Новый отчёт АНБ/CISA вновь призывает к использованию языков программирования, безопасных в отношении памяти.

Агентство США по кибербезопасности и инфраструктурной защите (CISA) и Национальное агентство безопасности (NSA) на этой неделе опубликовали руководство, призывающее разработчиков программного обеспечения использовать языки программирования, обеспечивающие безопасность памяти. "Важность безопасности памяти невозможно переоценить", – говорится в межведомственном отчете.

Отчет CISA/NSA возвращается к обоснованию повышения безопасности памяти и призывам правительства к принятию языков программирования с безопасной памятью (MSL), одновременно признавая, что не каждое ведомство может сменить направление в середине процесса. "Сбалансированный подход признает, что MSL не являются панацеей и что переход сопряжен со значительными трудностями, особенно для организаций с большими существующими кодовыми базами или критически важными системами", – говорится в отчете. "Однако несколько преимуществ, таких как повышение надежности, уменьшение поверхности атаки и снижение долгосрочных затрат, убедительно свидетельствуют в пользу внедрения MSL".

В отчете отмечается, что к 2024 году компании Google удалось снизить количество уязвимостей, связанных с безопасностью памяти в Android, до 24% от общего числа. Далее приводится обзор различных преимуществ внедрения MSL и обсуждаются проблемы, связанные с их внедрением. Также призывается технологическая индустрия продвигать безопасность памяти, например, путем размещения вакансий, требующих опыта работы с MSL.

В отчете также упоминаются различные государственные проекты, направленные на ускорение перехода к MSL, такие как программа Defense Advanced Research Projects Agency (DARPA) Translating All C to Rust (TRACTOR), которая стремится разработать автоматизированный метод перевода кода на языке C на Rust. Недавняя инициатива в этом направлении, получившая название Omniglot, была предложена исследователями из Принстонского университета, Калифорнийского университета в Беркли и Калифорнийского университета в Сан-Диего. Она обеспечивает безопасный способ взаимодействия небезопасных библиотек с кодом на Rust через Foreign Function Interface.

“Уязвимости, связанные с памятью, представляют серьезную угрозу национальной безопасности и критической инфраструктуре”, – заключает отчет. “MSL предлагают наиболее полное решение для смягчения этого распространенного и опасного класса уязвимостей”.

“Внедрение языков программирования с безопасной памятью может ускорить современную разработку программного обеспечения и повысить безопасность за счет устранения этих уязвимостей в корне”, – заключает отчет, называя эту идею “инвестицией в безопасное программное будущее”.

“Определяя дорожные карты безопасности памяти и внедряя передовые методы, организации могут значительно повысить устойчивость программного обеспечения и обеспечить более безопасную цифровую среду”.