KOMMENTÁR
A közelmúltban megjelent „Vissza az építőkockákhoz: A Path To To Secure and Measurable Software” (Út a biztonságos és mérhető szoftver felé) című kiadvány, amelyet a Fehér Ház Nemzeti Kiberigazgatójának (ONCD) irodája készített, további részleteket és stratégiai iránymutatást nyújt a Nemzeti Kiberbiztonsági Stratégia 2023 márciusában jelent meg. A stratégia a kiberbiztonsággal kapcsolatos felelősség jóval nagyobb részét kívánja áthárítani a szoftverszállítókra, szolgáltatókra és más, szoftveralkalmazásokat fejlesztő entitásokra. Ez a legutóbbi jelentés konkrétabb irányt ad azáltal, hogy hangsúlyozza az agresszív elmozdulást memóriabiztos programozási nyelvek szoftverfejlesztési gyakorlattal.
A memória biztonsága elengedhetetlen
A hagyományos programozási nyelvek gyakran a gyenge láncszem a szoftverfejlesztésben, és a memória biztonsági rései jelentős incidensekhez vezetnek. Az átfogó kódellenőrzések és egyéb biztonsági intézkedések ellenére ezek a sérülékenységek továbbra is fennállnak, és az ezeken a nyelveken előforduló biztonsági problémák 70%-át teszik ki. A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) ütemtervében foglaltak szerint a memóriabiztos programozási nyelvek felé való elmozdulás kritikus lépés a tervezésileg biztonságos szoftverek fejlesztése felé.
Navigáció a régi rendszer bonyolultságai között
Ennek a stratégiai váltásnak az egyik legijesztőbb kihívása a C és C++ nyelven kifejlesztett örökölt rendszerek kezelése. Ezek az örökölt rendszerek nemcsak számosak, hanem gyakran kritikus fontosságúak számos szervezet működése szempontjából. Ezeknek a rendszereknek a modern, memóriabiztos nyelveken való átírása költséges és bonyolult lehet, ami a kritikus üzleti folyamatok leállását eredményezheti.
Ezen túlmenően, a memória biztonsági réseit elsősorban az operációs rendszer szintjén figyelték meg, és olyan jelentős platformokat érintenek, mint a Microsoft és a Linux. A problémáknak ez a futásidejű, nem pedig az alkalmazás szintjén történő kategorizálása rávilágít a kiberbiztonság szélesebb körű kihívására: a fejlett biztonsági intézkedésekre való törekvésnek egyensúlyban kell lennie e változtatások végrehajtásának gyakorlati szempontjaival és költségeivel, különösen a bevett rendszerek esetében.
Gazdasági és műszaki megfontolások
Sok szervezetnek óriási költségekkel kell szembenéznie a régebbi rendszerek felújításával kapcsolatban. A kódolási protokollok megváltoztatása nemcsak technikai döntés, hanem stratégiai döntés is a jövő digitális infrastruktúrájának biztonsága érdekében. Ennek eredményeként az átállás időpontját mérlegelő döntéshozóknak értékelniük kell az azonnali pénzügyi és működési hatásokat a hosszú távú előnyökkel szemben.
Szerencsére már kifejlesztettek olyan technológiai újításokat, amelyek csökkenthetik a biztonságosabb kódra való átállás költségeit és megszakításait. Például a kódelemző eszközök képesek elemezni a régi alkalmazásokat, és félig autonóm módon azonosítani azokat a példányokat, ahol a C vagy a Python kód megfelelő elkülönítés nélkül fut. A fordítótechnológia közelmúltbeli fejlődése miatt még a legrosszabb esetben is védhető a nem biztonságos kódolási gyakorlat, ha régebbi nyelven írják őket. Ezek a fejlesztések jelentősen csökkenthetik a biztonságos kódolási gyakorlatok elfogadása előtti akadályokat bármilyen méretű szervezet számára.
Együttműködési erőfeszítés a biztos jövő felé
A döntéshozóknak és a szállítóknak szorosan együtt kell működniük a biztonság fokozása és az alapvető szoftverszolgáltatások fenntartása között. A memóriabiztos programozási nyelvek alkalmazása, amint azt az ONCD ajánlja, döntő lépés ezen az úton, és elengedhetetlen kollektív kiberbiztonságunk fejlesztéséhez.
Számos iparági vezető jelentős beruházásokat eszközölt már a memóriabiztos nyelvek terén. Példák:
-
A Mozilla Rust programozási nyelve: A memóriabiztonságra helyezve a hangsúlyt, a Rust szilárd alternatívát kínál a hagyományos programozási nyelvekkel szemben, amely párosítja a biztonságot és a teljesítményt.
-
A Microsoft befektetése a Rustba: Felismerve, hogy a régebbi nyelveknek vannak korlátai, a Microsoft felkarolta a Rust-ot, és több olyan új projektben is felhasználta, ahol a memóriabiztonság aggodalomra ad okot.
-
A Google memóriabiztonsági erőfeszítései: A Google jelentős erőforrásokat fektetett be a memóriabiztonsági sebezhetőségek felkutatásába és enyhítésébe, és a memóriabiztos nyelvek használatát szorgalmazta az új fejlesztésekben. A múlt héten a Google kiadott egy új kutatási jelentést "Secure by Design: Google's Perspective on Memory Safety" címmel, amely a biztonságos tervezési stratégiát szorgalmazza. A jelentés a robusztus memóriabiztonsági funkciókkal rendelkező nyelvek bevezetésére összpontosít, és elismeri a C++ fejlesztésének korlátait, hogy megfeleljen ezeknek a szabványoknak.
Továbblépés: gyakorlati lépések az ONCD-ajánlások teljesítéséhez
A legutóbbi ONCD-jelentésben szereplő út kihívásokkal teli, de lehetőségekben gazdag. Gyakorlati lépéseket követel meg a szoftverfejlesztési és kiberbiztonsági ökoszisztémák minden szereplőjétől, beleértve:
-
Oktatás és képzés: A szervezeteknek vállalniuk kell, hogy megtanítják csapataikat a memóriabiztos nyelvekről és a biztonságos fejlesztési gyakorlatokról, biztosítva, hogy a fejlesztők elvégezhessék a szükséges változtatásokat.
-
Fokozatos átállási tervek: A szervezeteknek terveket kell készíteniük a régi rendszereknek a memóriabiztos és kezelhető nyelvekre való átállására. Először a legkritikusabb területekkel kell foglalkozniuk, és a projektet lassan kell ütemezni, hogy minimálisra csökkentsék a működési zavarokat.
-
Az automatizálási eszközök kihasználása: A szervezeteknek modern kódelemző eszközöket és fordítókat kell használniuk, amelyek automatikusan megtalálják és orvosolják a nem biztonságos kódolási gyakorlatokat, miközben csökkentik a manuális folyamatok terhét.
-
Politika és kormányzás: A szervezeteknek explicit irányítási konstrukciókat kell kidolgozniuk, amelyek a memóriabiztonságot és a biztonságos fejlesztési gyakorlatokat tükrözik a szoftverfejlesztés teljes életciklusa során.
-
Közösség és együttműködés: Fontos, hogy a szervezeteknek fórumokon, partnerségeken és nyílt forráskódú projekteken kívül el kell jutniuk falain kívülre és a szélesebb technológiai közösségre, hogy megosszák az ezzel az utazással járó memóriabiztonsággal kapcsolatos ismereteket, kihívásokat és megoldásokat.
Javuló biztonság az alkalmazásokban A digitális gazdaság mozgatórugója magasztos és összetett, de szükséges vállalkozás, amely folyamatos együttműködést igényel a köz- és a magánszektor között. Az ONCD legújabb jelentése egy szilárd következő lépés a stratégia megfogalmazásában; a vízió megvalósításához azonban több akarat szükséges. A memóriabiztos kódolási nyelvekre való átállás az új alkalmazásokhoz és a régi kód frissítése óriási kihívást jelent. A szoftverelemzés és a fordítótechnológiák terén elért közelmúltbeli fejlemények, valamint számos globális technológiai vezető által tanúsított kötelezettségvállalások azonban előrehaladást mutatnak.
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs