Siber Güvenlik ve Altyapı Güvenliği Ajansı, yazılım endüstrisini, koddaki güvenlik açıklarını ortadan kaldırmaya yönelik daha geniş bir çabanın parçası olarak bellek açısından güvenli programlama dillerinin kullanımını benimsemeye çağırıyor.
CISA, yazılım geliştirme aşamasında tasarım gereği güvenli uygulamaları benimseme ve açık kaynaklı yazılımların güvenliğini artırma yönündeki çabaların yanı sıra değişiklikler yapılması çağrısında bulundu.
Beyaz Saray Ulusal Siber Direktör Ofisi ağustos ayında bir ar yayınladı.açık kaynak güvenliğine ilişkin bilgi talebiBellek açısından güvenli dillerin geliştirilmesine ilişkin girdi arayan.
Bob Lord, CISA’nın kıdemli teknik danışmanıyazılım geliştiricilerini, ürün gruplarındaki bellek güvenliği açıklarının ortadan kaldırılmasını şirketlerinin bir hedefi haline getirmeye çağırdı. Çarşamba günü yayınlanan blog yazısı. ‘
Lord, blogunda, yazılım üreticilerinin, şirketlerin yazılım geliştirme yaşam döngülerini nasıl değiştirdikleri hakkında ayrıntılı bilgi veren bir “bellek güvenliği yol haritası” yayınlayarak sürece başlamaları gerektiğini yazdı.
Yol haritası, bir yazılım şirketinin bellek açısından güvenli dillerde ürünler oluşturmaya başlayacağı tarih gibi ayrıntıların yanı sıra açık kaynak kitaplıklarda bellek güvenliği girişimlerini desteklemeye yönelik planların ana hatlarını da içerebilir.
“Bellek güvensizliği, onlarca yıldır yazılım endüstrisinin başına bela olmuştur ve yazılım üreticilerinin üst düzey iş liderleri uygun yatırımlar yapıp müşterilerinin güvenlik sonuçlarının sahipliğini alana kadar önemli bir güvenlik açığı ve gerçek dünya zararı kaynağı olmaya devam edecektir.” blog.
Google’ın tahminlerine göre, yazılımlarda bulunan güvenlik açıklarının %70’inden fazlasını bellek güvenliği sorunları oluşturuyor.
Sonatype’ın CTO’su ve kurucu ortağı Brian Fox, güvenli olmayan bellek kullanımının belirtileri olan boş işaretçiler ve arabellek taşmaları gibi sorunların güvenlik açıklarının önemli bir yüzdesinden sorumlu olduğunu söyledi.
CISA Direktörü Jen Easterly, Pazartesi günü yaptığı açıklamada, C ve C++ gibi güvenli olmayan dillerin kullanımının kötü niyetli saldırılar için favori hedef haline geldiğini, çünkü bu dillerin en hızlı çalıştırılanlar arasında olduğunu ve birçok program ve işletim sisteminde yaygın olarak kullanıldığını söyledi. Blog yazısı.
CISA, Çarşamba günü 2023 Ulusal Siber Güvenlik Eğitimi Toplantısı’na katıldı ve eğitim kurumlarına hafıza güvenli programlama kullanımını ders planlarına dahil etmeleri çağrısında bulundu.