Dalış Özeti:
- FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı, kritik açık kaynaklı projelerin yarısından biraz fazlasının bellek açısından güvenli olmayan diller kullanılarak kodlandığını bildirdi Çarşamba günü yayınlanan rapor.
- Ajanslar, en büyük projelerin orantısız bir şekilde hafıza açısından güvenli olmayan dillere bağımlı olduğunu tespit etti. Rapor, Açık Kaynak Güvenliği Vakfı’nın Kritik Projeler Çalışma Grubu’ndan toplam 172 kritik projeyi analiz etti.
- En büyük 10 projede hafıza açısından güvenli olmayan dilin ortalama oranı %62,5 oldu. İlk 10’daki dördünün kodlarının %94’ünden fazlası bellek açısından güvenli olmayan dillerde yazılmış.
Dalış İçgörüsü:
Federal yetkililer, açık kaynak topluluğunun ve yazılım endüstrisinin, C ve C++ dahil, bellek açısından güvenli olmayan dillerin kullanımını aşamalı olarak ortadan kaldırmasını sağlamak için aktif olarak çalışıyor. Bu dillerin, kötü niyetli tehdit gruplarının yararlanabileceği kritik güvenlik açıklarına karşı oldukça savunmasız olduğu değerlendirilmektedir.
CISA Direktörü Jen Easterly, 2023’te sektöre çağrıda bulundu: Bellek açısından güvenli programlamaya geçiş tasarım gereği güvenli geliştirme uygulamalarını benimsemeye yönelik daha büyük çabanın bir parçası olarak dilleri geliştirdi, böylece yazılım ve diğer teknoloji ürünleri kötü niyetli bilgisayar korsanlarına karşı daha az savunmasız oldu.
Şubat ayında SAP, Hewlett Packard Enterprise ve Palantir gibi büyük teknoloji firmaları, ABD’nin bir girişimini destekledi. Beyaz Saray, hafıza açısından güvenli kodun benimsenmesini benimseyecek.
Synopsys Software Integrity Group yazılım tedarik zinciri risk stratejisi başkanı Tim Mackey, “Bellek açısından güvenli bir dilin, daha az yararlanılabilir kusura sahip kod ürettiği konusunda hiçbir tartışma yok” dedi.
Mackey, sorunun, geliştirme ekiplerinin genellikle güvenli olmayan dillerde uzman olması olduğunu söyledi. Veya belirli bir yazılım, bellek açısından güvenli olmayan kitaplıklara bağımlıdır.