KOMMENTIT
Tuore julkaisu "Takaisin rakennuspalikoihinValkoisen talon National Cyber Directorin (ONCD) toimiston : A Path Toward Secure and Measurable Software” tarjoaa lisäyksityiskohtia ja strategisia ohjeita, jotka tukevat Kansallinen kyberturvallisuusstrategia julkistettiin maaliskuussa 2023. Strategiassa on tarkoitus siirtää paljon suurempi osuus kyberturvallisuudesta ohjelmistotoimittajille, palveluntarjoajille ja muille ohjelmistosovelluksia kehittäville tahoille. Tämä uusin raportti antaa tarkemman suunnan korostamalla aggressiivista siirtymistä muistiturvalliset ohjelmointikielet ohjelmistokehityskäytäntöjen kanssa.
Muistin turvallisuus ehdoton
Perinteiset ohjelmointikielet ovat usein heikko lenkki ohjelmistokehityksessä, ja muistin turvallisuushaavoittuvuudet johtavat merkittäviin tapauksiin. Huolimatta kattavista koodintarkistuksista ja muista turvatoimista nämä haavoittuvuudet jatkuvat, ja ne muodostavat jopa 70 % näiden kielten tietoturvaongelmista. Siirtyminen muistia turvaaviin ohjelmointikieliin, kuten Cybersecurity and Infrastructure Security Agencyn (CISA) etenemissuunnitelmassa neuvotaan, on kriittinen askel kohti suunniteltujen turvallisten ohjelmistojen kehittämistä.
Navigointi vanhan järjestelmän monimutkaisissa kohteissa
Yksi tämän strategisen muutoksen pelottavimmista haasteista on C- ja C++-kielillä kehitettyjen vanhojen järjestelmien käsitteleminen. Näitä vanhoja järjestelmiä ei ole vain lukuisia, vaan ne ovat usein kriittisiä monien organisaatioiden toiminnan kannalta. Näiden järjestelmien uudelleenkirjoittaminen nykyaikaisilla, muistiturvallisilla kielillä voi olla kallista ja monimutkaista, mikä johtaa kriittisten liiketoimintaprosessien seisokkiin.
Lisäksi muistin turvallisuuden haavoittuvuuksia havaitaan ensisijaisesti käyttöjärjestelmätasolla, ja ne vaikuttavat merkittäviin alustoihin, kuten Microsoft ja Linux. Tämä ongelmien luokittelu ajonaikaisella tasolla sovellustason sijaan korostaa laajempaa kyberturvallisuuden haastetta: edistyneiden tietoturvatoimenpiteiden tavoittelu on tasapainotettava näiden muutosten toteuttamisen käytännöllisyyksien ja kustannusten kanssa, erityisesti vakiintuneiden järjestelmien osalta.
Taloudelliset ja tekniset näkökohdat
Monet organisaatiot kohtaavat valtavia kustannuksia, jotka liittyvät vanhojen järjestelmien uudistamiseen. Koodausprotokollan muuttaminen ei ole vain tekninen päätös, vaan myös strateginen päätös tulevaisuuden digitaalisen infrastruktuurin turvallisuuden varmistamiseksi. Tästä syystä siirtymistä harkitsevien päättäjien on arvioitava välittömät taloudelliset ja toiminnalliset vaikutukset suhteessa pitkän aikavälin hyötyihin.
Onneksi on jo kehitetty teknisiä innovaatioita, jotka voivat vähentää turvallisempaan koodiin siirtymisen kustannuksia ja häiriöitä. Esimerkiksi koodianalyysityökalut voivat analysoida vanhoja sovelluksia ja tunnistaa puoliautonomisesti tapaukset, joissa C- tai Python-koodi toimii ilman asianmukaista eristystä. Kääntäjätekniikan viimeaikaisen edistyksen vuoksi jopa pahimmassa tapauksessa vaaralliset koodauskäytännöt voidaan suojata, jos ne on kirjoitettu vanhemmalla kielellä. Tämän kehityksen pitäisi vähentää merkittävästi esteitä turvallisten koodauskäytäntöjen käyttöönotolle kaikenkokoisille organisaatioille.
Yhteistyötä kohti turvallista tulevaisuutta
Päättäjien ja toimittajien on tehtävä tiivistä yhteistyötä tasapainottaakseen turvallisuuden parantamista ja keskeisten ohjelmistopalvelujen ylläpitoa. Muistiturvallisten ohjelmointikielten omaksuminen ONCD:n suosittelemalla tavalla on ratkaiseva askel tällä matkalla ja olennainen osa kollektiivisen kyberturvallisuutemme edistämistä.
Useat alan johtajat ovat jo tehneet merkittäviä investointeja muistiturvallisiin kieliin. Esimerkkejä:
-
Mozillan Rust-ohjelmointikieli: Muistin turvallisuutta korostaen Rust tarjoaa vankan vaihtoehdon perinteisille ohjelmointikielille, jossa yhdistyvät turvallisuus ja suorituskyky.
-
Microsoftin sijoitus Rustiin: Microsoft on ymmärtänyt, että vanhemmilla kielillä on rajoituksia, joten se on omaksunut Rustin ja käyttänyt sitä useissa uusissa projekteissa, joissa muistin turvallisuus oli huolenaihe.
-
Googlen muistin turvatoimet: Google on investoinut huomattavia resursseja muistin turvallisuuden haavoittuvuuksien etsimiseen ja lieventämiseen ja on kehottanut käyttämään muistia turvallisia kieliä uusissa kehityshankkeissa. Google julkaisi viime viikolla uuden tutkimusraportin "Secure by Design: Google's Perspective on Memory Safety", joka puoltaa turvallista suunnittelua -strategiaa. Raportissa keskitytään sellaisten kielten käyttöönottoon, joissa on vankat muistin turvaominaisuudet, ja tunnustetaan rajoitukset, joita C++:n kehittäminen täyttää näiden standardien mukaisesti.
Eteenpäin: Käytännön vaiheita ONCD-suositusten täyttämiseksi
Uusimman ONCD-raportin polku on haastava, mutta täynnä mahdollisuuksia. Se vaatii käytännön askeleita kaikilta ohjelmistokehityksen ja kyberturvallisuuden ekosysteemien toimijoilta, mukaan lukien:
-
Koulutus: Organisaatioiden on sitouduttava opettamaan tiimeilleen muistiturvallisia kieliä ja turvallisia kehityskäytäntöjä, jotta kehittäjät voivat tehdä tarvittavat muutokset.
-
Asteittaiset siirtymäsuunnitelmat: Organisaatioiden tulisi laatia suunnitelmia vanhojen järjestelmien siirtämiseksi muistia säästäviin ja hallittaviin kieliin. Niiden tulee käsitellä kriittisimmät alueet ensin ja vaiheittain projekti hitaasti minimoimaan toimintahäiriöt.
-
Automaatiotyökalujen hyödyntäminen: Organisaatioiden tulisi käyttää nykyaikaisia koodianalyysityökaluja ja kääntäjiä, jotka automaattisesti löytävät ja korjaavat vaaralliset koodikäytännöt ja vähentävät samalla manuaalisten prosessien taakkaa.
-
Politiikka ja hallinto: Organisaatioiden on kehitettävä selkeitä hallintorakenteita, jotka sisältävät muistin turvallisuutta ja turvallisia kehityskäytäntöjä koko ohjelmistokehityksen elinkaaren ajan.
-
Yhteisö ja yhteistyö: Tärkeää on, että organisaatioiden tulisi tavoittaa seinidensä ja laajemman teknologiayhteisön ulkopuolella foorumeilla, kumppanuuksissa ja avoimen lähdekoodin projekteissa jakaakseen tämän matkan mukanaan tuomia muistiturvallisuuteen liittyviä tietoja, haasteita ja ratkaisuja.
Parantaminen sovellusten turvallisuus Digitaalista taloutta ajava yritys on ylevä ja monimutkainen, mutta välttämätön hanke, joka vaatii jatkuvaa yhteistyötä julkisen ja yksityisen sektorin välillä. ONCD:n uusin raportti on vankka seuraava askel strategian muotoilemisessa; vision toteuttamiseen tarvitaan kuitenkin enemmän tahtoa. Siirtyminen muistia säästäviin koodauskieliin uusissa sovelluksissa ja vanhan koodin päivittäminen ovat valtavia haasteita. Edistystä kuitenkin tapahtuu viimeaikaisten ohjelmisto-analyysien ja kääntäjien teknologioiden ja useiden maailmanlaajuisten teknologiajohtajien osoittamien sitoumusten myötä.
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.darkreading.com/vulnerabilities-threats/white-house-call-for-memory-safety-brings-challenges-changes-costs
