近日,拜登政府正不断向科技行业施压,要求企业使用能够防止内存相关错误的编程语言,从设计之初就确保产品的安全性。
自80年代以来,这种内存错误就一直存在,攻击者可以滥用软件对计算机内存的管理方式,入侵系统、破坏数据或运行恶意代码。目前,国家网络安全局(ONCD)正在采取措施,以降低这种错误带来的风险。
ONCD领导人哈里·科克尔(Harry Coker)在介绍白宫为科技行业制作的一份新报告时表示,为了减少网络空间的攻击面,必须通过保护网络空间的基础构建来大规模消除整个类别的漏洞。
白宫指出,这份报告得到了包括SAP、惠普企业和霍尼韦尔在内的科技公司和学术界领导者的支持,意味着网络安全的责任从个人和小型企业转向科技公司这一样的大型组织迈出了重要一步,因为这些大公司更有能力应对不断变化的网络威胁。
报告提到,C和C++等编程语言在关键系统中的使用非常广泛,但它在内存安全性方面缺乏相关特性,建议采用像Rust、Python和Java等编程语言作为替代。
拜登政府的一位高级官员表示,白宫希望除工程师外的高管们也要开始关注这个问题,希望内存安全成为许多公司下一次董事会议程中的一项。
据介绍,该报告编制工作耗时超过一年,期间与科技行业进行了多次接触和讨论,那些拥有大量产品线的大型公司在这个议题上会面临繁重的工作量。需要明确的是,迁移到内存安全代码可能需要长达数十年的努力,具体取决于公司的规模,并且需要所有人的关注和支持。但是,那些做出改变的公司将对国家的安全产生重大影响。
政府官员表示:“这种转变之所以困难,是因为在过去的35年里,威胁行为者一直在利用这种错误向我们发起攻击。而现在,我们已经具备了做出改变所需要的技术,正是进行转型的恰当时机。”
回顾三十多年前,计算机内存漏洞不仅促成了最初的互联网安全事件之一——1988年的莫里斯蠕虫,而且直至今日仍然为攻击者提供可利用的机会,例如2023年间谍软件供应商所使用的BLASTPASS漏洞攻击链。
报告还提到,科技行业应该建议制定更精确的软件安全性评估指标,但根据白宫发布的简报,这需要在软件工程和网络安全研究领域进行新尝试。
事实上,该报告是对乔·拜登总统2021年发布的网络安全行政命令以及2023年发布的国家网络安全战略的最新跟进。
其他机构也倡导技术行业在产品开发过程中尽早考虑安全性。例如,网络安全和基础设施安全局(CISA)的“安全设计”倡议,以及商务部关于软件物料清单(SBOM)最低要素的报告。去年12月,国家安全局(NSA)和CISA还发布了一份关于内存安全编程的指南。