Білий дім просить використовувати мови програмування з безпечною роботою з пам’ятю

26 лютого Офіс національного директора з кібербезпеки в уряді США опублікував звіт, в якому закликає технічну спільноту допомогти зменшити кількість кібератак. Зокрема, Офіс наголошує на тому, що розробники можуть запобігти прояву цілого класу вразливостей програмного забезпечення, використовуюючи мови програмування, які забезпечують безпечну роботу з пам’ятю.

«Ми, як нація, маємо можливість — і несемо відповідальність — зменшити кількість атак в кіберпросторі та запобігти проникненню цілих класів помилок безпеки в цифрову екосистему, але це означає, що нам потрібно вирішити складну проблему переходу на мови програмування, які забезпечують безпечну роботу з пам’ятю», — заявив Національний директор з питань кібербезпеки Гаррі Кокер. «Вирішення цих проблем є вкрай важливим для забезпечення довгострокового захисту нашої цифрової екосистеми та безпеки нашої нації.»

👍ПодобаєтьсяСподобалось1
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Певно, що «Білий дім» робить аудит софта, яким користується, у цілях «національної безпеки». І тому має деякі побажання, щодо розробки цього софта.
Але, певно, це стосується тільки контракторів, які розробляють софт для «Білого дому», і не дуже стосується усіх інших.

Державна підтримка Фортрану. Хакери подумають, що якісь наскальні написи ))))

Ще трохи про кібербезпеку www.theguardian.com/...​-stolen-from-french-train
Хакерів геніїв, які щось ломають користуючись на стільки низькорівневими вразливостями можна порахувати на пальцях. А найвразливішим елементом будь-якої системи залишається людина

США потрібно змінити ширіну жд колії в цілях безпеки. Тому що вона така сама як в Китаї. Супротивнику буде легко перебрасувати військову технику.
Нові колії потрібно старатися використовувати нової ширини.

На кону стоить загроза нації з боку Китаю, нам потрібно вирішити складну проблему перехода на нові розміри колії.

тобто треба використовувати С++ замість С# та Java, бо він за собою пам’ять прибирає, а в останніх невідомо коли garbage collector прійде та порядок наведе?

проблема більше в доступі за межі виделіної пам’яті бо це основна причина remote code execution атак

Які вони pathetic. Пук среньк, допоможіть нам не піддаватись кібератакам. Пук среньк, ми найсильніші у світі, але будемо поводитися як чмоні.

Вони просто не знають, що «роль кібербезпеки трохи перебільшена». Дивні якісь.

Ну звісно. Якийсь лейтенант публікує у діскорді секретні військові розвідданні та адмін виносить данні по усім секретним програмам АНБ саме через проблеми з управлінням пам’ятю

секретні військові розвідданні

Які він тупо виніс у кишені.

Проблеми з памʼяттю, вони «просто забули» що ці дані не можна публікувати)

Це особистий бздик — а точніше підтримка державного товаровиробника. Ніякі мови програмування не надають таких можливостей убезпечення від кібр загроз. Скажімо в Java керування пам’ятю автоматичне, але вразливість в бібліотеці log4j пару років тому наробила загального галасу. Крім того яким конкретно чином ті хто опублікував цей звіт хочуть портувати мільярди строк кода вже написаних наприклад на С та С++ ? В яку суму це стане ? І чи є гарантії, що Rust як і інші інструменти від Netscape/Mozilla які історично пов’язані з офісом кібр безпеки і розкручує на ринку не мають вразливостей, які давно відомі в С/C++ виявляються санітайзерами і взагалі не виникають з використанням новітніх інструментів та методик програмування ?

Ми, як нація, маємо можливість — і несемо відповідальність — зменшити кількість атак в кіберпросторі та запобігти проникненню цілих класів помилок безпеки в цифрову екосистему

То почати треба в першу чергу з паролів як з найвразливішого елементу замініючи їх на смарт карти та біометрію, і ще з головних процедур з регулярної підтримки та оновленню софта і масовій освіті щодо кібр-безпеки, протидії соціальній інженерії тощо.

І чи є гарантії, що Rust як і інші інструменти

сінтаксичні аналізатори і компілятори яких все одно написані на С ))

Цю русачки лівнули із рашки давно, тому може і норм. А може я просто намагаюсь знайти серед 100% лайна хоча б 0.01% чогось іншого

Там пів контори українців, зокрема з Харкова. А так то альтернатив вдосталь. Я скажімо більше полюбляю Eclipse, а санітайзери доставляю окремими плугінами. Хоча на Node як на мене Web Storm зроблений цікавіше за VS Code, працювати значно ефективніше бо усе якось само підтягується та працює.

Я скажімо більше полюбляю Eclipse, а санітайзери доставляю окремими плугінами

Eclipse,колись, при рефакторінгу, тупо робив код непрацюючим. А ще, часто код, на який він не скаржився, не компілювався javac (і навпаки, скаржився на робочий код)
Коли це пригадую, то дуже дивуюсь, що ним взагалі хтось користується (але сам такий був)

І ? Так інспекшени в IDEA подібні продукти вбудовані — це в дечому плюс. Але багато кому ті правила які в середені, не подобаються і є причини, там справді Jet Brains примушує розробників до власного код-стайлу часто. А той самий Sonar Lint однаково доставляється куди завгодно.
Таких проблем як ви отримуєте особисто я з 2006 року жодного разу не стикався. Звісно в Eclipse є ціла купа інших проблем, зокрема через певний час роботи з воркспейсом і проектом — доведеться робити реімпорт бо воно відмовиться нормально працювати, через мусорні файли різних плугінів. Ще мені не подобається перевірка орфографії яка не перевіряє імена функцій і ідентифікаторів. Також є чисельні проблеми із сумісністю с Groovy/Gradle з легасі проектами типу на Spring 4, які треба знати як фіксити і т.п. Коротше то як порівняння Mac та Linux. Дивлячись для кого і для чого

І ?

І мене дивує, коли хтось, при всії тих недоліках, які має Eclipse, його ще хвалять )

Коротше то як порівняння Mac та Linux. Дивлячись для кого і для чого

Мабудь, саме так)

IDEA теж далеко не ідеал, як і сукупні продукти. Скажімо її треба перезавантажувати періодично бо вона жере пам’ять. Складно працювати з двома та більше проектами одночасно. Жахливий і не інтуїтивний інтерфес, погано кастомайзиться, постійно десь та щось індексується, так само як і Eclipse записи сміттєвих фалів сотнями мегабайтів. Жахливий тінейджерский-готский чорний за замовченням, купа різхних вікон де купа різних галочок які треба точно знати де знаходяться та гуглити так само як і шоткати в растопирку, що на десктопній клавіатурі є проблемою, тощо. Так до неї часто звикають бо при чудовий маркетинг виробника, зробив так що на усіх курсах для початківців часто саме IDEA. В свою чергу це було зроблено свого часу з копіюванням концепції Visual Studio Microsoft.

Бл.... Наприклад, один з найбільших вендорів в автомотів використовує це лайно.

Підписатись на коментарі