March 12, 2024

הבית הלבן וההמלצות לבטיחות במרחב הסייבר

המלצות הבית הלבן במרחב הסייבר

מקור:
https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf

משהו מעניין שצץ בזמן האחרון זה הפרסום של הבית הלבן בנוגע לתכנית הסייבר הלאומית של ארה”ב.
בעניינו זה לא משהו מיוחד כל כך כן?

אז מה מעניין?
מתוך הפרסום:

Memory safety vulnerabilities are a class of vulnerability affecting how memory can be accessed,
written, allocated, or deallocated in unintended ways.iii Experts have identified a few programming
languages that both lack traits associated with memory safety and also have high proliferation
across critical systems, such as C and C++.iv Choosing to use memory safe programming languages
at the outset, as recommended by the Cybersecurity and Infrastructure Security Agency’s (CISA)
Open-Source Software Security Roadmap is one example of developing software in a secure-bydesign manner.v

לפני כמה זמן כתבתי על חולשות מוכרות ורוב החולשות הגדולות היו בעיות זיכרון -
תדמיינו לכם שה-API שלכם בכל בקשה יוצר איזו מחלקה שלוקחת לכם קילו בייט אחד.
על פניו - לא כזה קריטי.

אבל תוקף יכול לנצל את זה ולשלוח לא בקשה אחת אלה מיליון כאלו… עכשיו אתם זולגים כבר ג’יגות ולא רק קילו בייט.

אז הבית הלבן מזהיר ששפות תוכנה שקל לפשל בהן כמו C++ הן לא מומלצות.

מה הדעה שלי על זה?

מצד אחד ניכר שהם מנסים לעשות בשכל וממליצים באופן כללי לרדת משפות פיתוח שלירות לעצמכם ברגל קל מדי שם - וC++ עושה את החיים קלים מדי כדי לירות לעצמכם ברגל.
מצד שני הם נטו באופן מאוד כללי לכיוון של “תשתמשו במשהו בטוח כי זה קל יותר”.
שזוהי לא דעה מקצועית כלל - מגוון ספריות וטכנולוגיות כתובות בC++ מסיבות נכונות, כמו פיתוח REAL TIME וEMBEDDED.

אז מה כן טוב במסמך הזה?

זהו עוד מסמך שמרים את הדגל האדום על כמה נושאי פיתוח חשובים:

  • תיקון טעויות ושימוש בקוד “בטוח” יותר - הן לוגים, הן משימוש במשאבים והן מזליגות חמורות של זיכרון.
  • הצעה למטריקות וסטנדרט איכות מבחינת אבטחת תוכנה.
    חברות רבות “מקפצות” מעל השלב הזה ומוציאים מוצרים לשוק לא מאובטחים זה היה ניכר מאוד בפריצות רדיו לרכבים חשמליים, או בבאגים חמורים במערכות רפואיות.
  • המסמך מאשים את כלל הצדדים בתקלות אבטחה - בדרך כלל זה רק מומחה האטבחה אבל כאן הם באים ומציעים שגם מי שאחראי על קניית התוכנה ובנייתה הם אחראים על ווידוא תקינות.

ומה אתם חושבים?
כנסו לשרת הדיסקורד ותביאו דעה:

https://discord.gg/T9bRX7969r

על הפוסט

הפוסט נכתב על ידי Ilya, רישיון על ידי CC BY-NC-ND 4.0.

שתפו את הפוסט

Email Facebook Linkedin Print

קנו לי קפה

#Cyber#Sofwater#Security