C/C++大限将至！美要求2026年前全面弃用

近日，美国政府加强了对危险软件开发实践的警告，明确指出了使用非内存安全编程语言的风险，特别是C和C++，被列为了重点关注对象。这一立场由美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）在最新发布的报告中共同表明。

报告指出，“在支持关键基础设施或国家关键职能（NCF）的新产品线的开发过程中，使用非内存安全语言（例如 C 或 C++）可能引发风险，即显著提高了国家安全、国家经济安全以及国家公共卫生及安全所面临的风险。”并强调“对于以非内存安全语言编写的现有产品，到 2026 年 1 月 1 日前仍缺少明确内存安全迁移路线图的情况，将被视为存在风险，即显著提高了国家安全、国家经济安全以及国家公共卫生及安全所面临的风险。

报告进一步将不良实践细分为产品属性、安全功能和组织流程与政策三大类别，并主要面向那些负责开发关键基础设施软件产品的开发商。同时，报告鼓励所有软件开发商遵循建议方针，避免采取可能影响产品安全性的不良实践。

Omdia分析师Brad Shimmin指出，这是美国政府对软件安全问题持续关注的结果，旨在提醒技术提供商和企业用户尽快使用或迁移至内存安全语言。他强调，此次警告体现了美国政府在软件安全方面的强硬立场。

许多软件厂商表示，将积极响应政府号召，对编码实践进行修复和改进，以降低因不良实践而可能承担的过失风险。

CISA 战略合作伙伴关系及漏洞项目开发负责人 Rina Rakipi 表示，CISA 已获得超过 230 家软件厂商的自愿承诺。加入“安全设计”计划，意味着这些厂商承诺在一年内达成一系列网络安全目标，包括减少产品中的默认密码、增加多因素身份验证的使用，以及消除特定类别的漏洞。

Rakipi 说：“我们非常高兴有超过 230 家软件厂商自愿参与这一承诺。展望未来，我们期待 在接下来的一年中，看到这 230 家公司取得的实质性进展。”