专栏名称: 网空闲话plus
原《网空闲话》。主推网络空间安全情报分享,安全意识教育普及,安全文化建设培育。将陆续推出网安快讯、网安锐评、网安政策、谍影扫描、APT掠影、密码技术、OT安全等专集。
目录
相关文章推荐
中国基金报  ·  突然,直线拉升! ·  昨天  
中国基金报  ·  突发公告!百亿A股一发起人逝世 ·  昨天  
长江云新闻  ·  缴税5千万!江西福彩开出2.5亿大奖 ·  2 天前  
中国基金报  ·  突发!开曼群岛附近海域发生8.0级地震 ·  3 天前  
中国基金报  ·  招行公告!事关黄金账户 ·  4 天前  
51好读  ›  专栏  ›  网空闲话plus

差距还很大!大多数关键开源项目未使用内存安全代码

网空闲话plus  · 公众号  ·  · 2024-06-27 07:13

正文

美国网络安全和基础设施安全局(CISA)发布了一项研究,调查了172个关键开源项目是否容易受到内存漏洞的影响。该报告由CISA、联邦调查局以及澳大利亚和加拿大组织共同签署,是对2023年12月发布的“内存安全路线图案例”的后续行动,旨在提高人们对内存安全代码重要性的认识。内存安全语言是旨在防止常见内存相关错误(如缓冲区溢出、释放后使用和其他类型的内存损坏)的编程语言。比如Golang、Java、C#和Python通过垃圾收集来管理内存,自动回收释放的内存以防止被利用。CISA报告中称,观察到许多关键开源项目部分是用内存不安全的语言编写的,有限的依赖性分析表明项目通过依赖关系继承了用内存不安全的语言编写的代码。最后,CISA建议软件开发人员使用内存安全的语言(例如Rust、Java和GO)编写新代码,并将现有项目(尤其是关键组件)转换为这些语言。

美国国家网络安全和基础设施安全局(CISA)6月26日发布的最新研究揭示了关键开源项目在使用内存安全编码方面的严重不足。该研究涵盖了172个广泛部署的开源项目,旨在评估它们是否容易受到内存缺陷的影响。
内存安全编程语言旨在防止常见的内存相关错误,如缓冲区溢出、释放后使用等内存破坏。这些语言通过自动管理内存来实现,而不是依赖程序员实现安全的内存分配和释放机制。例如,Rust的借用检查器消除了数据竞争,而其他语言如Golang、Java、C#和Python则通过垃圾回收机制管理内存,自动回收已释放的内存以防止被利用。
相对而言,内存不安全的语言则未提供内置的内存管理机制,使开发人员需要自行负责,这增加了错误发生的可能性。如C、C++、Objective-C、Assembly、Cython和D等语言属于此类。
研究发现,超过半数的关键开源项目中存在使用内存不安全语言编写的代码。这些项目的总代码行数中,有55%是使用内存不安全语言编写的。尤其是在实施网络、加密和操作系统功能等低级功能时,由于资源限制和性能需求,开发人员往往被迫使用内存不安全语言。
CISA强调,即使是部分用内存安全语言编写的项目,也经常依赖于使用内存不安全语言编写的组件。这种情况下,开发人员可能会因需求而故意或错误地禁用内存安全功能,导致即使使用理论上更安全的构建模块,仍存在风险。
为了解决这一问题,CISA建议软件开发人员在编写新代码时采用像Rust、Java和Go这样的内存安全语言,并逐步将现有项目,特别是关键组件,转换到这些语言。此外,还建议遵循安全编码实践,仔细管理和审查依赖关系,并进行持续的测试,包括静态分析、动态分析和模糊测试,以便检测和解决内存安全问题。
这项研究突显了在当今数字环境中,保证软件安全和可靠性对于保护用户数据和网络基础设施的重要性。通过采用内存安全编码实践,可以显著降低由内存相关漏洞引起的潜在风险,提升软件的整体安全性和可信度。
附报告原文







请到「今天看啥」查看全文


推荐文章
中国基金报  ·  突然,直线拉升!
昨天
中国基金报  ·  突发公告!百亿A股一发起人逝世
昨天
长江云新闻  ·  缴税5千万!江西福彩开出2.5亿大奖
2 天前
中国基金报  ·  突发!开曼群岛附近海域发生8.0级地震
3 天前
中国基金报  ·  招行公告!事关黄金账户
4 天前
圈内扒爷  ·  【八卦说】罗志祥床戏脱光历史?团队控制黑粉的艺人,孕期爆假女星,和高层有染男星!
8 年前
大数据文摘  ·  新年电影清单二 | 看完这几部电影,分分钟让你爱上数学
8 年前
数据宝  ·  一带一路继续扩散,钴概念集体飙升 揭秘放量大涨股
7 年前
心情聊伤话  ·  一周缠绵几次能让女人变年轻,你多了还是少了?
7 年前
新身体  ·  啪啪时,多长的丁丁最爽?
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!