一位匿名读者分享了科技新闻网站 The Register 的这份报告:美国网络安全和基础设施安全局 (CISA) 和国家安全局 (NSA) 本周发布了指南,敦促软件开发人员采用内存安全编程语言。这份跨机构报告指出:“内存安全的重要性怎么强调也不为过。” CISA/NSA 的报告重新审视了提高内存安全性的根本原因以及政府对采用内存安全语言 (MSL) 的呼吁,同时也承认并非所有机构都能中途换帅。报告指出:“一种平衡的方法是承认 MSL 并非万能药,而且过渡期面临重大挑战,尤其是对于拥有庞大现有代码库或关键任务系统的组织而言。” “然而,MSL 带来的诸多好处,例如可靠性的提高、攻击面的减少以及长期成本的降低,都为采用 MSL 提供了强有力的理由。” 报告列举了谷歌如何在 2024 年前成功将 Android 系统中的内存安全漏洞比例降低到 24%。报告概述了采用 MSL 的各种优势,并探讨了采用过程中面临的挑战。此外,报告还敦促科技行业通过发布需要 MSL 专业知识的招聘信息等方式来提升内存安全性。报告还列举了各种旨在加速向 MSL 过渡的政府项目,例如美国国防高级研究计划局 (DARPA) 的“将所有 C 语言代码翻译成 Rust”(TRACTOR)项目,该项目旨在开发一种将 C 代码自动化翻译成 Rust 代码的方法。普林斯顿大学、加州大学伯克利分校和加州大学圣地亚哥分校的研究人员最近提出了一项名为 Omniglot 的类似项目。它为不安全的库提供了一种通过外部函数接口 (FIF) 与 Rust 代码进行通信的安全方式……报告总结道:“内存漏洞对国家安全和关键基础设施构成严重风险。MSL 为这类普遍存在且危险的漏洞提供了最全面的缓解措施。”报告总结道:“采用内存安全语言可以加速现代软件开发,并通过从根本上消除这些漏洞来增强安全性。” 报告称,这一理念是“对安全软件未来的投资”。“通过定义内存安全路线图并引领最佳实践的采用,组织可以显著提高软件的弹性,并帮助确保更安全的数字环境。”
在 Slashdot 上阅读更多内容。