04.03.2024
The White House
Memory Save - Speichersichere Programmiersprachen bevorzugen
Autor: Bernhard Lauer
whitehouse.gov
In der aktuellen Veröffentlichung "Back to the Building Blocks: A Path Toward Secure And Measurable Software" empfiehlt das Weiße Haus die Verwendung von speichersicheren Programmiersprachen. Insbesondere C und C++ werden als eher unsichere Sprachen genannt.
Hier ein mit Unterstützung von deepL übersetzter Auszug aus dem Dokument, dessen englischsprachiges Original sie hier finden.
[...]
Experten haben einige Programmiersprachen identifiziert, die zum einen keine speichersicheren Eigenschaften aufweisen und zum anderen eine hohe Zahl an kritischen, wie zum Beispiel C und C++. Die Entscheidung, speichersichere Programmiersprachen von Anfang an zu verwenden, wie es die Cybersecurity and Infrastructure Security Agency (CISA) empfohlen hat, ist ein Beispiel für die Entwicklung von Software nach dem Prinzip des sicheren Designs.
[...]
Da viele Cybersicherheitsprobleme mit einer Codezeile beginnen, besteht eine der effektivsten Möglichkeiten, diese Probleme zu lösen, darin, die Programmiersprache selbst zu untersuchen. Wenn man sicherstellt, dass eine Programmiersprache bestimmte Eigenschaften wie Speicher- oder Typsicherheit enthält, bedeutet dies, dass Software, die auf dieser Grundlage aufgebaut ist, automatisch die Sicherheit erbt, die diese Funktionen bieten.
Lösungen für die Cybersicherheit sollten sich an bewährten technischen Verfahren orientieren, und Technologiehersteller, die Software entwickeln, können dieses Problem angehen, indem sie konsequent sichere Bausteine verwenden, insbesondere speichersichere Programmiersprachen. Es gibt deutliche Anzeichen dafür, dass es jetzt an der Zeit ist, diese Änderungen vorzunehmen.
Erstens gibt es bereits technische Lösungen; es gibt Dutzende von speichersicheren Programmiersprachen, die verwendet werden können und sollten. Technologiehersteller sind bereits in der Lage, neue Produkte vom ersten Tag an in speichersicheren Programmiersprachen zu entwickeln und zu bauen. Zweitens hat der Übergang zu speichersicheren Programmiersprachen nachweislich positive Auswirkungen auf die Cybersicherheit. Branchenanalysen haben in einigen Fällen gezeigt, dass trotz strenger Codeüberprüfungen sowie anderer präventiver und aufdeckender Kontrollen bis zu 70 Prozent der Sicherheitsschwachstellen in speicherunsicheren Sprachen, die gepatcht und mit einer CVE-Bezeichnung versehen wurden, auf Speichersicherheitsprobleme zurückzuführen sind. Wenn große Codebasen auf eine speichersichere Sprache migriert werden, zeigt sich, dass Speichersicherheitsschwachstellen nahezu eliminiert werden.
Bei neuen Produkten ist die Entscheidung für eine speichersichere Programmiersprache eine frühe Architekturentscheidung, die erhebliche Sicherheitsvorteile bringen kann. Auch für bestehende Codebasen, bei denen eine vollständige Neuschreibung des Codes eine größere Herausforderung darstellt, gibt es Wege zur Einführung speichersicherfähiger Programmiersprachen, indem ein hybrider Ansatz gewählt wird. So können Softwareentwickler beispielsweise die kritischen Funktionen oder Bibliotheken anhand von Risikokriterien identifizieren und die Neuprogrammierung dieser Funktionen oder Bibliotheken als erstes in Angriff nehmen.
Die Entwicklung neuer Produkte und die Migration von stark belastetem Legacy-Code auf speichersichere Programmiersprachen kann die Verbreitung von Schwachstellen in der Speichersicherheit im gesamten digitalen Ökosystem erheblich reduzieren. Natürlich gibt es im Bereich der Cybersicherheit keine Einheitslösungen, und die Verwendung einer speichersicheren Programmiersprache kann nicht jedes Cybersicherheitsrisiko beseitigen. Sie ist jedoch ein wesentlicher, zusätzlicher Schritt, den Technologiehersteller zur Beseitigung breiter Kategorien von Softwareschwachstellen unternehmen können. Ein kürzlich von der CISA, der NSA, dem FBI und internationalen Cybersicherheitsbehörden verfasster Bericht mit dem Titel The Case for Memory Safe Roadmaps (Der Fall für speichersichere Roadmaps) bietet Herstellern eine Anleitung für die Umsetzung von Änderungen zur Beseitigung von Speichersicherheitsschwachstellen in ihren Produkten.
Hier geht's zum englischsprachigen Original-Dokument.
Künstliche Intelligenz
OpenAI: „GPT-4o“ kann jetzt auch sprechen
Die Entwicklerfirma OpenAI hat das neue KI-Modell „GPT-4o“ vorgestellt. Dieses kann mit menschlicher Stimme mit Nutzern interagieren und auch zwischen verschiedenen Sprachen übersetzen.
>>
ServiceNow
Die generative KI von Now Assist bekommt ein Gesicht
ServiceNow hat auf seiner Kunden- und Partnerkonferenz Knowledge 2024 in Las Vegas den Ausbau der Partnerschaften mit NVIDIA und Microsoft bekannt gegeben. Künftig sollen KI-Avatare für individuellere Mitarbeiter- und Kundenerlebnisse sorgen.
>>
Uphill Conf 2024
KI erobert den Berner Hausberg Gurten
Die Uphill Conf kehrt nach pandemiebedingter Pause zurück auf den Berner Hausberg Gurten. Die zweitägige Entwicklerkonferenz steht unter dem Motto "Applied AI for Software Engineers" und zeigt die neuesten Technologie-Trends in der Software-Entwicklung.
>>
.NET Cron Jobs
NCronJob bringt spannende neue Funktionen
Die Bibliothek NCronJob hat ein bedeutendes Update erfahren. Die neue Version bietet verbesserte Benutzerfreundlichkeit durch ein flüssigeres API und integriert Funktionen wie Wiederholungsrichtlinien und Zeitzonenunterstützung.
>>