Vlada SAD upozorava na rizike korišćenja C i C++ u kritičnoj infrastrukturi

Savezna vlada SAD pojačava svoja upozorenja o opasnim praksama u razvoju softvera, pri čemu su Agencija za sajber bezbednost i bezbednost infrastrukture SAD (CISA) i Federalni istražni biro (FBI) izdali oštra upozorenja o osnovnim bezbednosnim propustima koji i dalje muče kritičnu infrastrukturu.

Nedavni izveštaj koji su zajednički izdali CISA i FBI o lošim praksama u bezbednosti proizvoda upozorava proizvođače softvera na loše prakse kao što je korišćenje programskih jezika koji nisu bezbedni sa stanovišta memorije, poput C i C++.

„Razvoj novih linija proizvoda za upotrebu u službi kritične infrastrukture ili nacionalnih kritičnih funkcija (NCF) u jeziku koji nije bezbedan sa aspekta memorije (npr. C ili C++), kada postoje lako dostupni alternativni jezici koji su bezbedni i mogli bi se koristiti, je opasan i značajno povećava rizik za nacionalnu bezbednost, nacionalnu ekonomsku bezbednost i nacionalno javno zdravlje i sigurnost“, navodi se u izveštaju.

Izveštaj kaže da su loše prakse podeljene u tri kategorije: svojstva proizvoda, bezbednosne funkcije i organizacijske procese i politike.

Izveštaj je namenjen proizvođačima softvera koji razvijaju softverske proizvode i usluge—uključujući lokalni softver, cloud usluge i softver kao uslugu (SaaS)—koji se koriste za podršku kritičnoj infrastrukturi ili NCF, navodi se u izveštaju.

Shutterstock

„Ovaj vodič svakako prati raniju izjavu vlade SAD o tom pitanju, izjave koje datiraju još od 2022. godine, opominjući pružaoce tehnologije i poslovne korisnike da usvoje ili pređu na jezike bezbedne u pogledu memorije“, rekao je Brad Šimmin, analitičar u Omdia.

Vodič, iako je dobrovoljan, predstavlja najjači stav CISA-e do sada o osnovnim bezbednosnim praksama—stavljajući kompanije na upozorenje o tome šta predstavlja nemarne prakse u razvoju softvera kada je u pitanju kritična infrastruktura.

Kompanije imaju rok do 1. januara 2026. godine da kreiraju planove za bezbednost memorije.

Izveštaj takođe navodi da plan za bezbednost memorije treba da iznese prioritetni pristup proizvođača eliminisanju ranjivosti bezbednosti memorije u prioritetnim komponentama koda (npr. kod okrenut ka mreži ili kod koji rukuje osetljivim funkcijama poput kriptografskih operacija).

„Proizvođači treba da pokažu da će plan za bezbednost memorije dovesti do značajnog, prioritetnog smanjenja ranjivosti bezbednosti memorije u proizvodima proizvođača i da demonstriraju da ulažu razuman napor da slede plan za bezbednost memorije“, navodi se u izveštaju TheNewStack-a.