NSA recomenda que não se programe mais em C e C++

Da Redação
13/11/2022

A Agência de Segurança Nacional dos EUA, a NSA, publicou na quinta-feira dia 10 orientações para ajudar desenvolvedores e operadores de software a prevenir e mitigar problemas de segurança de memória de software: eles são responsáveis ​​por grande parte das vulnerabilidades exploráveis. A agência observa que linguagens muito usadas, como C e C++, fornecem muita liberdade e flexibilidade no gerenciamento de memória embora dependam muito do programador para as verificações necessárias nas referências de memória. Erros simples podem levar a vulnerabilidades exploráveis baseadas em gerenciamento de memória.

Veja isso
Bug de alocação de memória em 25 sistemas operacionais de OT e IoT
Malware já usa linguagens exóticas para evitar detecção

As ferramentas de análise de software podem detectar muitas instâncias de problemas de gerenciamento de memória e as opções de ambiente operacional também podem fornecer alguma proteção, mas as proteções inerentes oferecidas por linguagens de software seguras para memória podem evitar ou atenuar a maioria dos problemas de gerenciamento de memória, alerta a NSA. A agência recomenda o uso uma linguagem de memória segura quando possível.

O comunicado de imprensa também citou as palavras do diretor técnico de segurança cibernética da agência, que observou que as vulnerabilidades decorrentes do manuseio inseguro de memória são exploradas há várias décadas e ainda são muito comuns.

A base de tais declarações foram as estatísticas do Google e da Microsoft: cerca de 70% de todas as vulnerabilidades nos produtos dos gigantes de TI estão relacionadas à segurança da RAM. Portanto, a NSA recomenda que as organizações comecem a migrar para linguagens de programação seguras, como C#, Go, Java, Ruby, Rust e Swift.

O relatório com as recomendações está em “https://media.defense.gov/2022/Nov/10/2003112742/-1/-1/0/CSI_SOFTWARE_MEMORY_SAFETY.PDF”

Compartilhar: