撰稿丨諾亞

出品 | 51CTO技術棧（微信號：blog51cto）

此前，白宮曾發布報告，呼吁開發人員放棄C和C++等易受攻擊的編程語言，使用內存安全的編程語言。

近日，C++之父Bjarne Stroustrup針對這一呼吁給出了回應。

“我發現，令人驚訝的是，撰寫這些政府文件的人似乎對現代C++的優勢視而不見，也忽視了其為提供強有力的安全保障所做的努力。另一方面，他們似乎也意識到了編程語言只是工具鏈的一部分，因此改進工具和開發流程至關重要。”

1、由來已久的矛盾：內存安全隱患

今年2月26日，白宮國家網絡總監辦公室（ONCD）發布了一份報告，敦促開發人員通過使用沒有內存安全漏洞的編程語言來降低網絡攻擊的風險。

圖片

報告直接將C++和C作為具有內存安全漏洞的兩種反面示例。

“內存安全漏洞是一類影響內存如何以非預期方式訪問、寫入、分配或釋放的漏洞。專家們已經確定了一些編程語言，它們既缺乏與內存安全相關的特性，又在關鍵系統中高度擴散，例如C和C++”。

圖片

這份長達19頁的報告還指出：“行業分析表明，在某些情況下，盡管有嚴格的代碼審查以及其他預防和檢測控制措施，但在內存不安全的語言中，高達70%的安全漏洞都是由于內存安全問題造成的。”

如果說C和C++是具有內存安全漏洞的編程語言的“反面案例”，那么Rust則是內存安全的編程語言的典例。

白宮在一份新聞稿中表示，科技公司“可以通過采用內存安全編程語言來防止整個類別的漏洞進入數字生態系統”。

所謂“內存安全編程語言”，指的是免受與內存訪問相關的軟件錯誤和漏洞的影響，包括緩沖區溢出、越界讀取和內存泄漏。

值得一提的是，美國國家安全局（NSA）在2022年11月的一份網絡安全信息表中將C#、Go、Java、Ruby 、Swift以及 Rust視為內存安全的編程語言。

此外，2023年12月，美國網絡安全和基礎設施安全局 (CISA)聯邦調查局 (FBI) 以及來自澳大利亞、加拿大、新西蘭和英國的國際網絡安全機構合作，發布了聯合指南《內存安全路線圖案例》。

五眼聯盟機構提到，盡管投入大量資源減少內存安全漏洞的普遍性，但該類型漏洞仍然存在。不過，使用內存安全編程語言應當能夠消除這類安全缺陷并降低其影響，從而使開發人員和客戶能夠將資源投入到其它領域。

二、自1979年開始：C++的努力

關于內存安全漏洞的討論由來已久，但作為C++的創造者，Stroustrup并不認同諸多政府文件對C++的指責。他強調，安全性提升一直是C++開發工作的目標。

Stroustrup指出：“從一開始就直至其不斷演進的過程中，提高安全性始終是C++的目標。只需將K&R C語言與最早的C++進行比較，再將早期C++與現代C++對比就能看出這一變化。我在CppCon 2023主題演講中概述了這一演變過程。許多高質量的C++代碼都是基于RAII（資源獲取即初始化）、容器和資源管理指針等技術編寫的，而不是傳統的、容易出錯的C風格指針用法。”  

圖源：CppCon 2023主題演講視頻截圖

Stroustrup提到了多項旨在提升C++安全性的努力。“關于安全問題有兩個相關方面。數十億行的C++代碼中，很少完全遵循現代指南，而且人們對于哪些安全方面重要的認識各不相同。我和C++標準委員會正在設法解決這個問題。”

他指出的另外一點在于，“‘Profiles’是一個框架，用于指定一段代碼所需的確保內容，并允許實現對其進行驗證。委員會網站上有關于此的描述文檔——查找WG21的相關資料，未來還將有更多內容發布。然而，我們中的一些人并不滿足于等待委員會必然緩慢的進展。”

Stroustrup表示，“Profiles”是一個能夠讓我們逐步提升保證的框架，例如相對很快地消除大多數范圍錯誤，并通過局部靜態分析和最小運行時檢查將保證逐漸引入大型代碼庫中。我對于C++的長期目標一直是，也仍然是在需要的時候和地方提供類型和資源安全性。當前對于內存安全的大力推動——這是我所追求的保證之一部分——或許會對我的努力有所幫助，這種努力在C++標準委員會中得到了許多人的共鳴。

三、所謂“內存安全”的語言，也從來不意味著高枕無憂

Stroustrup也不是第一次為C++辯護。2022年，美國國家安全局在一份公告中，建議組織改用內存安全的語言，而非C++和C。彼時，Stroustrup就曾針對性地進行發聲。

“如果我認為這些'安全'語言中的任何一種在我關心的用途范圍內優于C++，我不會認為C/C++的淡出是一件壞事，但事實并非如此。”

就像他在CppCon 2023會上提到的，“人們一般提到的安全性只涉及內存安全，但這還遠遠不夠”。在他看來：   

第一，“安全不僅僅是類型安全”。而很多人描述的“安全”僅限于內存安全，忽略了一門語言“可能(和將會)被用來違反某種形式的安全和保障的其他十幾種方式。”

第二，要替換C++同樣是一大問題。“假設我們將用大約七種不同的語言來取代 C++，到替換完成時（40 年后），我們可能會有 20 個不一樣的語言選項，而且它們必須能夠互操作。這會是一大難題。”

第三，語言的演化從來都是漸進的。“只在一頭構建一個新系統，而不存在任何舊系統問題的想法是一種幻想。”遺憾的是，很多人都沉浸在這種幻想中。

關于美國國家安全局引用的所謂安全語言，Stroustrup表示，所有語言都容易受到未經靜態驗證的代碼的攻擊。此外，每個系統都必須使用硬件，而有效的硬件訪問很少是安全的。

Stroustrup概述了他安全使用C++的策略:

• 靜態分析以驗證沒有執行不安全的代碼。
• 編碼規則簡化代碼，使工業規模的靜態分析可行。
• 庫使這種簡化的代碼相當容易編寫，并確保在需要時進行運行時檢查。

美國國家安全局承認，即使在“內存安全”語言中，內存管理也不是完全安全的，靜態和動態應用程序安全測試（SAST和DAST）等機制可用于提高所謂的非內存安全語言的內存安全性。但NSA表示，SAST和DAST都不能使非內存安全代碼完全安全。

參考鏈接：

https://www.infoworld.com/article/3714401/c-plus-plus-creator-rebuts-white-house-warning.html

https://www.youtube.com/watch?v=I8UvQKvOSSw

https://www.infoworld.com/article/3686517/c-plus-plus-creator-bjarne-stroustrup-defends-its-safety.html

https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf