Los lenguajes C y C++ ya no son los preferidos por las más altas autoridades del gobierno estadounidense. La Casa Blanca desea que los desarrolladores utilicen "lenguajes seguros" y no cree que C y C++ lo sean, o puedan serlo.
En un informe publicado el lunes de la semana pasada, la Oficina del Director Nacional de Ciberseguridad (ONCD) de la Casa Blanca invitó a los desarrolladores a reducir el riesgo de ciberataques mediante el uso de lenguajes “sin vulnerabilidades de memoria”.
Las empresas de TI, explica la ONCD, "pueden evitar la introducción de múltiples vulnerabilidades en el ecosistema digital mediante la adopción de lenguajes seguros". Se refiere, específicamente, a lenguajes protegidos contra el desbordamiento del búfer, las lecturas fuera de límites y las pérdidas de memoria.
“Nuestros expertos han identificado algunos lenguajes de programación que carecen de rasgos asociados con la seguridad de la memoria y también tienen una alta proliferación en sistemas críticos, como C y C++. Es clave usar lenguajes de programación seguros para la memoria en un primer momento, tal y como recomienda la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA)”.—Comunicado de la ONCD
Estudios recientes de Microsoft y Google han encontrado que alrededor del 70 por ciento de todas las vulnerabilidades de seguridad son causadas por problemas de seguridad de memoria.
"Como nación, tenemos la capacidad, y la responsabilidad, de reducir la superficie de ataque en el ciberespacio y evitar que clases enteras de errores de seguridad entren en el ecosistema digital, pero eso significa que debemos abordar el difícil problema de pasar a lenguajes de programación seguros para la memoria".—Harry Coker, director nacional de Ciberseguridad.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EEUU también instó a los desarrolladores a usar lenguajes de programación seguros para la memoria en una publicación de blog de septiembre.
La CISA, el FBI, la Agencia de Seguridad Nacional de Estados Unidos y agencias de países aliados también publicaron el informe "The Case for Memory Safe Roadmaps" en diciembre.
¿La era de Rust?
Hasta el año pasado, alrededor del 22 por ciento de todos los programadores de software usaban C++ y el 19 por ciento usaban C, según Statista, lo que hace a estos programas menos populares que JavaScript, Python, Java y algunos otros. Pero el índice de la Comunidad de Programación TIOBE clasifica solo a Python como el más popular, seguido de C, C++ y Java.
El 'Project Zero' de Google se dedica a identificar y abordar las vulnerabilidades de seguridad 'zero-day' (aquellas que los atacantes comienzan a explotar antes de que los desarrolladores tengan conocimiento de su existencia) y, según sus estudios, dos de cada tres exploits 'zero-day' aprovechan precisamente los problemas de seguridad relacionados con la memoria.
El nuevo informe de ONCD puso a C y C++ como dos ejemplos de lenguajes de programación con vulnerabilidades de seguridad de memoria, y nombró a Rust como ejemplo de un lenguaje de programación que considera seguro.
En ese sentido, la apuesta de Google es clara, y es el lenguaje Rust.
La compañía anunció recientemente su plan de subvencionar con un millón de euros a la Fundación Rust para mejorar la interoperabilidad con el código C++. En teoría, esto facilitará la adopción incremental de Rust en las bases de código existentes.
El apoyo financiero de Google también podría demostrar ser vital para la implementación del soporte de Rust en el kernel de Linux o en el desarrollo de componentes de Android que utilicen Rust.
Ver 0 comentarios