近日，拜登政府正不斷向科技行業(yè)施壓，要求企業(yè)使用能夠防止內(nèi)存相關(guān)錯誤的編程語言，從設(shè)計之初就確保產(chǎn)品的安全性。

自80年代以來，這種內(nèi)存錯誤就一直存在，攻擊者可以濫用軟件對計算機內(nèi)存的管理方式，入侵系統(tǒng)、破壞數(shù)據(jù)或運行惡意代碼。目前，國家網(wǎng)絡(luò)安全局（ONCD）正在采取措施，以降低這種錯誤帶來的風(fēng)險。

ONCD領(lǐng)導(dǎo)人哈里·科克爾（Harry Coker）在介紹白宮為科技行業(yè)制作的一份新報告時表示，為了減少網(wǎng)絡(luò)空間的攻擊面，必須通過保護網(wǎng)絡(luò)空間的基礎(chǔ)構(gòu)建來大規(guī)模消除整個類別的漏洞。

白宮指出，這份報告得到了包括SAP、惠普企業(yè)和霍尼韋爾在內(nèi)的科技公司和學(xué)術(shù)界領(lǐng)導(dǎo)者的支持，意味著網(wǎng)絡(luò)安全的責(zé)任從個人和小型企業(yè)轉(zhuǎn)向科技公司這一樣的大型組織邁出了重要一步，因為這些大公司更有能力應(yīng)對不斷變化的網(wǎng)絡(luò)威脅。

報告提到，C和C++等編程語言在關(guān)鍵系統(tǒng)中的使用非常廣泛，但它在內(nèi)存安全性方面缺乏相關(guān)特性，建議采用像Rust、Python和Java等編程語言作為替代。

拜登政府的一位高級官員表示，白宮希望除工程師外的高管們也要開始關(guān)注這個問題，希望內(nèi)存安全成為許多公司下一次董事會議程中的一項。

據(jù)介紹，該報告編制工作耗時超過一年，期間與科技行業(yè)進行了多次接觸和討論，那些擁有大量產(chǎn)品線的大型公司在這個議題上會面臨繁重的工作量。需要明確的是，遷移到內(nèi)存安全代碼可能需要長達(dá)數(shù)十年的努力，具體取決于公司的規(guī)模，并且需要所有人的關(guān)注和支持。但是，那些做出改變的公司將對國家的安全產(chǎn)生重大影響。

政府官員表示：“這種轉(zhuǎn)變之所以困難，是因為在過去的35年里，威脅行為者一直在利用這種錯誤向我們發(fā)起攻擊。而現(xiàn)在，我們已經(jīng)具備了做出改變所需要的技術(shù)，正是進行轉(zhuǎn)型的恰當(dāng)時機?！?/p>

回顧三十多年前，計算機內(nèi)存漏洞不僅促成了最初的互聯(lián)網(wǎng)安全事件之一——1988年的莫里斯蠕蟲，而且直至今日仍然為攻擊者提供可利用的機會，例如2023年間諜軟件供應(yīng)商所使用的BLASTPASS漏洞攻擊鏈。

報告還提到，科技行業(yè)應(yīng)該建議制定更精確的軟件安全性評估指標(biāo)，但根據(jù)白宮發(fā)布的簡報，這需要在軟件工程和網(wǎng)絡(luò)安全研究領(lǐng)域進行新嘗試。

事實上，該報告是對喬·拜登總統(tǒng)2021年發(fā)布的網(wǎng)絡(luò)安全行政命令以及2023年發(fā)布的國家網(wǎng)絡(luò)安全戰(zhàn)略的最新跟進。

其他機構(gòu)也倡導(dǎo)技術(shù)行業(yè)在產(chǎn)品開發(fā)過程中盡早考慮安全性。例如，網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）的“安全設(shè)計”倡議，以及商務(wù)部關(guān)于軟件物料清單（SBOM）最低要素的報告。去年12月，國家安全局（NSA）和CISA還發(fā)布了一份關(guān)于內(nèi)存安全編程的指南。