聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这类漏洞是编程错误或软件中的弱点,当内存可被访问、编写、分配或取消分配时可导致内存管理问题。当软件以非预期或不安全的方式访问内存时,会导致多种安全风险和问题如缓冲区溢出、释放后使用、使用未初始化的内存以及双重释放等。成功利用这些漏洞可带来严重风险,可能导致威胁行动者获得对数据的未授权访问权限或以系统所有人的权限执行恶意代码。
ONCD 发布报告指出,“在过去的35年中,数字化生态系统深受这些漏洞的困扰。删除所有这类漏洞迫在眉睫也较为复杂。未来,必须采取新举措来缓解这一风险。减少内存安全漏洞的最常用方法是保护网络空间构建组件之一的安全:编程语言。使用内存安全编程语言可消除多数内存安全错误。”
今天发布的报告基于由美国总统拜登在2023年3月签署的《国家网络安全战略》,后者将保卫国家网络安全空间的责任转嫁到软件厂商和服务提供商。美国国家安全局 (NSA) 也在2022年11月发布了关于软件开发人员如何阻止软件内存安全问题的指南。
随后,CISA 和国际合作伙伴也在2023年12月发布了类似报告,要求转用内存安全编程语言,通过减少内存相关漏洞来减少对软件产品的攻击。
就像微软多年前发现的那样,所开发软件中高达70%的安全漏洞使用了内存不安全的语言。微软进一步发现,即使经过彻底的代码审查和额外的防御性和检测措施后,这一情况仍未改变。而谷歌发布的研究结果表明,使用内存安全语言能够极大地减少甚至是大规模代码库中的内存安全缺陷数量,而在一些情况下可以完全消除这些缺陷。
国家网络技术安全助理总监 Anjana Rajan 提到,“35年来,内存安全漏洞一直侵扰着数字化生态系统,但事实并非必须如此。这一报告由工程师为工程师而创建,因为我们知道工程师们能够做出关于所用组件的架构和设计决策,而这将对我们减少威胁面、保护数字化生态系统进而保护整个国家的安全发挥巨大作用。”
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~