近日，拜登政府正不斷向科技行業(yè)施壓，要求企業(yè)使用能夠防止內(nèi)存相關(guān)錯(cuò)誤的編程語(yǔ)言，從設(shè)計(jì)之初就確保產(chǎn)品的安全性。

自80年代以來(lái)，這種內(nèi)存錯(cuò)誤就一直存在，攻擊者可以濫用軟件對(duì)計(jì)算機(jī)內(nèi)存的管理方式，入侵系統(tǒng)、破壞數(shù)據(jù)或運(yùn)行惡意代碼。目前，國(guó)家網(wǎng)絡(luò)安全局（ONCD）正在采取措施，以降低這種錯(cuò)誤帶來(lái)的風(fēng)險(xiǎn)。

ONCD領(lǐng)導(dǎo)人哈里·科克爾（Harry Coker）在介紹白宮為科技行業(yè)制作的一份新報(bào)告時(shí)表示，為了減少網(wǎng)絡(luò)空間的攻擊面，必須通過(guò)保護(hù)網(wǎng)絡(luò)空間的基礎(chǔ)構(gòu)建來(lái)大規(guī)模消除整個(gè)類(lèi)別的漏洞。

白宮指出，這份報(bào)告得到了包括SAP、惠普企業(yè)和霍尼韋爾在內(nèi)的科技公司和學(xué)術(shù)界領(lǐng)導(dǎo)者的支持，意味著網(wǎng)絡(luò)安全的責(zé)任從個(gè)人和小型企業(yè)轉(zhuǎn)向科技公司這一樣的大型組織邁出了重要一步，因?yàn)檫@些大公司更有能力應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅。

報(bào)告提到，C和C++等編程語(yǔ)言在關(guān)鍵系統(tǒng)中的使用非常廣泛，但它在內(nèi)存安全性方面缺乏相關(guān)特性，建議采用像Rust、Python和Java等編程語(yǔ)言作為替代。

拜登政府的一位高級(jí)官員表示，白宮希望除工程師外的高管們也要開(kāi)始關(guān)注這個(gè)問(wèn)題，希望內(nèi)存安全成為許多公司下一次董事會(huì)議程中的一項(xiàng)。

據(jù)介紹，該報(bào)告編制工作耗時(shí)超過(guò)一年，期間與科技行業(yè)進(jìn)行了多次接觸和討論，那些擁有大量產(chǎn)品線的大型公司在這個(gè)議題上會(huì)面臨繁重的工作量。需要明確的是，遷移到內(nèi)存安全代碼可能需要長(zhǎng)達(dá)數(shù)十年的努力，具體取決于公司的規(guī)模，并且需要所有人的關(guān)注和支持。但是，那些做出改變的公司將對(duì)國(guó)家的安全產(chǎn)生重大影響。

政府官員表示：“這種轉(zhuǎn)變之所以困難，是因?yàn)樵谶^(guò)去的35年里，威脅行為者一直在利用這種錯(cuò)誤向我們發(fā)起攻擊。而現(xiàn)在，我們已經(jīng)具備了做出改變所需要的技術(shù)，正是進(jìn)行轉(zhuǎn)型的恰當(dāng)時(shí)機(jī)?！?/p>

回顧三十多年前，計(jì)算機(jī)內(nèi)存漏洞不僅促成了最初的互聯(lián)網(wǎng)安全事件之一——1988年的莫里斯蠕蟲(chóng)，而且直至今日仍然為攻擊者提供可利用的機(jī)會(huì)，例如2023年間諜軟件供應(yīng)商所使用的BLASTPASS漏洞攻擊鏈。

報(bào)告還提到，科技行業(yè)應(yīng)該建議制定更精確的軟件安全性評(píng)估指標(biāo)，但根據(jù)白宮發(fā)布的簡(jiǎn)報(bào)，這需要在軟件工程和網(wǎng)絡(luò)安全研究領(lǐng)域進(jìn)行新嘗試。

事實(shí)上，該報(bào)告是對(duì)喬·拜登總統(tǒng)2021年發(fā)布的網(wǎng)絡(luò)安全行政命令以及2023年發(fā)布的國(guó)家網(wǎng)絡(luò)安全戰(zhàn)略的最新跟進(jìn)。

其他機(jī)構(gòu)也倡導(dǎo)技術(shù)行業(yè)在產(chǎn)品開(kāi)發(fā)過(guò)程中盡早考慮安全性。例如，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的“安全設(shè)計(jì)”倡議，以及商務(wù)部關(guān)于軟件物料清單（SBOM）最低要素的報(bào)告。去年12月，國(guó)家安全局（NSA）和CISA還發(fā)布了一份關(guān)于內(nèi)存安全編程的指南。