Programowanie w popularnym języku zniknie? „Przynosi więcej zagrożeń niż korzyści”

Język programowania C, mimo że powstał wiele dekad temu, wciąż jest fundamentem wielu projektów i technologii, głównie dzięki swojej efektywności. Jednak zalecenia rządu Stanów Zjednoczonych mogą wpłynąć na jego wykorzystanie w przyszłości – w obliczu rosnących wymagań bezpieczeństwa C oraz jego nowszy odpowiednik, C++ staną się mniej pożądane, a z czasem mogą nawet zniknąć z kluczowych zastosowań. Problem dotyczy cyberbezpieczeństwa i podatności na ataki.

Luki w bezpieczeństwie w językach C i C++

Rząd Stanów Zjednoczonych podjął decyzję o zaprzestaniu korzystania z języków programowania C i C++ w projektach związanych z infrastrukturą krytyczną oraz funkcjami narodowymi ze względu na poważne zagrożenia bezpieczeństwa wynikające z ich użytkowania.

Głównym powodem tej zmiany jest fakt, że oba te języki są uznawane za „niebezpieczne pod względem utraty pamięci”. Prowadzi to do powstawania luk bezpieczeństwa, które mogą być wykorzystane przez hakerów do przeprowadzenia cyberataków. Języki C i C++ mogą zatem przynosić więcej zagrożeń niż korzyści.

CISA (ang. Cybersecurity and Infrastructure Security Agency) w ramach swojej inicjatywy Secure by Design zaleca producentom oprogramowania przejście na języki programowania, jak Rust czy Python, które są w tym zakresie bezpieczniejsze.

Opracowywanie nowych linii produktów do wykorzystania w obsłudze infrastruktury krytycznej lub NCF w języku niezabezpieczonym przed utratą pamięci (np. C lub C++), gdy istnieją łatwo dostępne alternatywne języki, jest niebezpieczne i znacznie zwiększa ryzyko dla bezpieczeństwa narodowego i bezpieczeństwa gospodarczego kraju oraz zdrowia publicznego. Raport CISA „Product Security Bad Practices”

Programowanie w C i C++ może odejść w zapomnienie?

Na „zaleceniach” się nie skończy. Amerykański rząd nakłada na producentów oprogramowania obowiązek stworzenia planu bezpieczeństwa do 2026 roku, który obejmuje priorytetowe usuwanie błędów związanych z ochroną pamięci. W przypadku braku implementacji nowych standardów CISA rozważa wprowadzenie surowych sankcji, aby wymusić na firmach odpowiednie działania.

Problem tkwi jednak w tym, że zmiana języka w istniejących projektach jest kosztowna i czasochłonna. Programiści z wieloletnim doświadczeniem w C niechętnie uczą się nowych języków, a modernizacja całych baz kodu i narzędzi wymaga dużych inwestycji, które wielu firmom trudno będzie przewidzieć w budżetach.

W tym momencie możecie powiedzieć, że Stany Zjednoczone to przecież nie Europa, ani Polska. To prawda, ale przykład ochrony infrastruktury krytycznej może do nas przyjść zza granicy. A po zmianach w tym sektorze, przyjdzie kolej na następne. W obliczu pojawiających się ciągle nowych typów cyberataków, inwestycje w zabezpieczenia także będą musiały „nadążać” i dopasowywać się do rosnących zagrożeń.

Skoro obecnie amerykańska agencja ds. cyberbezpieczeństwa wydaje powyższe zalecenia, niewykluczone, że implementacja takiego pomysłu pojawi się także bliżej naszego kraju.

Źródło: Raport CISA „Product Security Bad Practices”, The Register, oprac. własne. Zdjęcie otwierające: lilik ferri yanto / Shutterstock

Część odnośników to linki afiliacyjne lub linki do ofert naszych partnerów. Po kliknięciu możesz zapoznać się z ceną i dostępnością wybranego przez nas produktu – nie ponosisz żadnych kosztów, a jednocześnie wspierasz niezależność zespołu redakcyjnego.

Artykuł Programowanie w popularnym języku zniknie? „Przynosi więcej zagrożeń niż korzyści” pochodzi z serwisu ANDROID.COM.PL - społeczność entuzjastów technologii.