Five Eyes kuruluşları programlama dillerinde bellek güvenliği konusunda uyarıyor. Yaygın bellek güvenliği hataları, arabellek taşmaları, başlatılmamış bellek, tür karışıklığı ve serbest kullanım sonrası kullanım koşulları gibi tehlikeli güvenlik açıklarına yol açabilir. Saldırganlar, tüm işletim sistemini tehlikeye atmak, kullanıcıların verilerini çalmak veya çalıştırmak için bu hatalardan yararlanabilir. Savunmasız sistemlerde kötü amaçlı kodlar En önemlisi, bu tür hatalar günümüzde yazılım nakliyesinde en yaygın olanlardır.
Bellek güvenliğiyle ilgili sorunlar, Beş Göz olarak bilinen dünyanın en önemli istihbarat ve siber güvenlik teşkilatları için ciddi bir endişe kaynağı haline geldi.ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), NSA, FBI ve FBI tarafından ortaklaşa yayınlanan yeni bir makale Avustralya, Kanada, İngiltere ve Yeni Zelanda'daki diğer güvenlik kurumları, yeni ve etkili bellek güvenliği kodlama standartlarına büyük bir geçiş yapılması çağrısında bulunuyor.
CISA, bu güvenlik açıklarının yazılım sektörü için büyük bir sorun teşkil ettiğini, zira üreticilerin müşterilerin yazılımlarına uygulamak zorunda kalacakları kesintisiz güvenlik güncellemelerini yayınlamaya zorladıklarını belirtiyor. "Tasarım gereği güvenli" olan MSL'ler bellek güvenliği açıklarını ortadan kaldıracak, dolayısıyla yazılım Üreticilerin Rust, C#, Go, Java ve diğer modern kodlama platformlarını hızla benimsemek için C, C++ ve diğer "savunmasız" dillerden uzaklaşması gerekiyor.
Uygun bir şekilde Bellek Güvenli Yol Haritaları Örneği olarak adlandırılan yeni belge, C-Suite yöneticileri ve teknik uzmanlar arasında bellek güvenliği programlamasını teşvik etmeyi amaçlıyor. Yazılım şirketleri, bellek güvenliği kusurlarını, CISA ve Five'ı ortadan kaldırmak için bellek güvenliği programlamasına (MSL'ler) geçişlerini hızlandırmalıdır. Göz ajansları, müşterileri ve halkı devam eden geçiş hakkında bilgilendirmek için kendi hafıza güvenliği yol haritalarını oluşturduklarını söylüyor.Microsoft, bellek güvenliği hatalarının 2006'dan bu yana Windows'ta düzeltilen CVE listesindeki güvenlik açıklarının %70'ini oluşturduğunu kabul etti ve Google, yalnızca 2021'de Chromium projesinde keşfedilen sıfır gün güvenlik açıkları için benzer bir rakam (%67) verdi.
CISA, bellek güvenliği açıklarının açıklanan yazılım hataları arasında en yaygın olanı olduğunu söylüyor. Bunlar, hem kötü niyetli aktörlerin hem de rakip istihbarat ajanlarının rutin olarak istismar ettiği, iyi bilinen ve yaygın kodlama hatalarından oluşan bir sınıftır.
Rust, yazılım şirketleri arasında popülerlik kazanıyor ve Microsoft, Linux topluluğu ve Google gibi endüstri devleri, devasa kod tabanlarının birçok bölümünü yeni güvenlik odaklı dile dönüştürüyor. CISA ve diğer kurumlar artık her fırsatta "üst düzey yöneticileri" teşvik ediyor. yazılım şirketi, hem yeni hem de mevcut kod tabanları için MSL'leri etkili bir şekilde uygulayacak tasarım ve geliştirme uygulamalarına öncelik vererek müşteriler için riskleri azaltıyor.
Son yıllarda Mark Russinovich gibi teknoloji liderleri C ve C++'dan Rust'a toplu geçiş için baskı yaptı ancak herkes aynı fikirde değil . C++'ı yaratan Bjarne Stroustrup, doğru programlama uygulamalarının "klasik"te tür ve bellek güvenliğini sağlayabileceğini söyledi. Stroustrup ayrıca Rust kodunun bile güvenli olmayan bir şekilde yazılabileceğini kaydetti.
Danimarka doğumlu bilgisayar bilimcisi Bjarne Stroustrup, 1980'li ve 90'lı yıllarda AT&T Bell Laboratuarlarında araştırmacı iken son 25 yılın tartışmasız en etkili programlama dili olan C++'ı tasarladı. Bütün bunlara rağmen C++ tartışmalıdır. Dil, onu kullanan milyonlarca programcı tarafından büyük ölçüde sevilmiyor; bunun nedeni, büyük ölçüde öğrenilmesi ve kullanılmasının oldukça zor olması ve Stroustrup'un tasarımının, ifade özgürlüklerini en üst düzeye çıkarmak adına ciddi programlama hataları yapmalarına izin vermesidir. Stroustrup bugün Texas A&M Üniversitesi'nde bilgisayar bilimi profesörüdür.
Kaynak:
https://www.techspot.com/news/101102-us ... ition.html
