[ 138,829 page views, 51,342 usuários - média últimos 90 dias ] - [ 5.782 assinantes na newsletter, taxa de abertura 27% ]

Pesquisar
bowling-g30f5f8781_640.png

CISA e FBI condenam desenvolvimento em C e C++

O governo dos EUA alertou as empresas e desenvolvedores de software sobre “más práticas” no desenvolvimento de produtos, incluindo o uso de linguagens de programação C e C++. Com a publicação ‘ Práticas ruins de segurança de produtos ‘, o FBI e a CISA fornecem uma visão geral de métodos e métodos de trabalho arriscados, especialmente para empresas de software que desenvolvem software para infraestrutura vital e segurança nacional. O documento analisa especificamente os recursos do produto, os recursos de segurança e os processos e políticas organizacionais que descrevem como uma empresa de software lida com a segurança.

Leia também
As linguagens mais utilizadas por 43 milhões de devs
Microsoft anuncia a morte da linguagem VBScript

O uso de linguagens de programação sem memória é descrito pelo FBI e pela CISA como perigoso e aumenta “significativamente” o risco para a segurança nacional, a segurança económica nacional, a saúde pública e a segurança pública.

Para software existente criado em uma linguagem de programação ‘não segura para memória’, um roteiro deve estar disponível até 1º de janeiro de 2026, no qual o desenvolvedor descreve como mudar para uma linguagem de programação ‘segura para memória’ ou usar opções de hardware para evitar vulnerabilidades de segurança. Isto diz respeito, por exemplo, a buffer overflows, que na pior das hipóteses podem permitir que um invasor execute código arbitrário nos sistemas.

Outras coisas sobre as quais o governo dos EUA alerta são a entrada do usuário em strings de consulta SQL, pois isso pode levar à injeção de SQL, a presença de senhas padrão, a presença de vulnerabilidades exploráveis ​​conhecidas, a presença de software de código aberto com vulnerabilidades exploráveis ​​conhecidas, a falta de autenticação multifatorial (MFA), falha na publicação oportuna de números CVE para vulnerabilidades encontradas e falha na publicação de políticas de divulgação de vulnerabilidades para relatar vulnerabilidades.