首页 > 其他分享 >美国国家安全局督促弃用 C/C+,使用更安全的 Rust、C#等!

美国国家安全局督促弃用 C/C+,使用更安全的 Rust、C#等!

时间:2022-11-16 16:49:21浏览次数:73  
标签:弃用 语言 漏洞 C++ 安全 美国国家安全局 内存 Rust

美国国家安全局督促弃用 C/C+,使用更安全的 Rust、C#等! 投递人 itwriter 发布于 2022-11-15 18:18 评论(0) 有1457人阅读 原文链接 [收藏] « »

  作者苏宓

  出品 CSDN(ID:CSDNnews)

  如果说此前 Kotlin、Dart、Julia、Carbon 等后起之秀向老牌编程语言发起挑战进攻都是小打小闹,那么这一次 C、C++ 这几种常青藤编程语言则是真实地陷入了尴尬的境地。

  近日,美国国家安全局(NSA)发布了最新的指南,鼓励多个组织将编程语言从 C/C++ 转为使用内存安全的语言,如 C#、Rust、Go、Java、Ruby 和 Swift,主要原因是这样可以帮助软件开发者和使用者预防并缓解软件内存安全问题,这些问题占可利用漏洞的很大一部分。

  安全的第一大“杀手”——内存漏洞

  一直以来,内存安全的漏洞引起多个企业与开发者的警觉。

  根据长期关注内存漏洞的开发者 @LazyFishBarrel 的统计,苹果公司的 iOS 和 macOS 系统中 60%-70% 的漏洞是内存安全漏洞。

  微软在 2019 年的一次会议上透露,从 2006 年到 2018 年,其发现的 70% 的漏洞都是因内存安全问题造成的。

  据 Google 估计,Chrome 中存在了类似比例的内存安全漏洞,另外 90% 的 Android 系统漏洞也都是内存安全问题。

  为此,NSA 认为,黑客极有可能会利用代码中管理不善的内存漏洞,而这种漏洞在程序员使用灵活性更高的编程语言时更容易出现。于是,其最新发布了《软件内存安全之网络安全信息指南》时,写道,「黑客可以利用这些漏洞进行远程代码执行或其他不利影响,这通常会危及设备,并且成为大规模网络入侵的第一步」,因此 NSA 建议各个组织尽可能使用内存安全语言,并通过代码强化防御(如编译器选项、工具选项和操作系统配置)来增强保护。

  NSA 网络安全技术总监 Neal Ziring 表示,在开发消除此类漏洞的软件时,必须始终使用内存安全语言和其他保护措施。

  C、C++ 成为重灾区

  在 NSA 看来,我们常用的编程语言如 C 和 C++,在内存管理方面提供了很大的自由度和灵活性,但用这种语言开发的应用程序的安全性很大程度上需要依赖程序员的测试、检测环节。

  不过,只要程序员自身稍微有些疏忽,简单的 Bug 也会带来严重的内存漏洞。

  虽然当前行业中有很多软件分析工具能够检测到许多内存管理问题,操作环境选项也可以提供一些保护,但内存安全软件语言所提供的固有保护可以防止或减轻大多数内存管理问题。

  针对这一问题,几年前,微软云开发推广部的 Ryan Levick 在分享微软为什么要从 C/C++ 转向 Rust 时,也曾直言,「无论软件公司在工具和人员的培训上投入多少精力也不能解决问题,因为 C++ 本质上就不是安全的语言」。他表示:“我们使用的语言由于年代久远、来自不同时代,无法为我们提供保护,让我们免受此类漏洞攻击。C++ 不是一种内存安全的语言,相信这一点无人有异议。”

  近日来,微软 Azure CTO Mark Russinovich 也再次呼吁,「是时候停止使用  C/C++ 启动任何新项目」。

  然而,众所周知,C 和 C++ 是编写核心系统软件的默认语言。这两门编程语言速度快,而且源代码可以直接汇编成机器语言。

  虽然一边有很多企业高管呼吁不要用,但另一边也有很多人不信邪,不愿相信 C、C++ 语言的不足之处。

  为此,有人称,“只要你不使用从 C 继承的任何功能,C++ 就是安全的”,亦或者“只要遵从现代 C++ 的类型和管用做法,就不会引发内存方面的漏洞”。针对这一争论,科技圈中有开发者现身说法,根据自身在大型 C++ 项目上(遵从现代的惯用做法)的开发经验,发表了《现代 C++ 救不了程序员》一文,用实例证明 C++ 提供的类型完全不能阻止漏洞的泛滥。

  另外,也有人提出质疑,“为什么非要弃用 C、C++ 呢,有什么理由不能在 C、C++ 编译器中强制执行内存安全吗?”

  针对这一点,有开发者进行回应:

  这在以前就已经尝试过了。

  但挑战是双重的。首先,如果在编译器强制执行内存安全,范围也只能局限在编译器上。然而,真正的内存安全实际上是(至少)线程安全、空值安全和类型安全,以及大多数人所想的原始边界检查等各个方面。除非你打算进入托管语言领域(Managed Language)并引入 GC,否则你需要语言级别的结构来允许程序员在这些新的边界内有效工作。例如,在 Rust 中,这就是 "所有权 "系统。

  第二点是,如果总是把语言功能限制在一些有限的、更安全的范围内,或者用一些自定义的东西取代核心功能(例如 malloc 或编译器)。这就把你能使用的库限制在那些使用功能集的库上,并要求你无限期地维护这些核心功能。即便如此,你也不会得到 "真正的 "安全,因为这取决于每个人都很小心、不使用错误的功能、编译器,而你又非常确定你的核心实现本身是安全的。

  因此,如果你全力以赴,与其需要一个特定的编译器,再加上一套不同的核心语言特性,再加上你需要确保所有的支持库都符合要求,再加上需要为静态分析和编译工具链定制支持工具,倒不如直接用一种新的语言,Rust 便是不错的选择。

  Rust 是未来,但任重而道远

  「弃用 C、C++,扶持 Rust」的争论经过几年的发酵持续到现在,愈演愈烈。与此同时,推动软件开发向使用内存安全语言发展的队伍也从最初微软、Google、亚马逊等大厂的倡议,逐渐拓展到具体的开发者们以及学术界,现如今也包括了 NSA 在列。

  NSA 表示,使用内存安全语言可以帮助防止程序员引入某些类型的内存相关问题。

  内存是作为计算机语言的一部分自动管理的,它不依赖于程序员添加代码来实现内存保护。内存管理通常是使用编译和运行时检查机制来实时自动保护。使用更加安全的语言,如 C#、Go、Java、Ruby、Rust、和 Swift 等语言,可以一定程度上保护程序员不会无意中引入内存管理错误。

  不过,罗马并非一日之功。

  要想用 Rust 将 C、C++ 取而代之,也需要很长的一段时间,为此 C++ 之父 Bjarne Stroustrup 在回应 C++ 与 Rust 之争时分享道,“直接替换 C++ 代码,或者让它们变得更加安全都是一项非常艰巨的任务,需要逐步慢慢地才能做到这一点。否则大量不安全的 C++ 代码将会永远存在。”

  网络安全公司 Acronis 的 CISO Kevin Reed 在接受外媒 The  Register 采访时也说道,“多年来,使用 C 和 C++ 编写的代码数量巨大,即使我们明天都开始使用 Rust 和 Go,也需要几十年的时间才能清理这个烂摊子。” 

  参考资料:

https://langui.sh/2021/12/13/apple-memory-safety/

https://www.theregister.com/2022/11/11/nsa_urges_orgs_to_use/

https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3215760/nsa-releases-guidance-on-how-to-protect-against-software-memory-safety-issues/

https://media.defense.gov/2022/Nov/10/2003112742/-1/-1/0/CSI_SOFTWARE_MEMORY_SAFETY.PDF

标签:弃用,语言,漏洞,C++,安全,美国国家安全局,内存,Rust
From: https://www.cnblogs.com/sexintercourse/p/16896418.html

相关文章

  • k8s“弃用docker”是怎么回事儿?(chrono《kubernetes入门实战课》笔记整理)
      来自俺自己的一句话:这是一个扩展了解,个人觉得对于理解docker,k8s关系,还有各厂之间的竞争、技术演化的理解是有帮助的。所以还是做了一篇笔记。 2014年,docker在容器......
  • GUI in Rust with iced #1: Getting Started
    https://nikolish.in/gs-with-iced-1 GUIinRustwithiced#1:GettingStartedJune13,2022 rust iced iced-tutorialHeyrustaceans!Youareherepr......
  • GUI in Rust with iced #2: Composable Layout
    https://nikolish.in/gs-with-iced-2GUIinRustwithiced#2:ComposableLayoutJune21,2022 rust iced iced-tutorialThisisthenextissueofmyser......
  • 01.Rust基础
    一、简介Rust是一种预编译静态语言,这意味着你可以编译程序并将可执行文件发送给其他人。二、安装Windows直接去官网下载相关软件程序包即可。它可使用IDE软件进行开发。......
  • Rust所有权
    有的语言完全使用手动内存管理,程序员必须负责向分配器归还它们申请的空间,也就是说,必须要有一个free操作对应着一个allocate操作。另一些语言使用自动内存管理系统(俗称GC),它......
  • RUST包管理 模块系统讲解
    RUST包管理模块系统0一些基本概念package:包,cargonew生成的整个项目应该可以叫做包(我个人理解是这样的,至少package是最顶层的)一个package包含零个或一个库crate(lib......
  • rust基础学习
    rust基础学习rust环境配置rust在线工具:https://play.rust-lang.org/如果还没有安装C/C++编译环境,需要先进行安装(可以选择安装visualstudio)Rustup在Windows上是一个可......
  • 34 Must Know Terms for Embedded Rust Newbies
    https://apollolabsblog.hashnode.dev/34-must-know-terms-for-embedded-rust-newbies WhenIfirststartedoutinembeddedRustandengagedwiththecommunity,I......
  • 弃用Node Sass,以 Dart Sass 代替
    之前安装sass是本地安装Ruby的,现在改成下面(官网:https://sass-lang.com/)npminstall-gsass之前在项目中安装sass是这样的:npminstallsassnode-sasssass-loader-......
  • rust 基础 —— Option 的 as_ref 与 as_deref
    代码:fnhello(name:&String){println!("Nameis{}",name);}fngreet(name:&str){println!("Nameis{}",name);}fnmain(){letoption_name......