C/C++大限将至!美国强硬要求:2026年前关键软件全面剔除C

大鱼机器人 2024-11-04 15:13
  编译 | 核子可乐、Tina

此次意见可谓美国政府在软件安全方面表达的最强硬立场,消息一出很快引起软件开发商关注:若不对编码实践做出修复,则意味着需要承担过失风险。  

美联邦政府正在加强关于危险软件开发实践的警告,日前美国网络安全与基础设施安全局(CISA)和联邦调查局(FBI)陆续发布关于困扰关键基础设施的基本安全问题的明确处置信号。

CISA 和 FBI 在关于产品安全性不良实践的最新报告中,提醒软件开发商应高度关注使用非内存安全编程语言等不良行为,而 C 和 C++ 更是在其中被列为反面典型。

报告指出,“在支持关键基础设施或国家关键职能(NCF)的新产品线的开发过程中,使用非内存安全语言(例如 C 或 C++)可能引发风险,即显著提高了国家安全、国家经济安全以及国家公共卫生及安全所面临的风险。”

1规避不良实践,遵循建议方针

这份报告还将不良实践具体分为三大类别:

  1. 产品属性,即描述软件产品中肉眼可见与安全相关的质量属性。

  2. 安全功能,描述产品所支持的安全功能。

  3. 组织流程和政策,描述软件开发商在确保安全方法的透明度等方面采取的实际行动。

这份报告主要面向负责为关键基础设施或者国家关键职能等应用场景开发软件产品及服务的各软件开发商(包括本地软件、云服务以及 SaaS 软件即服务)。

此外,这份报告还鼓励全体软件开发商避免采取这些可能影响产品安全性的不良实践。报告提到,“通过遵循本指南中的建议,开发商将向客户发出信号,表明他们高度关注向客户交付成果的安全因素、牢牢秉持在设计之初就重视安全的基本原则。”

Omdia 分析师 Brad Shimmin 表示,“这项指南是对美国政府此前关于软件安全问题的早期声明的延续,当时的声明可以追溯到 2022 年,意在提醒技术提供商和企业用户尽量使用或迁移至内存安全语言。”

他解释称,“抛开新增代码不谈,当时的文件和美国政府表达的立场相对比较和缓,没有立即要求从 C/C++ 迁移至 Rust。CISA 的设计文档中也提到,软件维护者根本不可能在短时间内完成如此规模的代码库迁移。”

当时的指南虽然属于自愿性质,但也代表着 CISA 在基准安全实践方面的最强立场,包括提醒企业注意到可能被疏忽的不良软件开发实践,特别是其中触及基础设施的部分。

时间正点滴流逝

但时间的洪流一刻不停向前奔涌,最新报告已经要求企业必须在 2026 年 1 月 1 日之前建立内存安全发展路线图。

报告指出,“对于以非内存安全语言编写的现有产品,到 2026 年 1 月 1 日前仍缺少明确内存安全迁移路线图的情况将被视为存在风险,即显著提高了国家安全、国家经济安全以及国家公共卫生及安全所面临的风险。”

CISA 战略合作伙伴关系及漏洞项目开发负责人 Rina Rakipi 表示,CISA 已获得超过 230 家软件厂商的自愿承诺。加入“安全设计”计划,意味着这些厂商承诺在一年内达成一系列网络安全目标,包括减少产品中的默认密码、增加多因素身份验证的使用,以及消除特定类别的漏洞。

Rakipi 说:“我们非常高兴有超过 230 家软件厂商自愿参与这一承诺。展望未来,我们期待 在接下来的一年中,看到这 230 家公司取得的实质性进展。”

截图来源:https://www.cisa.gov/securebydesign/pledge/secure-design-pledge-signers

此外,报告还要求企业在同一日期之前移除管理员账户中使用的全部默认密码。这一截止日期已经将指南内容从建议升级为预期标准。

报告同时指出,内存安全路线图应要搞开发商在主要代码组件(例如面向网络的代码或者处理加密操作等敏感功能的代码)当中将要采取的首选内存安全漏洞消除方法。

报告指出,“开发商应当证明,其内存安全路线图将如何优先缓解其所开发产品中内存安全性的脆弱性,同时证明他们正做出合理努力以实施并推进其内存安全路线图。”

Shimmin 在采访中解释称,“但有两个现实理由会迫使企业继续维护由 COBOL 和 Fortran 编写的成规模代码——成本和风险。首先,对数百万行旧代码进行迁移在财务上不具备可行性,而且任何负责任的组织都无法承担由此带来的业务风险。”

此外,根据报告内容,关键基础设施还面临着以下“异常风险”的困扰:

  • 默认密码。

  • 直接 SQL 注入漏洞。

  • 缺少基本注入检测机制。

  • 缺少多因素身份验证机制。

开源难题

对于开源软件,该报告称应特别关注开源漏洞。其他建议还包括:

  • 企业必须维护明确的软件物料清单(SBOM)。

  • 应当缓存依赖项,而非直接从公共来源处提取。

  • 需要以负责任方式为其依赖的开源项目做出贡献。

报告提到,“软件开发商应当以负责任的方式使用并持续为其所依赖的开源软件做出贡献。”

报告还敦促提高软件开发透明度,包括:

  • 企业必须发布漏洞披露政策。

  • 应当为所有关键漏洞发布 CVE。

  • 必须提供关于安全问题的清晰说明文档。

  • 预计将安全日志维护并保存六个月。

尽管手段严厉,但影响无疑非常积极

最后,Shimmin 总结称,CISA 建议掌握关键软件的企业在 2026 年初之前制定出明确的安全计划无疑是件好事。因为这能让软件行业有更多时间探索出理想的方法,确保我们的关键软件资产免遭威胁侵扰。

“这些方法能够包括在硬件制造层面消除潜在的攻击面,以及由编程语言维护者提出方案。以 Safe C++ 提案为例,其呼吁为 C++ 创建一个超集以解决内存安全问题,借此避免强制进行大规模代码重写。”

2C++ 之父驳斥弃用论:安全升级需渐进改进,而非全盘更换

这并不是 CISA 对内存安全语言的首次提倡。

在去年 9 月的一篇博文中,CISA 也曾公开敦促开发人员使用内存安全编程语言。网络与基础设施安全局、联邦调查局(FBI)、国家安全局及各盟国机构随后于 12 月发布了题为《内存安全路线图案例》(The Case for Memory Safe Roadmaps)的研究报告,其中就点名 C/C++ 存在内存安全漏洞,软件开发商应放弃使用,改用 C#、Rust、Go、Java、Python 和 Swift 等内存安全的编程语言 (MSL)。

今年 2 月底,白宫国家网络主任办公室 (ONCD) 也就此发布了一份报告,呼吁科技界主动减少网络空间的攻击面;通过改用 Rust 等内存安全编程语言、避免使用 C++ 和 C 语言等易受攻击的语言,以减少内存安全漏洞的数量来提高软件安全性。

随后,C++ 的创建者 Bjarne Stroustrup 针对白宫的这些言论进行了反驳。

Stroustrup 指出了 C++ 的优势,并提到该语言最早于 1979 年设计。“令我感到惊讶的是,这些政府文件的作者似乎忽略了现代 C++ 的优势以及在提供强大安全保障方面所做的努力,” Stroustrup 表示,“但另一方面,他们似乎认识到编程语言只是工具链的一部分,因此改进工具和开发流程也至关重要。”

Stroustrup 强调,C++ 开发始终将安全性改进作为目标之一。“自第一天起,安全性改进就是 C++ 发展的目标之一,并贯穿了整个演进过程。只要将 K&R 时代的 C 语言与最早的 C++ 比较,再将早期的 C++ 与当代 C++ 比较就可以看出这一点,”他说。“许多高质量的 C++ 代码采用了基于 RAII(资源获取即初始化)、容器和资源管理指针的技术,而不是传统的 C-style pointer messes。”

其实在更早之前,Stroustrup 就明确表达过自己的看法,他曾在 CppCon2023 大会上主题演讲上阐述了 C++ 的演变,还花了一些时间回应了批评。批评者说问题出在 C++ 本身,解决方案应该是改用另一种语言。Stroustrup 在演讲中向与会者详细说明了 C++ 语言在安全性方面所需的具体措施,并介绍了一项引入全新安全工具的提案,旨在为全球数十亿行 C++ 代码提供更可靠的安全保障。

Stroustrup 反对通过更换语言来解决安全问题。他指出安全问题不仅仅是内存安全,还包括资源泄漏、溢出、并发和计时错误等多种复杂的隐患。

他强调,完全转向其他语言不仅成本高昂,还缺乏关注跨语言互操作的需求——“实际上,我们在替换 C++ 时,可能需要用七种不同的语言来完成。而到 40 年后,可能会有 20 种语言需要彼此兼容。这是巨大的挑战。”

此外,Stroustrup 指出,许多所谓“安全”语言实际上将底层任务外包给 C 或 C++,以便访问操作系统、硬件资源或其他历史代码库,这些代码往往隐藏在库中,甚至使用完全不同的语言开发。

与 CISA 的“安全设计”计划类似,Stroustrup 主张采用逐步改进的方案来提升 C++ 的安全性,而非推倒重来。他援引加尔定律,指出“有效的复杂系统总是从简单系统演变而来”。

在他看来,“一边倒地构建一个无旧系统问题的新系统是幻想,但这种幻想确实颇具吸引力。”

参考链接:

https://thenewstack.io/feds-critical-software-must-drop-c-c-by-2026-or-face-risk/

https://cyberscoop.com/cisa-secure-by-design-software-bad-practices/

https://www.infoq.cn/article/1wy3xq56dj6cmnwlgavi

https://www.infoworld.com/article/2336463/c-plus-plus-creator-rebuts-white-house-warning.html

声明:本文为 InfoQ 翻译,未经许可禁止转载。


大鱼机器人 一个专注于机器人技术,单片机,嵌入式系统,智能家居,智能设备,PCB设计,IT最新动态的自媒体。此外,还有海量学习资源等你来领取。作者:张巧龙,个人微信号:well_xiaolong。欢迎关注公众号,名称:大鱼机器人,公众号ID:All_best_xiaolong
评论
  • 全球领先的光学解决方案供应商艾迈斯欧司朗(SIX:AMS)近日宣布,与汽车技术领先者法雷奥合作,采用创新的开放系统协议(OSP)技术,旨在改变汽车内饰照明方式,革新汽车行业座舱照明理念。结合艾迈斯欧司朗开创性的OSIRE® E3731i智能LED和法雷奥的动态环境照明系统,两家公司将为车辆内饰设计和功能设立一套全新标准。汽车内饰照明的作用日益凸显,座舱设计的主流趋势应满足终端用户的需求:即易于使用、个性化,并能提供符合用户生活方式的清晰信息。因此,动态环境照明带来了众多新机遇。智能LED的应用已
    艾迈斯欧司朗 2025-01-15 19:00 53浏览
  • 电竞鼠标应用环境与客户需求电竞行业近年来发展迅速,「鼠标延迟」已成为决定游戏体验与比赛结果的关键因素。从技术角度来看,传统鼠标的延迟大约为20毫秒,入门级电竞鼠标通常为5毫秒,而高阶电竞鼠标的延迟可降低至仅2毫秒。这些差异看似微小,但在竞技激烈的游戏中,尤其在对反应和速度要求极高的场景中,每一毫秒的优化都可能带来致胜的优势。电竞比赛的普及促使玩家更加渴望降低鼠标延迟以提升竞技表现。他们希望通过精确的测试,了解不同操作系统与设定对延迟的具体影响,并寻求最佳配置方案来获得竞技优势。这样的需求推动市场
    百佳泰测试实验室 2025-01-16 15:45 86浏览
  • PNT、GNSS、GPS均是卫星定位和导航相关领域中的常见缩写词,他们经常会被用到,且在很多情况下会被等同使用或替换使用。我们会把定位导航功能测试叫做PNT性能测试,也会叫做GNSS性能测试。我们会把定位导航终端叫做GNSS模块,也会叫做GPS模块。但是实际上他们之间是有一些重要的区别。伴随着技术发展与越发深入,我们有必要对这三个词汇做以清晰的区分。一、什么是GPS?GPS是Global Positioning System(全球定位系统)的缩写,它是美国建立的全球卫星定位导航系统,是GNSS概
    德思特测试测量 2025-01-13 15:42 546浏览
  • 根据Global Info Research(环洋市场咨询)项目团队最新调研,预计2030年全球无人机电池和电源产值达到2834百万美元,2024-2030年期间年复合增长率CAGR为10.1%。 无人机电池是为无人机提供动力并使其飞行的关键。无人机使用的电池类型因无人机的大小和型号而异。一些常见的无人机电池类型包括锂聚合物(LiPo)电池、锂离子电池和镍氢(NiMH)电池。锂聚合物电池是最常用的无人机电池类型,因为其能量密度高、设计轻巧。这些电池以输出功率大、飞行时间长而著称。不过,它们需要
    GIRtina 2025-01-13 10:49 226浏览
  • 随着智慧科技的快速发展,智能显示器的生态圈应用变得越来越丰富多元,智能显示器不仅仅是传统的显示设备,透过结合人工智能(AI)和语音助理,它还可以成为家庭、办公室和商业环境中的核心互动接口。提供多元且个性化的服务,如智能家居控制、影音串流拨放、实时信息显示等,极大提升了使用体验。此外,智能家居系统的整合能力也不容小觑,透过智能装置之间的无缝连接,形成了强大的多元应用生态圈。企业也利用智能显示器进行会议展示和多方远程合作,大大提高效率和互动性。Smart Display Ecosystem示意图,作
    百佳泰测试实验室 2025-01-16 15:37 65浏览
  • 流量传感器是实现对燃气、废气、生活用水、污水、冷却液、石油等各种流体流量精准计量的关键手段。但随着工业自动化、数字化、智能化与低碳化进程的不断加速,采用传统机械式检测方式的流量传感器已不能满足当代流体计量行业对于测量精度、测量范围、使用寿命与维护成本等方面的精细需求。流量传感器的应用场景(部分)超声波流量传感器,是一种利用超声波技术测量流体流量的新型传感器,其主要通过发射超声波信号并接收反射回来的信号,根据超声波在流体中传播的时间、幅度或相位变化等参数,间接计算流体的流量,具有非侵入式测量、高精
    华普微HOPERF 2025-01-13 14:18 520浏览
  • 百佳泰特为您整理2025年1月各大Logo的最新规格信息,本月有更新信息的logo有HDMI、Wi-Fi、Bluetooth、DisplayHDR、ClearMR、Intel EVO。HDMI®▶ 2025年1月6日,HDMI Forum, Inc. 宣布即将发布HDMI规范2.2版本。新规范将支持更高的分辨率和刷新率,并提供更多高质量选项。更快的96Gbps 带宽可满足数据密集型沉浸式和虚拟应用对传输的要求,如 AR/VR/MR、空间现实和光场显示,以及各种商业应用,如大型数字标牌、医疗成像和
    百佳泰测试实验室 2025-01-16 15:41 70浏览
  • 近期,智能家居领域Matter标准的制定者,全球最具影响力的科技联盟之一,连接标准联盟(Connectivity Standards Alliance,简称CSA)“利好”频出,不仅为智能家居领域的设备制造商们提供了更为快速便捷的Matter认证流程,而且苹果、三星与谷歌等智能家居平台厂商都表示会接纳CSA的Matter认证体系,并计划将其整合至各自的“Works with”项目中。那么,在本轮“利好”背景下,智能家居的设备制造商们该如何捉住机会,“掘金”万亿市场呢?重认证快通道计划,为家居设备
    华普微HOPERF 2025-01-16 10:22 89浏览
  • 食物浪费已成为全球亟待解决的严峻挑战,并对环境和经济造成了重大影响。最新统计数据显示,全球高达三分之一的粮食在生产过程中损失或被无谓浪费,这不仅导致了资源消耗,还加剧了温室气体排放,并带来了巨大经济损失。全球领先的光学解决方案供应商艾迈斯欧司朗(SIX:AMS)近日宣布,艾迈斯欧司朗基于AS7341多光谱传感器开发的创新应用来解决食物浪费这一全球性难题。其多光谱传感解决方案为农业与食品行业带来深远变革,该技术通过精确判定最佳收获时机,提升质量控制水平,并在整个供应链中有效减少浪费。 在2024
    艾迈斯欧司朗 2025-01-14 18:45 100浏览
  • 一个易用且轻量化的UI可以大大提高用户的使用效率和满意度——通过快速启动、直观操作和及时反馈,帮助用户快速上手并高效完成任务;轻量化设计则可以减少资源占用,提升启动和运行速度,增强产品竞争力。LVGL(Light and Versatile Graphics Library)是一个免费开源的图形库,专为嵌入式系统设计。它以轻量级、高效和易于使用而著称,支持多种屏幕分辨率和硬件配置,并提供了丰富的GUI组件,能够帮助开发者轻松构建出美观且功能强大的用户界面。近期,飞凌嵌入式为基于NXP i.MX9
    飞凌嵌入式 2025-01-16 13:15 79浏览
  • 数字隔离芯片是现代电气工程师在进行电路设计时所必须考虑的一种电子元件,主要用于保护低压控制电路中敏感电子设备的稳定运行与操作人员的人身安全。其不仅能隔离两个或多个高低压回路之间的电气联系,还能防止漏电流、共模噪声与浪涌等干扰信号的传播,有效增强电路间信号传输的抗干扰能力,同时提升电子系统的电磁兼容性与通信稳定性。容耦隔离芯片的典型应用原理图值得一提的是,在电子电路中引入隔离措施会带来传输延迟、功耗增加、成本增加与尺寸增加等问题,而数字隔离芯片的目标就是尽可能消除这些不利影响,同时满足安全法规的要
    华普微HOPERF 2025-01-15 09:48 128浏览
  •   在信号处理过程中,由于信号的时域截断会导致频谱扩展泄露现象。那么导致频谱泄露发生的根本原因是什么?又该采取什么样的改善方法。本文以ADC性能指标的测试场景为例,探讨了对ADC的输出结果进行非周期截断所带来的影响及问题总结。 两个点   为了更好的分析或处理信号,实际应用时需要从频域而非时域的角度观察原信号。但物理意义上只能直接获取信号的时域信息,为了得到信号的频域信息需要利用傅里叶变换这个工具计算出原信号的频谱函数。但对于计算机来说实现这种计算需要面对两个问题: 1.
    TIAN301 2025-01-14 14:15 144浏览
  • 故障现象 一辆2007款法拉利599 GTB车,搭载6.0 L V12自然吸气发动机(图1),累计行驶里程约为6万km。该车因发动机故障灯异常点亮进厂检修。 图1 发动机的布置 故障诊断接车后试车,发动机怠速轻微抖动,发动机故障灯长亮。用故障检测仪检测,发现发动机控制单元(NCM)中存储有故障代码“P0300 多缸失火”“P0309 气缸9失火”“P0307 气缸7失火”,初步判断发动机存在失火故障。考虑到该车使用年数较长,决定先使用虹科Pico汽车示波器进行相对压缩测试,以
    虹科Pico汽车示波器 2025-01-15 17:30 53浏览
  • 实用性高值得收藏!! (时源芯微)时源专注于EMC整改与服务,配备完整器件 TVS全称Transient Voltage Suppre,亦称TVS管、瞬态抑制二极管等,有单向和双向之分。单向TVS 一般应用于直流供电电路,双向TVS 应用于电压交变的电路。在直流电路的应用中,TVS被并联接入电路中。在电路处于正常运行状态时,TVS会保持截止状态,从而不对电路的正常工作产生任何影响。然而,一旦电路中出现异常的过电压,并且这个电压达到TVS的击穿阈值时,TVS的状态就会
    时源芯微 2025-01-16 14:23 90浏览
  • 晶台光耦KL817和KL3053在小家电产品(如微波炉等)辅助电源中的广泛应用。具备小功率、高性能、高度集成以及低待机功耗的特点,同时支持宽输入电压范围。▲光耦在实物应用中的产品图其一次侧集成了交流电压过零检测与信号输出功能,该功能产生的过零信号可用于精确控制继电器、可控硅等器件的过零开关动作,从而有效减小开关应力,显著提升器件的使用寿命。通过高度的集成化和先进的控制技术,该电源大幅减少了所需的外围器件数量,不仅降低了系统成本和体积,还进一步增强了整体的可靠性。▲电路示意图该电路的过零检测信号由
    晶台光耦 2025-01-16 10:12 59浏览
我要评论
0
点击右上角,分享到朋友圈 我知道啦
请使用浏览器分享功能 我知道啦