מקור:
https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf
משהו מעניין שצץ בזמן האחרון זה הפרסום של הבית הלבן בנוגע לתכנית הסייבר הלאומית של ארה”ב.
בעניינו זה לא משהו מיוחד כל כך כן?
אז מה מעניין?
מתוך הפרסום:
Memory safety vulnerabilities are a class of vulnerability affecting how memory can be accessed,
written, allocated, or deallocated in unintended ways.iii Experts have identified a few programming
languages that both lack traits associated with memory safety and also have high proliferation
across critical systems, such as C and C++.iv Choosing to use memory safe programming languages
at the outset, as recommended by the Cybersecurity and Infrastructure Security Agency’s (CISA)
Open-Source Software Security Roadmap is one example of developing software in a secure-bydesign manner.v
לפני כמה זמן כתבתי על חולשות מוכרות ורוב החולשות הגדולות היו בעיות זיכרון -
תדמיינו לכם שה-API
שלכם בכל בקשה יוצר איזו מחלקה שלוקחת לכם קילו בייט אחד.
על פניו - לא כזה קריטי.
אבל תוקף יכול לנצל את זה ולשלוח לא בקשה אחת אלה מיליון כאלו… עכשיו אתם זולגים כבר ג’יגות ולא רק קילו בייט.
אז הבית הלבן מזהיר ששפות תוכנה שקל לפשל בהן כמו C++ הן לא מומלצות.
מצד אחד ניכר שהם מנסים לעשות בשכל וממליצים באופן כללי לרדת משפות פיתוח שלירות לעצמכם ברגל קל מדי שם - וC++ עושה את החיים קלים מדי כדי לירות לעצמכם ברגל.
מצד שני הם נטו באופן מאוד כללי לכיוון של “תשתמשו במשהו בטוח כי זה קל יותר”.
שזוהי לא דעה מקצועית כלל - מגוון ספריות וטכנולוגיות כתובות בC++ מסיבות נכונות, כמו פיתוח REAL TIME
וEMBEDDED
.
זהו עוד מסמך שמרים את הדגל האדום על כמה נושאי פיתוח חשובים:
ומה אתם חושבים?
כנסו לשרת הדיסקורד ותביאו דעה: