Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ile işbirliği içinde, “Bellek Güvenli Diller: Modern Yazılım Geliştirmede Güvenlik Açıklarını Azaltma” başlıklı kapsamlı bir rehber yayınladı.
Haziran 2025’te yayınlanan bu rapor, uzun süredir rahatsız edici yazılım sistemlerine sahip yaygın bellek güvenliği güvenlik açıklarıyla mücadele etmek için Bellek Güvenli Dilleri (MSL’ler) benimseme kritik ihtiyacının altını çizmektedir.
Arabellek taşmaları ve büyük platformlarda ortak güvenlik açıklarının ve maruziyetlerinin (CVV’ler) şaşırtıcı bir şekilde% 66-75’ine katkıda bulunan bellekle ilgili hatalar, Google Project Zero ve diğerlerinden kaynaklanan çalışmalarla vurgulandığı gibi, yazılım geliştirme uygulamalarındaki bir paradigma değişiminin aciliyetine katkıda bulunur.
.png
)
Hafıza Güvenli Dillerin Evlat Edinme Acil Çağrı
Kılavuz, 800.000 web sitesinde ve Badalloc’ta hassas verileri tehlikeye atan, 195 milyondan fazla aracı ve kritik altyapıyı etkileyen Heartbleed gibi kötü olaylarla örneklenen bellek güvenliği sorunlarının ulusal güvenlik ve kamu güvenliği için ciddi riskler oluşturduğunu detaylandırıyor.
Rust, Java, Go ve Python gibi diller dahil MSL’ler, sınır kontrolü, çöp toplama veya katı sahiplik kuralları ve veri yarışlarının önlenmesi gibi yerleşik korumalar yerleştirir.
Bu mekanizmalar, geliştirici disiplinine veya geliştirme sonrası analiz araçlarına olan güvenini azaltarak, dil düzeyinde tüm güvenlik açıkları sınıflarını proaktif olarak ortadan kaldırır.
Raporda, Android’in MSLS’ye geçişinden kaynaklandığı kanıtlar, hafıza güvenliği güvenlik açıklarının 2019’da% 76’dan yeni kod için Rust ve Java’ya öncelik verdikten sonra 2024 yılına kadar sadece% 24’e düştüğü ve bu yaklaşımın büyük ölçekli sistemler üzerindeki somut etkisini gösteriyor.
Yazılım güvenliğini artırmak için stratejik yol haritası
CISA ve NSA, MSLS’nin stratejik olarak benimsenmesini savunuyor ve mevcut kod tabanlarını geçiş zorluklarını kabul eden dengeli bir yaklaşımı vurguluyor.
Kılavuz, tam yeniden yazmayı zorunlu kılmak yerine, yeni projelerle başlamayı ve MSL’leri ağa bakan hizmetler veya şifreleme işlevleri gibi yüksek riskli bileşenlere aşamalı olarak entegre etmenizi önerir.
MSL olmayan kodla birlikte çalışabilirlik için sağlam diller arası API’ler tarafından desteklenen bu yöntem, güvenliği artırırken bozulmayı en aza indirir.
Raporda ayrıca, diller arası iletişimde performans ek yükü ve geliştirici eğitimine duyulan ihtiyaç gibi, kuruluşları ekosistem boşluklarını köprülemek için upskilling ve takımlara yatırım yapmaya çağırıyor.
Bu zorluklara rağmen, uzun vadeli faydalar saldırı yüzeylerini azalttı, daha az güvenlik olayları ve daha düşük bakım maliyetleri MSL entegrasyonu için zorlayıcı bir durum oluşturdu.
Teknik önerilerin ötesinde, rehber, geliştirme yaşam döngüsü boyunca proaktif güvenliği savunarak CISA’nın Tasarım İlkeleri ve NIST Güvenli Yazılım Geliştirme Çerçevesi (SSDF) gibi daha geniş siber güvenlik girişimleriyle uyumludur.
Ayrıca, DARPA’nın All C’ye (traktör) Rust’a (traktör) çevirme gibi programlarından Open Source Güvenlik Vakfı (OpenSSF) gibi gruplara göre MSL’nin benimsenmesini sağlamak için akademi, hükümet ve endüstride işbirlikçi çabalarını vurgulamaktadır.
Bu paydaşlar, MSL uzmanlığı için talep yaratarak ve bellek güvenliği konusunda eğitim müfredatını teşvik ederek, esnek bir yazılım ekosistemi oluşturmayı amaçlamaktadır.
CISA’nın yol haritası, kuruluşların bellek güvenliğine öncelik vermesi için bir açıklama çağrısıdır, bu da en tehlikeli güvenlik açığı sınıflarından birini azaltmak ve gelecek için dijital manzarayı güvence altına almak için bir yol sunmaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin