Агентство кибербезопасности и инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) просят разработчиков отказаться от «небезопасных» языков программирования, таких как C и C++.
По словам экспертов, популярные языки, такие как C и C++, страдают от одного и того же недостатка – они уязвимы к ошибкам, связанным с использованием памяти.
В отличие от Rust, Python или Java, языки C и C++ оставили большую часть бремени безопасности на разработчиков, где небрежная практика кодирования и неаккуратное тестирование кода могут привести к уязвимостям в безопасности, которые могут быть использованы злоумышленниками для получения доступа к файлам или внедрения вредоносного кода.
По словам инженера Microsoft Мэтта Миллера, около 70% всех уязвимостей программного обеспечения, устраняемых в ежегодных обновлениях безопасности для продуктов Microsoft, – это проблемы с безопасностью памяти.
Проблема достигла такого масштаба, что в 2022 году Агентство национальной безопасности (АНБ) опубликовало руководство, рекомендующее организациям использовать языки, безопасные для памяти (MSL).
Агентство повторило эту рекомендацию вместе с международными партнерами в 2023 году, призвав руководителей высшего звена и технических специалистов серьезно относиться к разработке.
Агентство перспективных оборонных исследовательских проектов США (DARPA) запустило программу TRACTOR, чтобы ускорить переход с помощью ИИ.
Программа TRACTOR направлена на использование LLM, а также статического и динамического анализа для максимальной автоматизации процесса трансляции кода, что позволит снять часть нагрузки с программистов.
