如何消除内存安全漏洞
美国网络安全与基础设施安全局 (cisa) 发布了一份名为 “the case for memory safe roadmaps” 的文件,详细介绍了软件厂商应如何过渡到内存安全编程语言 (msl),以消除内存安全漏洞。 cisa 认为,内存安全错误经常会造成重大损失,需要加以杜绝;因此敦促企业和技术领导者密切关注软件开发中的内存安全。而 c 和 c++ 等编程语言就是内存不安全编程语言的典范;它们可能导致内存不安全代码,但仍然是当今使用最广泛的语言之一。
该指南文件由美国网络安全与基础设施安全局 (cisa)、国家安全局 (nsa)、联邦调查局 (fbi),以及澳大利亚、加拿大、英国和新西兰的网络安全机构联合制定。旨在敦促每家软件厂商的高级管理人员通过优先考虑实施 msl 的设计和开发实践来降低客户风险;同时敦促他们创建并发布内存安全路线图,以便客户了解所面临的内存安全风险。
“msl 可以消除内存安全漏洞。因此,过渡到 msl 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。此外,将不安全的代码库迁移到 msl 的投资将以更安全的产品的形式带来长期回报 -- 这也抵消了过渡到 msl 的部分前期成本。”
文件指出,微软约 70% 的 cve 是内存安全漏洞(基于 2006-2018 年的 cve),mozilla 的 34 个关键 / 高危漏洞中有 32 个是内存安全漏洞。谷歌 chromium 项目中所发现的漏洞,有约 70% 是内存安全漏洞;且 2021 年的零日漏洞中也有 67% 是内存安全漏洞。 虽然一些组织为了减少 c/c++ 内存不安全代码引入的风险,投入了大量资金用于开发人员培训。但 cisa 等机构认为,“虽然培训可以减少程序员可能引入的漏洞数量,但考虑到内存安全缺陷的普遍性,内存安全漏洞的出现几乎是不可避免的。” 鉴于此,他们建议组织放弃 c/c++,转而使用 c#、go、java、python、rust 和 swift 等 “内存安全语言”。
金士顿修复软件使用说明教程
小米打造高端品牌会有更多路径与可能
英特尔仍是全球芯片霸主,未来华为海思将会全面进入芯片制造领域
魅族Pro7什么时候上市?最新消息:魅族Pro7即将发布,双摄+墨水屏才是流行的趋势?
iphone8最新消息:尴尬!苹果iPhone 8或放弃指纹传感器,同样因为技术问题
如何消除内存安全漏洞
超声波传感器助力智能轮椅将
氮化镓的大面积光电化学蚀刻技术
我国光纤型SPR传感器已达到了世界领先水平
芯明天压电纳米运动与控制系统常见使用问题解答(一)
智能电话机器人的外呼系统是什么,有什么作用
云his门诊业务模块常见问题分析和门诊业务使用流程
全新沉积技术SPARC实现先进逻辑和DRAM集成设计
导热塑料的外观可解决LED照明灯具内部的凹凸电压的阻隔
锤子坚果Pro最新消息:4月25日发布正面刚小米6,狭路相逢勇者胜
能源互联对“智能智造”提出新要求,输配设备制造加快绿色升级
英飞特终止收购南京中港电力
观点:经济萧条再次降临,您准备好了吗?
壁仞科技与平安科技正式签署战略合作协议
深天马:目前LTPS、AMOLED等手机显示产品价格有上涨趋势
该指南文件由美国网络安全与基础设施安全局 (cisa)、国家安全局 (nsa)、联邦调查局 (fbi),以及澳大利亚、加拿大、英国和新西兰的网络安全机构联合制定。旨在敦促每家软件厂商的高级管理人员通过优先考虑实施 msl 的设计和开发实践来降低客户风险;同时敦促他们创建并发布内存安全路线图,以便客户了解所面临的内存安全风险。
“msl 可以消除内存安全漏洞。因此,过渡到 msl 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。此外,将不安全的代码库迁移到 msl 的投资将以更安全的产品的形式带来长期回报 -- 这也抵消了过渡到 msl 的部分前期成本。”
文件指出,微软约 70% 的 cve 是内存安全漏洞(基于 2006-2018 年的 cve),mozilla 的 34 个关键 / 高危漏洞中有 32 个是内存安全漏洞。谷歌 chromium 项目中所发现的漏洞,有约 70% 是内存安全漏洞;且 2021 年的零日漏洞中也有 67% 是内存安全漏洞。 虽然一些组织为了减少 c/c++ 内存不安全代码引入的风险,投入了大量资金用于开发人员培训。但 cisa 等机构认为,“虽然培训可以减少程序员可能引入的漏洞数量,但考虑到内存安全缺陷的普遍性,内存安全漏洞的出现几乎是不可避免的。” 鉴于此,他们建议组织放弃 c/c++,转而使用 c#、go、java、python、rust 和 swift 等 “内存安全语言”。
金士顿修复软件使用说明教程
小米打造高端品牌会有更多路径与可能
英特尔仍是全球芯片霸主,未来华为海思将会全面进入芯片制造领域
魅族Pro7什么时候上市?最新消息:魅族Pro7即将发布,双摄+墨水屏才是流行的趋势?
iphone8最新消息:尴尬!苹果iPhone 8或放弃指纹传感器,同样因为技术问题
如何消除内存安全漏洞
超声波传感器助力智能轮椅将
氮化镓的大面积光电化学蚀刻技术
我国光纤型SPR传感器已达到了世界领先水平
芯明天压电纳米运动与控制系统常见使用问题解答(一)
智能电话机器人的外呼系统是什么,有什么作用
云his门诊业务模块常见问题分析和门诊业务使用流程
全新沉积技术SPARC实现先进逻辑和DRAM集成设计
导热塑料的外观可解决LED照明灯具内部的凹凸电压的阻隔
锤子坚果Pro最新消息:4月25日发布正面刚小米6,狭路相逢勇者胜
能源互联对“智能智造”提出新要求,输配设备制造加快绿色升级
英飞特终止收购南京中港电力
观点:经济萧条再次降临,您准备好了吗?
壁仞科技与平安科技正式签署战略合作协议
深天马:目前LTPS、AMOLED等手机显示产品价格有上涨趋势