美帝政府近期公布的網(wǎng)絡(luò)安全報(bào)告警示開發(fā)者應(yīng)避免使用內(nèi)存易受攻擊的編程語(yǔ)言如C 和 C++，而選擇更為安全的內(nèi)存管理語(yǔ)言如Java。此報(bào)告主要由ONCD負(fù)責(zé)制定，旨在實(shí)施拜登網(wǎng)絡(luò)安全計(jì)劃中的“網(wǎng)絡(luò)空間基本保障體系”。

所謂內(nèi)存安全，即是防止程序在處理內(nèi)存時(shí)產(chǎn)生如緩沖區(qū)溢出以及懸停指針等潛在漏洞。因此，盡管Java憑借其內(nèi)存安全模式，不受此類問題影響，但C及其變異體C++擁有直接操作內(nèi)存地址，且缺乏邊界檢查，因此在內(nèi)存安全性方面常常陷入困境。

提及報(bào)告使用的數(shù)據(jù)，微軟和谷歌的研究均顯示，70%以上的安全漏洞皆因內(nèi)存問題導(dǎo)致。此外，結(jié)合CISA的開源軟件安全路線圖，也建議開發(fā)者盡早采取內(nèi)存安全的編程語(yǔ)言，踐行“安全設(shè)計(jì)”理念。

長(zhǎng)達(dá)19頁(yè)的報(bào)告并未強(qiáng)制替換C和C++，旨在強(qiáng)調(diào)網(wǎng)絡(luò)安全不僅涉及個(gè)體責(zé)任，而且是大型組織、技術(shù)公司乃至政府共同承擔(dān)的使命。選擇內(nèi)存安全的編程語(yǔ)言時(shí)，報(bào)告鼓勵(lì)涉事各方運(yùn)用最佳軟件開發(fā)實(shí)踐和安全硬件技術(shù)，以降低遭受網(wǎng)絡(luò)攻擊的可能。

經(jīng)IT之家觀察，去年11月，美帝國(guó)家安全局NSA公布了一份被視為安全的編程語(yǔ)言清單，包括Rust、Go、C#、Java、Swift、JavaScript及Ruby。然而，根據(jù)TIOBE指數(shù)顯示，在使用頻率最高的編程語(yǔ)言排行榜上，有四種NSA推薦過的編程語(yǔ)言，分別位于第五至九位，其中排名最靠前的是C#與Java。

值得關(guān)注的是，此份報(bào)告亦強(qiáng)調(diào)了軟件安全評(píng)價(jià)機(jī)制的重要性，認(rèn)為科學(xué)完善的評(píng)價(jià)標(biāo)準(zhǔn)有助于科技企業(yè)規(guī)避和預(yù)防漏洞風(fēng)險(xiǎn)。此外，通過應(yīng)用類似于阿波羅13號(hào)登月行動(dòng)等物理場(chǎng)景中的內(nèi)存安全碼，進(jìn)一步印證了關(guān)鍵領(lǐng)域內(nèi)維護(hù)內(nèi)存安全的必要性。

作為美國(guó)政府網(wǎng)絡(luò)安全策略的一環(huán)，該報(bào)告的發(fā)布體現(xiàn)了美方對(duì)提升軟件及硬件安全，以及與科技行業(yè)形成更緊密合作關(guān)系的期待。隨著數(shù)字時(shí)代的深化，選擇更為安全的編程語(yǔ)言與開發(fā)方案顯得尤為必要，本報(bào)告將成為推動(dòng)全行業(yè)正視這一問題的新契機(jī)。