Mountain Vizualizare este un apel la arme împotriva problemelor tamponului de memorie
Privind înainte: Google își adaugă vocea la consensul din ce în ce mai mare pentru un progres la nivelul întregii industrii către practicile de programare sigure. Există o oportunitate de standardizare pentru fiecare jucător implicat în activitatea de software, cu miliarde de economii pentru a câștiga și o mai bună securitate pentru toți.
Vulnerabilitățile de securitate legate de siguranța memoriei devin din ce în ce mai supărătoare în rândul companiilor și organizațiilor care se ocupă de produse software. Agenția de securitate a cibersecurității și infrastructurii din SUA (CISA) a cerut recent dezvoltatorilor să elimine erorile de revărsare tampon. Google face acum eforturi pentru ca întreaga industrie software să se îndrepte împotriva defectelor îngrozitoare din rutinele legate de memorie.
„Siguranța memoriei” înseamnă protejarea unui proiect software sau a unui fragment de cod împotriva diferitelor defecte legate de accesul la memorie, cum ar fi revărsările tampon sau indicatoarele sălbatice. Atunci când codul nu oferă suficientă protecție rutinelor de memorie, cyber-criminale sau actorii de stat adversari (Rusia, China, Iran) pot exploata erori de acces la memorie pentru a compromite sisteme, a fura date sensibile sau pentru a obține acces la rețelele protejate.
Google a menționat că abuzul de vulnerabilități de siguranță a memoriei a erodat încrederea în tehnologie și a provocat daune pentru miliarde. Abordările tradiționale concepute pentru consolidarea limbajelor de programare populare sunt utile, dar nu mai sunt suficiente pentru a opri valul vulnerabilităților ușor de exploatabile.
Limbi de programare mai noi, cum ar fi rugina, kotlinul sau „subseturi” sigure pentru limbaje tradiționale, cum ar fi tampoane sigure pentru C ++, sunt concepute pentru a impune siguranța memoriei din start. Aceste instrumente s -au dovedit deja eficiente, cu o reducere „semnificativă” a vulnerabilităților în Android. Noile tehnologii hardware, cum ar fi extensia de etichetare a memoriei ARM sau instrucțiunile RISC îmbunătățite hardware, oferă o apărare complementară pentru codul existent (potențial nesigur).
Google a propus un nou angajament colectiv față de un obiectiv comun: eliminarea acestei clase de vulnerabilități prin intermediul unor practici de programare puternice sigure de design. CISA a sugerat, de asemenea, abordarea sigură de design, dar Google împinge obiectivul și mai mult cu modelul său.
Cadrul Google pentru un standard de siguranță al memoriei din întreaga industrie acceptă abordări diverse, cu diferiți proprietăți de securitate pe care programatorii trebuie să le obțină, mai degrabă decât detalii specifice de implementare. Dezvoltatorii ar trebui să adapteze cerințele de siguranță a memoriei pe baza diferitelor nevoi, cu diferite niveluri de securitate a memoriei pentru diferite aplicații. Deci, este mai mult o abordare de orientare decât un șablon.
Cadrul ar trebui să definească, de asemenea, criterii și valori pentru o evaluare obiectivă a conformității securității, similar cu modul în care evaluăm eficiența energetică. Acest cadru neutru de tehnologie ar trebui să fie practic și acționabil, cu cele mai bune practici pentru tehnologiile existente și îndrumări privind utilizarea soluțiilor specifice pentru a îndeplini noile standarde.
Google nu teoretizează pur și simplu o abordare nouă pentru a construi o industrie software mai sigură. Compania s -a asociat cu jucători din industrie și instituții academice pentru a dezvolta aceste standarde.
„Călătoria către siguranța memoriei necesită un angajament colectiv față de standardizare”, a spus Google. „Trebuie să construim un viitor în care siguranța memoriei nu este o gândire ulterioară, ci un principiu fundamental, un viitor în care următoarea generație moștenește o lume digitală care este sigură prin proiectare.”
