Улады ЗША патрабуюць ад распрацоўшчыкаў адмовіцца ад C/C++ да 2026 года
Агенцтва па кібербяспецы і абароне інфраструктуры (CISA) ЗША і ФБР нагадалі пра непажаданасць выкарыстання небяспечных для памяці моў праграмавання накшталт C і C++ праз рызыку ўцечак. Ведамствы заклікалі распрацоўшчыкаў софту адмовіцца ад іх на карысць кліентаў і карыстальнікаў і распачаць шэраг дадатковых мер. Асабліва рэкамендацыі ведамстваў датычацца пастаўшчыкоў софту, звязаных з крытычна важнай нацыянальнай інфраструктурай.
Агенцтва па кібербяспецы і абароне інфраструктуры (CISA) ЗША і ФБР нагадалі пра непажаданасць выкарыстання небяспечных для памяці моў праграмавання накшталт C і C++ праз рызыку ўцечак. Ведамствы заклікалі распрацоўшчыкаў софту адмовіцца ад іх на карысць кліентаў і карыстальнікаў і распачаць шэраг дадатковых мер. Асабліва рэкамендацыі ведамстваў датычацца пастаўшчыкоў софту, звязаных з крытычна важнай нацыянальнай інфраструктурай.
У якасці бяспечных альтэрнатыў прапаноўваецца ўжываць наступныя мовы:
Python,
Java,
C#,
Go,
Delphi/Object Pascal,
Swift,
Ruby,
Rust,
Ada.
Таксама да 1 студзеня 2026 года распрацоўшчыкам рэкамендавана стварыць дарожную карту для ўжо існых прадуктаў, напісаных на небяспечных мовах, з планам ліквідацыі адпаведных уразлівасцяў у ключавых кампанентах кода. Акрамя таго, яны павінны прадэманстраваць, што выконваюць гэтую дарожную карту.
Іншыя пазначаныя CISA і ФБР практыкі звязаныя з выкарыстаннем пароляў па змаўчанні ў прадуктах, ужываннем оўпэнсорснага кода з эксплуатаванымі ўразлівасцямі, уразлівасцямі з прамым укараненнем SQL, адсутнасцю базавага выяўлення ўварванняў і шматфактарнай аўтэнтыфікацыі, а таксама іншымі небяспекамі.
Что в том списке делает Delphi/Object Pascal? Мне этот язык нравился как и IDE, но воспринимать без смеха то как клиенты зачитывали с экрана "Access Violation ..." было тяжело
Карыстальнік адрэдагаваў каментарый 9 лістапада 2024, 09:51
Anonymous
9 лістапада 2024, 12:39
-2
Ada безопасносно по памяти и проверено временем
https://habr.com/ru/articles/856804/
"Что касается Ada, то там есть всё то, что есть в Rust -- ссылки/указатели с временем жизни и неплохой borrow checker, в Ada/SPARK посильнее, чем в Rust будет, а еще встроенные в язык экторы (которые рантайм может превратить в аналог горутин), да и мейлбоксы с каналами несложно организовать, пакетный менеджер, деструкторы при поддержке компилятора, ну и так далее. Есть даже некоторые реализации примитивного GC, правда, в Ada он нужен куда реже, там компилятор достаточно умен, чтобы гораздо свободнее протаскивать локальные переменные. В принципе, его можно воспринимать как более безопасный Си, как и D, просто он не модный."
Станет легче от того что программа упадет с ArrayIndexOutOfBoundsException или IndexOutOfRangeException? 🤭
Рэлацыраваліся? Цяпер вы можаце каментаваць без верыфікацыі акаўнта.
Мда.. Список явно составлялся бюрократами, которые совершенно не представляют где и для чего применяется С и С++.
И да, в оригинале этот список отсутствует. Так что редакция, не надо лепить отсебятину.
Карыстальнік адрэдагаваў каментарый 8 лістапада 2024, 01:24
почему отсутствует?все там есть. Надо просто dive deeper
https://www.cisa.gov/sites/default/files/2023-12/The-Case-for-Memory-Safe-Roadmaps-508c.pdf
тут есть списочек memory safe
В том списке только C#, Go, Java, Python, Rust :)
и Swift
PHP очень безопасен
ёсць яшчэ адна небяспечная мова
И список бугага. Эти ребятки стандарт наверное C++ дальше 80-го года не открывали. Позорище.
рука-лицо (о новости)
Ada https://blog.adacore.com/an-introduction-to-memory-safety-concepts-and-challenges
Карыстальнік адрэдагаваў каментарый 8 лістапада 2024, 18:09
https://safecpp.org/P3390R0.html
https://github.com/cppalliance/safe-cpp
Что в том списке делает Delphi/Object Pascal? Мне этот язык нравился как и IDE, но воспринимать без смеха то как клиенты зачитывали с экрана "Access Violation ..." было тяжело
Карыстальнік адрэдагаваў каментарый 9 лістапада 2024, 09:51
Ada безопасносно по памяти и проверено временем
https://habr.com/ru/articles/856804/
"Что касается Ada, то там есть всё то, что есть в Rust -- ссылки/указатели с временем жизни и неплохой borrow checker, в Ada/SPARK посильнее, чем в Rust будет, а еще встроенные в язык экторы (которые рантайм может превратить в аналог горутин), да и мейлбоксы с каналами несложно организовать, пакетный менеджер, деструкторы при поддержке компилятора, ну и так далее. Есть даже некоторые реализации примитивного GC, правда, в Ada он нужен куда реже, там компилятор достаточно умен, чтобы гораздо свободнее протаскивать локальные переменные. В принципе, его можно воспринимать как более безопасный Си, как и D, просто он не модный."
Станет легче от того что программа упадет с ArrayIndexOutOfBoundsException или IndexOutOfRangeException? 🤭
https://www.linkedin.com/pulse/buffer-overflow-java-chathushka-dilhanhttps://learn.microsoft.com/en-us/dotnet/api/system.indexoutofrangeexception?view=net-8.0
аналог тех исключений
https://cplusplus.com/reference/stdexcept/out_of_range/
небезопасный код есть и в Rust
https://doc.rust-lang.org/book/ch19-01-unsafe-rust.html#unsafe-superpowers
Да, Python вместо C++ - это сильно. И кто сказал, что Штаты технологически сильная держава? Да таких властей можно не бояться, думают не тем местом.
Будут безопасную ос на жабаскрипте писать?