‘Beş Göz’ ülkelerinin siber güvenlik kurumlarına göre, C ve C++ gibi yazılım geliştiricilerin eski favorileri, bellek açısından güvenli yazılımları garanti edemez ve değiştirilmeleri gerekir.
Ajanslar, devam eden “tasarım yoluyla güvenlik” çabalarının bir parçası olarak, yazılım geliştiricilerini bellek açısından güvenli programlama dillerini benimsemeye çağırdı.
Beş göz sponsorlu belge, yazılımdaki güvenlik açıklarının aslan payından bellek güvenliği arızalarının sorumlu olduğunu açıklıyor: Microsoft’un her bir ürünündeki ve Google’ın Chromium projesindeki yaygın güvenlik açıklarının ve risklerin (CVE’ler) yüzde 70’i ve 34 yüksek veya kritik durumdan 32’si Mozilla’da derecelendirilmiş CVE’ler.
Amerika, Kanada, Avustralya, İngiltere ve Yeni Zelanda’daki siber güvenlik kurumlarının hafıza güvenliğine odaklanması da bundan kaynaklanıyor.
Belgede, bellek güvenliği açıklarının açıklanan hataların en yaygın sınıfı olduğu açıklanmaktadır.
Bu sınıftaki tanıdık güvenlik açığı türleri arabellek taşmalarını ve serbest kullanım sonrası hataları içerir ve saldırganlara “verilere yasa dışı erişim, verileri bozma veya rastgele kötü amaçlı kod çalıştırma” vektörü sağlar.
Ortak belgede, “Bellek için güvenli olmayan dillerin yaygınlığı, şu anda en kritik bilgi işlem işlevlerinde ciddi risk olduğu anlamına geliyor” ifadesine yer veriliyor.
Ajanslar ayrıca “yazılım üreticilerini hafıza açısından güvenli yol haritaları yazmaya ve yayınlamaya güçlü bir şekilde teşvik ediyor.”
Makalede bunun, yazılım satıcılarının güvenlik sonuçlarının sorumluluğunu üstlenerek tasarım yoluyla güvenli ilkeleri benimsediklerinin sinyalini verdiği belirtildi; “radikal şeffaflığın” benimsenmesi; ve güvenli ürünler geliştirmek için yukarıdan aşağıya bir yaklaşım benimsemek.