VNR Content
Pearl
Chính phủ Mỹ đang kêu gọi ngừng lập trình phần mềm bằng C hoặc C++. Trong một báo cáo mới, Văn phòng Giám đốc An ninh Mạng Quốc gia của Nhà Trắng (ONCD) đã kêu gọi các nhà phát triển sử dụng "ngôn ngữ lập trình an toàn về bộ nhớ", một danh mục không bao gồm các ngôn ngữ phổ biến. Lời khuyên này là một phần của chiến lược An ninh mạng của Tổng thống Mỹ Biden và là một bước đi để "bảo mật các khối xây dựng của không gian mạng".
An toàn về bộ nhớ đề cập đến việc bảo vệ khỏi các lỗi và lỗ hổng liên quan đến truy cập bộ nhớ. Tràn bộ đệm và con trỏ treo là những ví dụ về điều này. Java được coi là một ngôn ngữ lập trình an toàn về bộ nhớ do kiểm tra lỗi thời gian chạy của nó. Tuy nhiên, C và C++ đều cho phép phép toán con trỏ tùy ý với địa chỉ bộ nhớ trực tiếp và không kiểm tra giới hạn.
Năm 2019, các kỹ sư an ninh của Microsoft đã báo cáo rằng khoảng 70% các lỗ hổng an ninh được gây ra bởi các vấn đề an toàn về bộ nhớ. Google đã báo cáo cùng một con số vào năm 2020, lần này là cho các lỗi được tìm thấy trong trình duyệt Chromium.
"Các chuyên gia đã xác định một số ngôn ngữ lập trình cả thiếu các đặc điểm liên quan đến an toàn bộ nhớ và cũng có sự phổ biến cao trên các hệ thống quan trọng, chẳng hạn như C và C++. Việc chọn sử dụng ngôn ngữ lập trình an toàn về bộ nhớ ngay từ ban đầu, như được khuyến nghị bởi Bản đồ đường Lập trình Phần mềm Mã nguồn mở An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) là một ví dụ về việc phát triển phần mềm theo cách an toàn theo thiết kế."
Mục tiêu của báo cáo 19 trang là đảm bảo rằng trách nhiệm về an ninh mạng không chỉ nằm trong tay cá nhân và doanh nghiệp nhỏ. Thay vào đó, trách nhiệm nằm ở các tổ chức lớn hơn, các công ty công nghệ, và cuối cùng là chính phủ.
Báo cáo nêu "ngôn ngữ lập trình không an toàn" là C và C++.
ONCD đã yêu cầu các công ty và kỹ sư áp dụng các phương pháp thực hành tốt nhất trong phát triển phần mềm và áp dụng phần cứng an toàn về bộ nhớ để giảm bề mặt tấn công mà các tác nhân độc hại có thể tấn công. Báo cáo không chi tiết những gì nó coi là ngôn ngữ lập trình an toàn về bộ nhớ. Tuy nhiên, vào tháng 11 năm 2022, Cơ quan An ninh Quốc gia (NSA) đã phát hành một tờ thông tin an ninh mạng chi tiết về các ngôn ngữ lập trình mà nó coi là an toàn về bộ nhớ.
Sau đây là các ngôn ngữ lập trình được khuyên dùng:
- Rust
- Go
- C#
- Java
- Swift
- JavaScript
- Ruby
Ngôn ngữ lập trình được đề xuất phổ biến như thế nào? Kiểm tra chỉ số TIOBE, một chỉ số về sự phổ biến của ngôn ngữ lập trình, chúng ta thấy Python đứng ở vị trí số một. Trong số các tùy chọn ưa thích của NSA, C# đứng ở vị trí thứ năm, Java ở vị trí thứ tư, JavaScript ở vị trí thứ sáu và Go ở vị trí thứ tám. Đứng cuối cùng là Swift ở vị trí 16, Rust ở vị trí 18 và Ruby vừa vượt qua ở vị trí 20. Vậy ngôn ngữ được chọn của NSA đều nằm trong top 20, nhưng chỉ có bốn trong số bảy ngôn ngữ là "phổ biến" với các nhà phát triển.
Báo cáo cũng kêu gọi các biện pháp tốt hơn về an ninh phần mềm. ONCD tin rằng các số liệu tốt hơn cho phép các nhà cung cấp công nghệ lên kế hoạch, dự đoán và giảm thiểu các lỗ hổng trước khi chúng trở thành vấn đề.
Trong phần hai (trang 8), báo cáo nhắc lại nhiệm vụ Apollo 13, một nhiệm vụ mà NASA phân loại là một "thất bại thành công." Nhiệm vụ đã gặp phải một thất bại thảm họa khiến ba phi hành gia phải sửa chữa và giảm thiểu một số vấn đề để trở về nhà an toàn. Nhu cầu về mã an toàn về bộ nhớ cũng ảnh hưởng đến chương trình không gian, và báo cáo chi tiết rằng một ngôn ngữ an toàn về bộ nhớ, một ngôn ngữ càng gần với kernel càng tốt, nên được sử dụng để tránh một sự cố trong tương lai.
Báo cáo này là báo cáo mới nhất trong một loạt các bước đi được chính phủ Hoa Kỳ thực hiện. Vào tháng 3 năm 2023, Tổng thống Biden đã ký một sắc lệnh điều hành an ninh mạng nhằm khởi động các quy trình bảo mật phần mềm và phần cứng, đồng thời củng cố các mối quan hệ trong ngành công nghệ.
Khi thế giới của chúng ta ngày càng trở nên số hóa, nhu cầu mã hóa tốt hơn trở nên quan trọng hơn. Mã xấu có thể được sử dụng với mục đích xấu để khai thác điểm yếu. Báo cáo nêu bật lỗ hổng Log4j từ tháng 12 năm 2021, trong đó thư viện ghi nhật ký Java nguồn mở, Log4j, đã bị khai thác thông qua lỗ hổng zero-day có tên Log4Shell.
>>> CEO NVIDIA CHO RẰNG LẬP TRÌNH KHÔNG PHẢI KĨ NĂNG QUAN TRỌNG, NGƯỜI TRẺ KHÔNG CẦN HỌC CODE NỮA
An toàn về bộ nhớ đề cập đến việc bảo vệ khỏi các lỗi và lỗ hổng liên quan đến truy cập bộ nhớ. Tràn bộ đệm và con trỏ treo là những ví dụ về điều này. Java được coi là một ngôn ngữ lập trình an toàn về bộ nhớ do kiểm tra lỗi thời gian chạy của nó. Tuy nhiên, C và C++ đều cho phép phép toán con trỏ tùy ý với địa chỉ bộ nhớ trực tiếp và không kiểm tra giới hạn.
Năm 2019, các kỹ sư an ninh của Microsoft đã báo cáo rằng khoảng 70% các lỗ hổng an ninh được gây ra bởi các vấn đề an toàn về bộ nhớ. Google đã báo cáo cùng một con số vào năm 2020, lần này là cho các lỗi được tìm thấy trong trình duyệt Chromium.
"Các chuyên gia đã xác định một số ngôn ngữ lập trình cả thiếu các đặc điểm liên quan đến an toàn bộ nhớ và cũng có sự phổ biến cao trên các hệ thống quan trọng, chẳng hạn như C và C++. Việc chọn sử dụng ngôn ngữ lập trình an toàn về bộ nhớ ngay từ ban đầu, như được khuyến nghị bởi Bản đồ đường Lập trình Phần mềm Mã nguồn mở An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) là một ví dụ về việc phát triển phần mềm theo cách an toàn theo thiết kế."
Mục tiêu của báo cáo 19 trang là đảm bảo rằng trách nhiệm về an ninh mạng không chỉ nằm trong tay cá nhân và doanh nghiệp nhỏ. Thay vào đó, trách nhiệm nằm ở các tổ chức lớn hơn, các công ty công nghệ, và cuối cùng là chính phủ.
Báo cáo nêu "ngôn ngữ lập trình không an toàn" là C và C++.
ONCD đã yêu cầu các công ty và kỹ sư áp dụng các phương pháp thực hành tốt nhất trong phát triển phần mềm và áp dụng phần cứng an toàn về bộ nhớ để giảm bề mặt tấn công mà các tác nhân độc hại có thể tấn công. Báo cáo không chi tiết những gì nó coi là ngôn ngữ lập trình an toàn về bộ nhớ. Tuy nhiên, vào tháng 11 năm 2022, Cơ quan An ninh Quốc gia (NSA) đã phát hành một tờ thông tin an ninh mạng chi tiết về các ngôn ngữ lập trình mà nó coi là an toàn về bộ nhớ.
Sau đây là các ngôn ngữ lập trình được khuyên dùng:
- Rust
- Go
- C#
- Java
- Swift
- JavaScript
- Ruby
Ngôn ngữ lập trình được đề xuất phổ biến như thế nào? Kiểm tra chỉ số TIOBE, một chỉ số về sự phổ biến của ngôn ngữ lập trình, chúng ta thấy Python đứng ở vị trí số một. Trong số các tùy chọn ưa thích của NSA, C# đứng ở vị trí thứ năm, Java ở vị trí thứ tư, JavaScript ở vị trí thứ sáu và Go ở vị trí thứ tám. Đứng cuối cùng là Swift ở vị trí 16, Rust ở vị trí 18 và Ruby vừa vượt qua ở vị trí 20. Vậy ngôn ngữ được chọn của NSA đều nằm trong top 20, nhưng chỉ có bốn trong số bảy ngôn ngữ là "phổ biến" với các nhà phát triển.
Báo cáo cũng kêu gọi các biện pháp tốt hơn về an ninh phần mềm. ONCD tin rằng các số liệu tốt hơn cho phép các nhà cung cấp công nghệ lên kế hoạch, dự đoán và giảm thiểu các lỗ hổng trước khi chúng trở thành vấn đề.
Trong phần hai (trang 8), báo cáo nhắc lại nhiệm vụ Apollo 13, một nhiệm vụ mà NASA phân loại là một "thất bại thành công." Nhiệm vụ đã gặp phải một thất bại thảm họa khiến ba phi hành gia phải sửa chữa và giảm thiểu một số vấn đề để trở về nhà an toàn. Nhu cầu về mã an toàn về bộ nhớ cũng ảnh hưởng đến chương trình không gian, và báo cáo chi tiết rằng một ngôn ngữ an toàn về bộ nhớ, một ngôn ngữ càng gần với kernel càng tốt, nên được sử dụng để tránh một sự cố trong tương lai.
Báo cáo này là báo cáo mới nhất trong một loạt các bước đi được chính phủ Hoa Kỳ thực hiện. Vào tháng 3 năm 2023, Tổng thống Biden đã ký một sắc lệnh điều hành an ninh mạng nhằm khởi động các quy trình bảo mật phần mềm và phần cứng, đồng thời củng cố các mối quan hệ trong ngành công nghệ.
Khi thế giới của chúng ta ngày càng trở nên số hóa, nhu cầu mã hóa tốt hơn trở nên quan trọng hơn. Mã xấu có thể được sử dụng với mục đích xấu để khai thác điểm yếu. Báo cáo nêu bật lỗ hổng Log4j từ tháng 12 năm 2021, trong đó thư viện ghi nhật ký Java nguồn mở, Log4j, đã bị khai thác thông qua lỗ hổng zero-day có tên Log4Shell.
>>> CEO NVIDIA CHO RẰNG LẬP TRÌNH KHÔNG PHẢI KĨ NĂNG QUAN TRỌNG, NGƯỜI TRẺ KHÔNG CẦN HỌC CODE NỮA
