近日，白宮國家網絡主任辦公室(ONCD)在題為《回歸基礎構件：通往安全軟件之路》的報告中呼吁開發者放棄C、C++語言，轉而使用“內存安全的編程語言”，例如Rust語言。

傳統編程語言C/C++雖然強大，但一直飽受內存安全漏洞的困擾。這些漏洞不僅復雜難懂，而且極易造成系統崩潰等嚴重后果。為了解決這一難題，近年來內存安全語言逐漸興起，并有望成為未來編程語言的主流。

近日，helpnetsecurity采訪了開源安全基金會(OpenSSF)的總經理Omkhar Arasaratnam，探討了業界轉向內存安全語言的挑戰與策略，內容整理如下：

內存安全語言的優勢

內存安全漏洞已經存在了半個多世紀。它本質上是將程序員從繁瑣的內存管理工作中解脫出來。C/C++要求程序員手動分配和釋放內存，這不僅復雜易錯，還需要時刻追蹤內存的使用情況，以免出現內存泄露等問題。而Java、Rust、Python和JavaScript等現代語言則通過自動內存管理的方式，讓程序員將精力集中在核心邏輯的編寫上，避免陷入低級內存管理的泥潭。

在操作系統內核、系統編程等高危場景下，內存安全語言的優勢尤為突出。操作系統內核擁有整個系統的最高權限，任何內存安全漏洞都可能導致系統崩潰甚至信息泄露。

盡管熟練的程序員可以使用C/C++等非內存安全語言避免內存漏洞，但現實情況并不樂觀。微軟曾經統計過自家產品的漏洞，其中70%都與內存安全問題相關。谷歌針對安卓系統進行的類似研究也得到了相似的結論：90%的安卓系統漏洞都與內存安全有關。

Go、Python、Rust和Java等語言都是優秀的內存安全語言范例。其中，Rust有望成為Linux內核的第二個官方支持語言。這將允許開發者用完全內存安全的語言重寫Linux內核的部分關鍵代碼。

遷移的五大挑戰

向內存安全語言遷移并非易事，開發者和企業需要面對五大挑戰：

• 開發者培訓和認證滯后：現有開發人員需要學習新語言，或者招聘熟悉內存安全語言的人才。同時，調試和構建系統也需要進行相應調整以支持新語言，相關的培訓和認證服務相對滯后。
• 硬件支持有限：C/C++等老牌語言可在幾乎所有平臺上運行，而Rust等新興語言的硬件支持則相對有限。
• 監管要求：一些安全關鍵型系統有著嚴格的技術和安全需求，在新語言缺乏相關認證的情況下，可能無法輕易遷移。
• 潛在Bug：將老代碼移植到新語言可能會引入新的Bug。即使是經驗豐富的程序員，也可能因為重寫過程中的細微差別導致程序運行結果與預期不符，從而產生線上故障。
• 部署阻力：關鍵基礎設施系統內存安全代碼的重新部署面臨挑戰。

遷移策略：安全優先

用Rust重寫所有現有代碼顯然并不現實。OpenSSF建議開發者在開啟新項目時優先考慮使用內存安全語言，同時將Rust應用于關鍵代碼路徑，例如身份驗證、授權、加密以及處理網絡或用戶輸入的部分。

雖然內存安全語言并非靈丹妙藥，但卻是提升代碼安全性的重要一步。通過使用內存安全語言，程序員可以將更多精力放在核心邏輯的開發上，避免在低級內存管理上浪費時間和精力。

對于難以遷移的遺留代碼，OpenSSF提供了《C/C++加固指南》，幫助開發者在不大幅改動既有代碼庫的情況下提升安全性。

需要注意的是，關鍵基礎設施的工業控制系統通常難以通過企業網絡進行更新，因此重新部署安全代碼可能比重寫本身更加耗時。

OpenSSF鼓勵社區在開始新項目時考慮使用Rust進行編寫，并根據安全優先級將Rust用于關鍵代碼路徑(經常被濫用或攻擊的部分，或者“皇冠上的寶石”的關鍵區域)，例如從身份驗證、授權、加密以及從網絡或用戶獲取輸入內容的代碼。

內存安全語言的未來

在某些關鍵領域，雖然新興語言的安全性優勢非常誘人，但貿然遷移反而會帶來風險。預計內存安全語言并不會在所有行業成為標準，一些對穩定性要求極高的領域出于謹慎考慮，可能會推遲采用內存安全語言。

不過，從長遠來看，使用內存安全語言來開發新項目具有普遍意義。例如，Alpha-Omega公司資助了用Rust開發的Rustls項目，旨在實現更安全的TLS和QUIC協議。通過使用內存安全語言，業界可以避免類似于OpenSSL Heartbleed漏洞那樣的安全事件。

教育和認證是關鍵

教育和培訓是網絡安全最強大的基礎防線之一。如今許多小學已經開始將Python作為編程語言入門課程。OpenSSF希望未來能夠盡早將Rust等其他內存安全語言引入基礎教育。

此外，Rust基金會也提供了豐富的學習資源，例如備受好評的書籍《Rust編程語言》以及正在開發的培訓和認證項目。通過積極的學習和社區協作，內存安全語言有望在未來發揮更大的作用。