What's new
By:
Filters
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

АНБ призывает IT-компании отказываться от C и C++

Z

ZX9R

Midle Weight
Депозит
$0
Специалисты АНБ считают, что небезопасные языки программирования открывают слишком много уязвимостей для киберпреступников.
В последнем отчете Агентства национальной безопасности (АНБ США) говорится о том, что злоумышленники все чаще и чаще начинают использовать уязвимости, связанные с управлением памятью, так как что C и C++ не обеспечивают должный уровень безопасности при работе с ней. Согласно документу, с помощью этих брешей в защите хакерам удается с легкостью получать доступ к конфиденциальной информации, выполнять произвольный код и нарушать цепочки поставок ПО.
В пресс-релизе также были приведены слова технического директора агентства по кибербезопасности, который отметил, что уязвимости, возникающие из-за небезопасной работы с памятью эксплуатируются уже несколько десятилетий и все еще слишком распространены.
Основой таких заявлений стала статистика Google и Microsoft: порядка 70 % всех уязвимостей в продуктах IT-гигантов связаны с безопасностью оперативной памяти. Поэтому АНБ рекомендует организациям начать переходить на безопасные языки программирования, такие как C#, Go, Java, Ruby, Rust и Swift.
Эксперты агентства считают, что использование вышеперечисленных языков поможет предотвратить возникновение определенных типов уязвимостей, связанных с памятью. Кроме того, в отчете рекомендуется использовать доступные средства защиты кода: параметры компилятора, анализ инструментов и конфигурации ОС.
 
На самом деле не важно на каком языке написанна система, важен сам подход построения этой системы.

Вот например у ЛК, если интересно сейчас есть проект, вернее он уже давно разрабатывается, но в продакшин начал выходить только сейчас, проект называется "Безопасная ОС".

В чём смысл такого проекта, если вкратце ?

А смысл в том-что, сама по себе система безопасна быть не может, но если мы рассматриваем не просто систему ОС как вакуум, а готовый продукт в комплексе, например телефон, компьютер, то в каждом таком проекте можно выделить уязвимые компоненты и если эти компоненты изолировать при помощи правил безопасности, то можно серьёзно снизить риски взлома.

Так-вот сама ОС ядро, написана на Си, компоненты на С++.

Я к тому, что бредово обвинять во всём язык, нужно архитектурно подходы менять.)
 
ZX9R said:
ZX9R сказал(а):
Поэтому АНБ рекомендует организациям начать переходить на безопасные языки программирования, такие как C#, Go, Java, Ruby, Rust и Swift.
Нажмите, чтобы раскрыть...
Click to expand...
Не ну а что? 50 лет буффер оверфлоу, юз афтер фри и тд бесследно не прошли, чему то люди научились. Забавно в этом списке видеть Ruby, как единственный язык без статической типизации, почему не Петухон тогда уж на его месте?
 
SVG45qbVolk said:
SVG45qbVolk сказал(а):
Кваке очень любит язык С, а тут говорят, что от него следует отказаться, как от ущербного
Нажмите, чтобы раскрыть...
Click to expand...
Тут он орнул с новости. Не обязательно лайкать в поддержку поста. Можно этому придавать эмоциональную окраску (смех), или просто соглашаясь с некой его частью (даже фразой), либо же, раз ты не модер, купить себе премиум и ебaшить всем подряд (как я), без ограничений в количестве. Ты же ограничен условностями и зажал денег для форума, поэтому не преисполнился в своем познании нихyя.
 
Кстати, даже четкие пацанчики согласны с АНБшниками в том, что Цэ мерзкий язык))
 
Да ладно...

Я на нём кодю можно сказать почти всю жизнь, но так и не изучил до конца, как-то постоянно что-то новое открываю.)

А вот С++, это страшный зверь для меня, хотя-да не спорю есть куча всяких интересных фишек, которые помогают в разработке, но тоже там куча подводных камней и возможностей выстрелить себе в ногу, я-бы не сказал что на много меньше, чем в Си.

Про остальные модные языки не скажу, так плотно не работал с ними, но было-бы интересно попробовать, может в будущем если будут какие-то задачи.)
 
ZX9R said:
ZX9R сказал(а):
Поэтому АНБ рекомендует организациям начать переходить на безопасные языки программирования, такие как C#, Go, Java, Ruby, Rust и Swift.
Нажмите, чтобы раскрыть...
Click to expand...
0_0. После их рекомендаций - языки из списка уже не выглядят безопастными)
DildoFagins said:
DildoFagins сказал(а):
Не ну а что? 50 лет буффер оверфлоу, юз афтер фри и тд бесследно не прошли
Нажмите, чтобы раскрыть...
Click to expand...
Huh! Да ладно, серьездна?
Тру писаки 50 лет пишут на всяких Ada-x и все у них путем. Это про боинг и Ко.
Я это все к чему? - Если во времена статических анализаторов, и огромного множества фрэймворков
для автоматизированого тестирования и фаззеров - у кого то где-то баги - тот сам дурак. Или бери язык не нативный ,где за тебя старые дядьки, на Си, уже все уже написали - или пиши и проверяй\тестируй. Нечего на зеркало пенять если рожа крива.
 
Еб@ть, реально тупой совет, а если для проекта важна скорость работы ПО, на чем они предлагают тогда писать?
 
ZX9R said:
ZX9R сказал(а):
Основой таких заявлений стала статистика Google и Microsoft
Нажмите, чтобы раскрыть...
Click to expand...
ZX9R said:
ZX9R сказал(а):
Поэтому АНБ рекомендует организациям начать переходить на безопасные языки программирования, такие как C#, Go
Нажмите, чтобы раскрыть...
Click to expand...
Призываю в ответ АНБшникам уволить с IT компаний криворуких дураков которые допускают уязвимости.
 
Bosh said:
Bosh сказал(а):
у кого то где-то баги - тот сам дурак
Нажмите, чтобы раскрыть...
Click to expand...
Guron_18 said:
Guron_18 сказал(а):
Призываю в ответ АНБшникам уволить с IT компаний криворуких дураков которые допускают уязвимости.
Нажмите, чтобы раскрыть...
Click to expand...
X-Shar said:
X-Shar сказал(а):
Я к тому, что бредово обвинять во всём язык, нужно архитектурно подходы менять.)
Нажмите, чтобы раскрыть...
Click to expand...
Все совершают ошибки,везде находят уязвимости.Чем больше кода вы пишите,тем больше шанс того что рано или поздно вы проебетесь
Даже девелоперы из гугла,оракл,эпл,те кто пишут ядро линукса и тд у которых образование профильное и зп в сотни тысяч долларов в год

"Специалисты компании Google подсчитали, что примерно 70% проблем с безопасность в кодовой базе Chrome связаны с управлением памятью"

70% уязвимостей в Chrome связаны с безопасностью памяти

Специалисты компании Google подсчитали, что примерно 70% проблем с безопасность в кодовой базе Chrome связаны с управлением памятью. Теперь в компании пытаются понять, как лучше решить эту проблему.
xakep.ru
xakep.ru

Вы можете избежать 70 процентов уязвимостей просто используя memory safe язык.Так в чем проблема?
 
АНБ какбы говорит:

- Это не нам бэкдоры оставляют, это прст руки кривые, вот вам выпрямитель рук. Не хотите? Ну сами себе злобные буратины.
 
NOP said:
NOP сказал(а):
Так в чем проблема?
Нажмите, чтобы раскрыть...
Click to expand...
Проблема в том, что вся специфика ЯП расписана ОТ и ДО в документации. Все исключения и все их решения присутствуют там же. Если все свалить на ту же IDE мол пусть сама все делает и ЯП сам все почищает за собой, то вытекает вопрос, а кодеры тогда зачем?

В общем моя позиция, что не ЯП виноват (в 99.99% случаев), а именно не квалицицированные или просто уставшие или ложившие болт или еще какие, разработчики.

Вроде уже есть ИИ которая пишет коды. Вопрос времени и области применения.
 
Сам Страуструп в своем труде "Программирование. Принципы и практика с использованием C++" рассказывает об этом, что нельзя было создать C++ более безопасным, в таком случае он не давал бы столько свободы разработчику. И там же он поднимает вопрос о хороших и плохих "принципах и практиках", как избегать ошибок и пр., и как уже выше сказали, здесь вопрос компетенций разработчика, который допускает такие ошибки. А уж тем более когда такие ошибки допускают в критической инфраструктуре, где за этим должен быть надлежащий контроль.

Имхо, если просто поменять инструмент (язык в данном случае), то кто дает гарантий, что не будет никаких проблем?

Сейчас все написано на C++, и хакеры изучает все подходы и тактики чтобы проэксплуатировать системы. А будет все написано на том же Rust, будут искать подходы точно также. Просто сейчас он не в фокусе, и о его безопасности никто не говорит. А как начнут широко применять, уверен, и там проблем не меньше, если не больше))
 
You must log in or register to reply here.
Top