Агентство национальной безопасности (АНБ) и Агентство по кибербезопасности и безопасности инфраструктуры (CISA) вновь призвали к переходу на безопасные для памяти языки программирования (Memory Safe Languages, MSL).
В новом совместном отчёте «Безопасные для памяти языки: снижение уязвимостей в разработке современного программного обеспечения» описывается необходимость модернизации ПО с помощью MSL для борьбы с уязвимостями, связанными с памятью, которые продолжают преследовать критически важные системы.
В релизе содержится призыв к организациям, в первую очередь тем, что управляют устаревшими системами или высокорисковой инфраструктурой, внедрять языки, способные предотвращать распространённые ошибки памяти по умолчанию. Хотя проблемы производительности и совместимости остаются, агентства уверены, что они преодолимы и намного перевешиваются долгосрочными преимуществами для целостности системы.
В правительстве и отрасли формируется консенсус в отношении того, что безопасность памяти в современной разработке следует считать основополагающей, особенно по мере того, как инструменты и экосистемы, поддерживающие MSL (например, Rust) становятся более зрелыми. Эти языки минимизируют целые классы уязвимостей, такие как переполнение буфера, которые остаются одними из самых используемых в кибератаках.
Однако переход не обходится без трений. Для устранения существующих барьеров ведомства поощряют модульные переписывания, надёжное управление зависимостями и целевые программы обучения, включающие принципы безопасности памяти.
Академия уже внедряет MSL в учебные программы, особенно высокого уровня — Python и Java. Программы TRACTOR (Translating All C TO Rust) и V-SPELLS (Verified Security and Performance Enhancement of Large Legacy Software) от DARPA (Агентство перспективных исследовательских проектов Министерства обороны США) также направлены на автоматизацию модернизации, переводя устаревший код C в Rust.
Тем не менее, отчёт предупреждает, что MSL не являются панацеей. Для ограниченных сред или ситуаций, когда полный переход невозможен, документ описывает альтернативы: аппаратное обеспечение для маркировки памяти или усиление компилятора (они могут повысить безопасность без отказа от существующих архитектур). В то же время АНБ и CISA утверждают, что широкое внедрение MSL остаётся наиболее эффективным путём устранения уязвимостей памяти в масштабе.
Усам Оздемиров
