IT之家2月29日消息，美國(guó)政府近日發(fā)布了一份網(wǎng)絡(luò)安全報(bào)告，呼吁開(kāi)發(fā)人員停止使用容易出現(xiàn)內(nèi)存安全漏洞的編程語(yǔ)言，例如C和C++，轉(zhuǎn)而使用內(nèi)存安全的編程語(yǔ)言進(jìn)行開(kāi)發(fā)。這份報(bào)告由美國(guó)網(wǎng)絡(luò)空間總監(jiān)辦公室(ONCD)發(fā)布，旨在落實(shí)美國(guó)總統(tǒng)拜登的網(wǎng)絡(luò)安全戰(zhàn)略，目標(biāo)是“保護(hù)網(wǎng)絡(luò)空間的基石”。

內(nèi)存安全指的是程序在訪(fǎng)問(wèn)內(nèi)存時(shí)能夠避免出現(xiàn)錯(cuò)誤和漏洞，例如緩沖區(qū)溢出和懸空指針。Java由于其runtime錯(cuò)誤檢測(cè)功能，被認(rèn)為是一種內(nèi)存安全的語(yǔ)言。然而，C和C++允許直接操作內(nèi)存地址，并且缺乏邊界檢查，容易出現(xiàn)內(nèi)存安全問(wèn)題。

報(bào)告援引微軟和谷歌的研究數(shù)據(jù)，指出超過(guò)70%的安全漏洞都與內(nèi)存安全問(wèn)題有關(guān)。報(bào)告還引用了美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)的開(kāi)源軟件安全路線(xiàn)圖，建議開(kāi)發(fā)人員從一開(kāi)始就使用內(nèi)存安全的編程語(yǔ)言，進(jìn)行“安全設(shè)計(jì)”式的開(kāi)發(fā)。

這份報(bào)告長(zhǎng)達(dá)19頁(yè)，旨在強(qiáng)調(diào)網(wǎng)絡(luò)安全不僅僅是個(gè)人的責(zé)任，更是大型組織、科技公司和政府的共同責(zé)任。報(bào)告沒(méi)有推薦特定的編程語(yǔ)言替代C和C++，而是強(qiáng)調(diào)有多種內(nèi)存安全的編程語(yǔ)言可供選擇。報(bào)告還呼吁企業(yè)和工程師采用最佳軟件開(kāi)發(fā)實(shí)踐，并使用內(nèi)存安全的硬件，以減少惡意攻擊的可能性。

據(jù)悉，美國(guó)國(guó)家安全局(NSA)在去年11月發(fā)布的網(wǎng)絡(luò)安全信息文件中，列出了他們認(rèn)為安全的編程語(yǔ)言，其中包括：

Rust

Go

C#

Java

Swift

JavaScript

Ruby

但根據(jù)TIOBE指數(shù)(衡量編程語(yǔ)言流行程度的指標(biāo))，C#位居排行榜第5位，Java第4位，JavaScript第6位，Go第8位，Swift第16位，Rust第18位，Ruby第20位?？梢?jiàn)，NSA推薦的語(yǔ)言中只有4種屬于開(kāi)發(fā)者最常用的語(yǔ)言。

該報(bào)告還強(qiáng)調(diào)了軟件安全評(píng)估的重要性，并認(rèn)為更好地評(píng)估標(biāo)準(zhǔn)能夠幫助科技公司更好地規(guī)劃、預(yù)測(cè)和緩解漏洞風(fēng)險(xiǎn)。報(bào)告還以阿波羅13號(hào)登月任務(wù)為例，強(qiáng)調(diào)了在太空探索等關(guān)鍵領(lǐng)域使用內(nèi)存安全代碼的重要性。

這份報(bào)告是美國(guó)政府一系列網(wǎng)絡(luò)安全舉措的一部分。2023年3月，拜登總統(tǒng)簽署了網(wǎng)絡(luò)安全行政命令，旨在加強(qiáng)軟件和硬件安全，并與科技行業(yè)建立合作關(guān)系。隨著數(shù)字化的不斷推進(jìn)，更安全的編程語(yǔ)言和開(kāi)發(fā)方式變得至關(guān)重要，這份報(bào)告正是呼吁業(yè)界重視這一問(wèn)題的最新舉措。