Lai uzlabotu valsts kiberdrošību, Baidena administrācija mudina izstrādātājus izmantot programmēšanas valodas, kas ir drošas atmiņai, vienlaikus atsakoties no tām, kurām ir tendence uz atmiņas piekļuves ievainojamību, piemēram, C un C++.
Pirmdien publicētajā ziņojumā Nacionālā kiberdirektora (ONCD) Baltā nama birojs uzsvēra, ka izstrādātājiem ir būtiski jāsamazina kiberuzbrukumu risks, iekļaujot programmēšanas valodas, kurās nav atmiņas drošības nepilnību. Administrācija apgalvo, ka, pieņemot atmiņai drošas programmēšanas valodas, tehnoloģiju uzņēmumi var aktīvi apturēt ievainojamību ieplūšanu digitālajā vidē.
Atmiņai drošas programmēšanas valodas nodrošina aizsardzību pret programmatūras kļūdām un ievainojamībām, kas saistītas ar piekļuvi atmiņai, tostarp bufera pārpildīšanu, nolasīšanu ārpus robežām un atmiņas noplūdēm. Jaunākie nozares gigantu Microsoft un Google pētījumi liecina, ka aptuveni 70 procenti no visām drošības ievainojamībām izriet no atmiņas drošības problēmām.
Nacionālais kiberdirektors Harijs Kokers uzsvēra, ka valstij ir obligāti jāizmanto iespēja un jāuzņemas atbildība par uzbrukuma virsmas samazināšanu kibertelpā.
“Mums kā nācijai ir iespēja — un atbildība — samazināt uzbrukuma virsmu kibertelpā un novērst veselu klašu drošības kļūdu iekļūšanu digitālajā ekosistēmā, taču tas nozīmē, ka mums ir jārisina sarežģītā problēma, kas saistīta ar pāreju uz programmēšanu, kas ir droša atmiņā. valodas,” sacīja Kokers.
Pievienojoties korim, ASV Kiberdrošības un infrastruktūras drošības aģentūra (CISA) septembra emuāra ierakstā atkārtoja aicinājumu pieņemt programmēšanas valodas, kas ir drošas atmiņai. Sadarbībā CISA kopā ar FIB, ASV Nacionālo drošības aģentūru un sabiedrotajām aģentūrām decembrī izdeva ziņojumu “Atmiņai drošas ceļveža gadījums”, atbalstot šo paradigmas maiņu.
Jaunākajā 19 lappušu garajā ONCD ziņojumā norādīts, ka C un C++ ir galvenie programmēšanas valodu piemēri, kurās ir atmiņas drošības ievainojamības, vienlaikus slavējot Rust kā drošas alternatīvas piemēru. Turklāt 2022. gada novembra NSA kiberdrošības informācijas lapā tika atbalstītas papildu valodas, kas ir drošas atmiņai, tostarp C#, Go, Java, Ruby un Swift, kā arī Rust.
Neskatoties uz C++ un C izplatību programmēšanas vidē, kas 2023. gadā veido attiecīgi 22 procentus un 19 procentus programmatūras programmētāju, Statista statistika liecina, ka to popularitāte samazinās, salīdzinot ar tādām valodām kā JavaScript, Python un Java. Jāatzīmē, ka TIOBE programmēšanas kopienas indekss tikai Python ierindo kā izplatītāku, un C, C++ un Java cieši atpaliek.
Federālās aģentūras sistēmas joprojām darbojas 65 gadus vecajā COBOL valodā, un tagad tās sabrūk
Tomēr šī ziņojuma ironija slēpjas tajā, ka federālā valdība paļaujas uz 65 gadus veco COBOL valodu. Neskatoties uz Baltā nama aicinājumu modernizēt programmatūru, ievērojama daļa ASV federālo aģentūru sistēmu joprojām darbojas ar COBOL, liecina Valdības pārskatatbildības biroja 2016. gada ziņojums.
Saskaņā ar citu ZoomInfo ziņojumu COBOL, ilgstoša relikvija, kas izstrādāta 1959. gadā, joprojām ir dziļi iesakņojusies vairāk nekā simts federālo aģentūru sistēmās, pildot kritiskās funkcijas dažādos departamentos, tostarp Veterānu lietu departamentā, Tieslietu departamentā un Sociālā nodrošinājuma pārvaldē. . Pat 45 no 50 štatiem un Kolumbijas apgabals turpina paļauties uz COBOL savās darbībās.
Citā 2018. gada ziņojumā, ko sniedza Sociālā nodrošinājuma administrācijas ģenerālinspektors, konstatēts, ka administrācija uztur vairāk nekā “60 miljonus COBOL rindu” ar “miljoniem vairāk rindu citu mantoto programmēšanas valodu”. Ģenerālinspektors mudināja administrāciju modernizēt savas sistēmas.
Džozefs Šteinbergs, kiberdrošības eksperts, uzsvēra COBOL vēsturisko nozīmi biznesa sistēmu veidošanā 60., 70. un 80. gados. Tomēr laika gaitā kodēšanas kopiena ir pakāpeniski novirzījusies no šīs novecojošās valodas, ko pasliktina gados jaunu programmētāju trūkums, kas pārzina COBOL, jo kopš 80. gadiem tā ir izslēgta no daudzām universitāšu datorzinātņu mācību programmām.
“Tā ir programmēšanas valoda, kas tika izmantota, lai izveidotu ļoti ievērojamu daļu biznesa sistēmu 60., 70. un pat 80. gados,” CNN sacīja kiberdrošības eksperts Džozefs Steinbergs.
Steinbergs turpināja: “COBOL programmētāju kopums parasti ir daudz vecāks par kodētāja vidējo vecumu,” piebilstot, ka “daudzas Amerikas universitātes savās datorzinātņu programmās nav mācījušas COBOL kopš 80. gadiem.”
