Ulusal Siber Direktör Ofisi’nin en son teknik raporu geliştiricilere çağrıda bulundu bellek güvenli programlama dillerini kullanmaya geçiş yazılımdaki bellek güvenliği açıklarının sayısını azaltmak amacıyla.
Teknoloji Güvenliği Ulusal Siber Direktör Yardımcısı Anjana Rajan yaptığı açıklamada, “Otuz beş yıldır hafıza güvenliği açıkları dijital ekosistemi rahatsız ediyor, ancak bu böyle olmak zorunda değil” dedi. Raporun amacı, mühendislerin kullandıkları yazılım yapı taşları hakkında mimari ve tasarım kararları vermelerine yardımcı olmaktır.
Bellek açısından güvenli programlama dillerinin kullanılması, uygulamalardaki arabellek taşmaları gibi bellek güvenliği saldırılarını önlemenin bir yolu olarak uzun süredir öne sürülüyor. Veri Yürütme Koruması (DEP) ve Adres Alanı Düzeni Rastgeleleştirmesi (ASLR) gibi teknikler, saldırganların bellek güvenliği saldırıları gerçekleştirmesini zorlaştırır. Geliştiricilerin kodlarındaki bellek sorunlarını önlemek için kullanması gereken güvenli dize işleme kitaplıkları vardır. Yaygın olarak kullanılan kütüphaneleri yeniden yazmayı amaçlayan çok sayıda proje de mevcut. Rust gibi dilleri kullanma.
Bu saldırıların hala yaygın olması, kodu yeniden yazmanın zorluğunu vurguluyor. Java ve .NET’in bellek güvenliği sağladığı göz önüne alındığında, birçok kurumsal yazılım ve mobil uygulama zaten bellek açısından güvenli dillerde yazılmıştır. İşin zor kısmı, özellikle altyapıya derinlemesine yerleşmiş olma eğiliminde oldukları için, şu anda bellek açısından güvenli olmayan mevcut Java ve .NET olmayan yazılım sistemlerinde değişiklikler yapmaktır. Vectra AI’nin teknolojiden sorumlu başkan yardımcısı Tim Wade’e göre, hafıza açısından güvenli bir alternatif için bunları kaldırma çabası “önemsiz” olacaktır. Bir seçenek, mevcut sistemleri değiştirmeye çalışmak yerine, gelecekte bellek açısından güvenli bir dilde yazılmış yazılım satın almaya öncelik vermek olabilir.
National Cyber, “Bunu yapıyoruz çünkü yaygın güvenlik açıkları ve risklere ilişkin mevcut veriler, bunu onlarca yıldır en yaygın hata sınıflarından biri olarak tanımlıyor. Yazılım ve donanım yaratıcılarının bu sorunu çözmek için en iyi konumda oldukları açıktır.” Yönetmen Harry Coker gazetecilerle yaptığı görüşmede şunları söyledi. “Tüm programlama dilleri eşit yaratılmamıştır ve bazıları doğası gereği daha güvensizdir.”