التعليق
المنشور الأخير "العودة إلى اللبنات": الطريق نحو برامج آمنة وقابلة للقياس" من قبل مكتب البيت الأبيض للمدير الوطني السيبراني (ONCD) يوفر تفاصيل إضافية وتوجيهًا استراتيجيًا يدعم الاستراتيجية الوطنية للأمن السيبراني تم إصدارها في مارس 2023. وتهدف الاستراتيجية إلى تحويل حصة أكبر بكثير من المسؤولية عن الأمن السيبراني إلى بائعي البرامج ومقدمي الخدمات والكيانات الأخرى التي تطور تطبيقات البرمجيات. ويقدم هذا التقرير الأخير اتجاها أكثر تحديدا من خلال التأكيد على التحول العدواني إلى لغات برمجة آمنة للذاكرة مع ممارسات تطوير البرمجيات.
ضرورة سلامة الذاكرة
غالبًا ما تكون لغات البرمجة التقليدية هي الحلقة الضعيفة في تطوير البرمجيات، حيث تؤدي ثغرات أمان الذاكرة إلى وقوع حوادث كبيرة. وعلى الرغم من المراجعات الشاملة للتعليمات البرمجية والإجراءات الأمنية الأخرى، إلا أن هذه الثغرات الأمنية لا تزال قائمة، حيث تمثل ما يصل إلى 70% من المشكلات الأمنية في هذه اللغات. إن التحول نحو لغات البرمجة الآمنة للذاكرة، كما نصحت خريطة الطريق الصادرة عن وكالة الأمن السيبراني وأمن البنية التحتية (CISA)، يعد خطوة حاسمة نحو تطوير البرمجيات الآمنة حسب التصميم.
التنقل في تعقيدات النظام القديم
أحد التحديات الأكثر صعوبة في هذا التحول الاستراتيجي هو معالجة الأنظمة القديمة التي تم تطويرها في C وC++. هذه الأنظمة القديمة ليست عديدة فحسب، بل غالبًا ما تكون حاسمة لعمليات العديد من المؤسسات. يمكن أن تكون إعادة كتابة هذه الأنظمة بلغات حديثة وآمنة على الذاكرة أمرًا مكلفًا ومعقدًا، مما يؤدي إلى توقف العمليات التجارية الهامة.
علاوة على ذلك، يتم ملاحظة الثغرات الأمنية في سلامة الذاكرة بشكل أساسي على مستوى نظام التشغيل، مما يؤثر على منصات مهمة مثل Microsoft وLinux. ويؤكد هذا التصنيف للقضايا على مستوى وقت التشغيل، وليس على مستوى التطبيق، على التحدي الأوسع في الأمن السيبراني: يجب أن يكون السعي إلى اتخاذ تدابير أمنية متقدمة متوازناً مع الجوانب العملية وتكاليف تنفيذ هذه التغييرات، وخاصة بالنسبة للأنظمة القائمة.
الاعتبارات الاقتصادية والفنية
تواجه العديد من المؤسسات تكاليف هائلة مرتبطة بإصلاح الأنظمة القديمة. إن تغيير بروتوكولات التشفير ليس قرارًا تقنيًا فحسب، بل هو أيضًا قرار استراتيجي لضمان أمن البنية التحتية الرقمية في المستقبل. ونتيجة لذلك، يتعين على صناع القرار الذين يدرسون موعد إجراء التحول أن يقيموا التأثيرات المالية والتشغيلية المباشرة مقابل الفوائد الطويلة الأجل.
ولحسن الحظ، فقد تم بالفعل تطوير الابتكارات التكنولوجية القادرة على تقليل تكلفة وتعطيل التحول إلى تعليمات برمجية أكثر أمانًا. على سبيل المثال، يمكن لأدوات تحليل التعليمات البرمجية تحليل التطبيقات القديمة وتحديد الحالات التي يتم فيها تشغيل تعليمات برمجية C أو Python دون عزل مناسب بشكل شبه مستقل. وبسبب التطورات الحديثة في تكنولوجيا المترجمات، يمكن حماية ممارسات الترميز غير الآمنة في أسوأ الحالات إذا تمت كتابتها بلغة قديمة. ينبغي لهذه التطورات أن تقلل بشكل كبير من العوائق التي تحول دون اعتماد ممارسات الترميز الآمن للمؤسسات من أي حجم.
جهد تعاوني نحو مستقبل آمن
يجب أن يتعاون صناع السياسات والبائعين بشكل وثيق لتحقيق التوازن بين تعزيز الأمن والحفاظ على خدمات البرمجيات الأساسية. يعد تبني لغات البرمجة الآمنة للذاكرة، على النحو الموصى به من قبل ONCD، خطوة حاسمة في هذه الرحلة وجزءًا لا يتجزأ من تعزيز أمننا السيبراني الجماعي.
لقد قام العديد من قادة الصناعة بالفعل باستثمارات كبيرة في اللغات الآمنة للذاكرة. الامثله تشمل:
-
لغة برمجة موزيلا روست: من خلال تركيزها على سلامة الذاكرة، تقدم Rust بديلاً قويًا للغات البرمجة التقليدية التي تجمع بين الأمان والأداء.
-
استثمار مايكروسوفت في Rust: وإدراكًا منها بأن اللغات القديمة لها قيود، فقد تبنت Microsoft Rust واستخدمتها في العديد من المشاريع الجديدة التي كانت سلامة الذاكرة فيها مصدر قلق.
-
جهود جوجل لسلامة الذاكرة: لقد استثمرت Google موارد كبيرة في العثور على ثغرات أمنية في الذاكرة والتخفيف منها ودعت إلى استخدام لغات آمنة للذاكرة في التطورات الجديدة. في الأسبوع الماضي، أصدرت Google تقريرًا بحثيًا جديدًا بعنوان "الآمن حسب التصميم: منظور Google بشأن سلامة الذاكرة"، يدعو إلى استراتيجية "الأمن حسب التصميم". ويركز التقرير على اعتماد اللغات ذات ميزات أمان الذاكرة القوية ويعترف بالقيود المفروضة على تطوير C++ للوفاء بهذه المعايير.
المضي قدمًا: خطوات عملية لتلبية توصيات ONCD
إن المسار في أحدث تقرير للمكتب الوطني لمكافحة المخدرات مليء بالتحديات، ولكنه غني بالفرص. ويتطلب خطوات عملية من جميع الجهات الفاعلة داخل النظم البيئية لتطوير البرمجيات والأمن السيبراني، بما في ذلك:
-
التعليم والتدريب: يجب أن تلتزم المؤسسات بتعليم فرقها اللغات الآمنة للذاكرة وممارسات التطوير الآمنة، مما يضمن قدرة المطورين على إجراء التغييرات اللازمة.
-
خطط التحول التدريجي: يجب على المؤسسات وضع خطط لنقل الأنظمة القديمة إلى لغات آمنة للذاكرة ويمكن التحكم فيها. يجب عليهم معالجة المجالات الأكثر أهمية أولاً ومرحلة المشروع ببطء لتقليل التعطيل التشغيلي.
-
الاستفادة من أدوات الأتمتة: يجب على المؤسسات استخدام أدوات تحليل التعليمات البرمجية الحديثة والمجمعات التي تقوم تلقائيًا بالعثور على ممارسات التعليمات البرمجية غير الآمنة ومعالجتها مع تقليل عبء العمليات اليدوية.
-
السياسة والحوكمة: يجب على المؤسسات تطوير بنيات حوكمة واضحة تضمن سلامة الذاكرة وممارسات التطوير الآمنة طوال دورة حياة تطوير البرمجيات.
-
المجتمع والتعاون: والأهم من ذلك، يجب على المؤسسات الوصول إلى خارج أسوارها ومجتمع التكنولوجيا الأوسع في المنتديات والشراكات والمشاريع مفتوحة المصدر لمشاركة المعرفة والتحديات والحلول المتعلقة بسلامة الذاكرة التي تأتي مع هذه الرحلة.
تحسين الأمن في التطبيقات إن محرك الاقتصاد الرقمي هو مهمة نبيلة ومعقدة ولكنها ضرورية تتطلب تعاونا مستمرا بين القطاعين العام والخاص. ويشكل التقرير الأخير الصادر عن مكتب مكافحة المخدرات خطوة تالية قوية في صياغة الاستراتيجية؛ ومع ذلك، هناك حاجة إلى المزيد من الإرادة لتحقيق الرؤية. يمثل الانتقال إلى لغات الترميز الآمنة للذاكرة للتطبيقات الجديدة وتحديث التعليمات البرمجية القديمة تحديات هائلة. ومع ذلك، يتم إحراز تقدم مع التطورات الأخيرة في تحليل البرمجيات وتقنيات المترجمين والالتزامات التي أظهرها العديد من قادة التكنولوجيا العالميين.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
