白宫国家网络主任办公室 (ONCD) 发布了一份报告,呼吁科技界主动减少网络空间的攻击面;通过改用 Rust 等内存安全编程语言,减少内存安全漏洞的数量来提高软件安全性。同时鼓励研究界解决软件可测量性问题,以便开发出更好的测量网络安全质量的诊断方法。
ONCD 例举了历史上一些著名的网络攻击事件,包括:1988 年的 Morris 蠕虫病毒、2003 年的 Slammer 蠕虫病毒、2014 年的 Heartbleed 漏洞、2016 年的 Trident 漏洞、2023 年的 Blastpass 漏洞。并指出,所有这些问题的背后都有一个共同的根本原因,即内存安全漏洞。
报告称:“35 年来,三十五年来,内存安全漏洞一直困扰着数字生态系统,但情况本不必如此。消除整类软件漏洞的挑战是一个紧迫而复杂的问题。展望未来,必须采取新方法来减轻这种风险。”
“减少内存安全漏洞的最高杠杆方法是保护网络空间的构建模块之一:编程语言。使用内存安全编程语言可以消除大多数内存安全错误。”
在此之前,美国国家安全局 (NSA) 曾于 2022 年 11 月发布了关于软件开发人员如何防止软件内存安全问题的指南。美国网络安全与基础设施安全局 (CISA) 也在 2023 年 12 月发布了类似报告,要求过渡到内存安全编程语言,通过消除与内存相关的漏洞来减少软件产品的攻击面。
ONCD 报告以美国总统拜登于 2023 年 3 月签署的国家网络安全战略为基础,将网络安全的责任从个人和小型企业转移到技术公司和联邦政府等更有能力管理不断变化的威胁的大型组织身上。并在与整个联邦政府的安全设计计划和研发工作保持一致的同时更进一步,涵盖了由 CISA、NSA、FBI 和 NIST 领导的计划和研发工作。
报告中有关内存安全的工作还补充了美国国会对此主题的兴趣。此外,美国参议院国土安全和政府事务委员会主席 Gary Peters (D-MI) 和美国参议员 Ron Wyden (D-OR) 也向 ONCD 强调了他们在内存安全方面的立法努力。
更多详情可查看完整报告。
相关阅读:
- 美国国家安全局建议从 C/C++ 切换到内存安全语言
- 美国 CISA 建议放弃 C/C++,消除内存安全漏洞