bahasa yang berusia berdekad-dekad kerana pembangun boleh menghasil program terpantas. Antara pilihan kelajuan dan keselamatan, pengaturcara dan syarikat mengguna kod terpantas setiap kali.
Selain kos penghijrahan, syarikat juga menghadapi perbelanjaan untuk menganti alat pembangunan sedia ada, penyahpepijat dan rangka kerja ujian untuk menyokong bahasa baharu. Sudah semesti mengintegrasi program baharu kepada kod dan perpustakaan lama.
CISA berpendapat bahawa faedah jangka panjang dari segi pengurangan kelemahan dan keselamatan dipertingkat melebihi pelaburan awal. Ia bebenar idea bagus tetapi tidak dilakukan dekad ini.
Pada tahun 2024 CISA bersama agensi rakan kongsi termasuk FBI, pusat keselamatan siber Australia direktorat isyarat Australia dan pusat keselamatan siber Kanada atau Five Eyes menerbit laporan “meneroka keselamatan memori dalam projek sumber terbuka yang kritikal” menganalisis 172 projek sumber terbuka yang kritikal.
Penemuan mendedah bahawa lebih separuh daripada projek ini mengandungi kod yang ditulis dalam bahasa yang tidak selamat memori, menyumbang 55 peratus daripada jumlah baris kod merentas projek yang diperiksa. Khusus, “bahasa yang tidak selamat memori memerlu pembangun mengurus penggunaan dan peruntukan memori dengan betul. Kesilapan yang tidak dapat dielak boleh mengakibat kelemahan keselamatan memori seperti limpahan penimbal dan guna selepas percuma.”
Eksplotasi yang berjaya terhadap jenis kelemahan ini boleh membenarkan musuh untuk mengawal perisian, sistem dan data.
rujukan
The US government wants developers to stop using C and C++
https://www.theregister.com/2024/11/08/the_us_government_wants_developers