C++创始人回敬白宫安全警告

C++创始人回敬白宫安全警告 C++ 创始人 Bjarne Stroustrup 为这种已经广泛使用的编程语言进行了辩护，回应拜登政府的发布的语言安全报告，这份报告呼吁开发人员使用内存安全语言，并避免使用C++和C等易受攻击的编程语言。就在 3 月 15 日，在对技术媒体的访谈回复中，Stroustrup 指出了 1979 年设计的 C++ 的优势，包括安全保证。Stroustrup 说：“在某一方面，他们似乎已经意识到编程语言只是工具链的一部分，因此改进的工具和开发流程至关重要。”Stroustrup 还强调，安全性改进始终是 C++ 开发工作的目标。“从第一天起以及整个发展过程中，提高安全性一直是 C++ 的目标。人们只要将K&R C语言与最早的C++，拿早期的C++与当代的C++进行比较即可。他还在CppCon 2023 主题演讲中描述了这一演变：“许多高质量的 C++ 都是使用基于 RAII（资源获取初始化）、容器与资源管理指针等技术编写，而不是传统的 C 风格的混乱指针。”美国白宫在2 月 26 日发布的报告中，呼吁开发人员通过使用不存在内存安全漏洞的编程语言来降低网络攻击的风险。报告中未明确指明，但C++ 和 C 被认为是存在内存安全漏洞的语言的两个典型。美国国家安全局 (NSA)于 2022 年 11 月发布网络安全信息表，已经将 C#、Go、Java、Python 和 Rust 列为被认为内存安全的语言。美国国家安全局 (NSA) 的技术总监尼尔·齐林 (Neal Ziring)一直在投一些"真相炸弹"：“内存管理问题已经被利用了几十年，并且在今天仍然非常普遍”。类似于如下代码：int main() {int *memory;// Allocate 200 ints.memory = malloc(200 * sizeof(int));// Allocate 100 more ints.// ERROR: This will compile, but will leave the previously// allocated memory hanging, with no way to access it.memory = malloc(100 * sizeof(int));// Free second block of 100 ints.// The first block is not (memory);return 0;}malloc函数的功能是分配内存。第一次使用时分配的内存永远不会被释放。如果像这样不断分配内存且从不释放，则攻击者可能能够使用它来对软件执行拒绝服务攻击，导致服务器的内存不足。在面临这样的安全报告，Stroustrup 列举了许多提高 C++ 在安全性方面的努力。“事实上存在两个与安全相关的问题。在数十亿行 C++ 代码中，很少有完全遵循现代准则的，而且人们对安全的某些重要方面的看法也不尽相同。我和 C++ 标准委员会正在努力解决这个问题。”Stroustrup说：“配置文件是一个框架，用来指定一段代码需要什么保证，并启用实现来验证它们。在C++委员会网站上有描述这一点的文件（关键字：WG21），并且还会有更多文件的可以查阅。但是，我们中的一些人没有心情等待委员会有一些缓慢的进展。”Stroustrup 还表示，“Profiles 是一个框架，它允许我们逐步改进质量与安全保证。例如，相对较快地消除大多数范围错误，并通过本地静态分析和最少的运行时检查，逐步将安全保证引入大型代码库。我对 C++ 的长期目标是，让 C++ 在需要的时间和地点提供类型和资源安全性。也许当前对内存安全的推动是我想要保证的一个子集，也将证明我的努力将会有帮助，C++ 标准委员会的许多合作伙伴也认同这一点。”Stroustrup此前针对 NSA 捍卫了 C++ 的安全性表示赞赏，但之后 NSA 在2022 年 11 月的公告中，建议开发者使用内存安全语言，而不是 C++ 和 C。内存安全且能自动管理内存的编程语言，众所周知的有：C#、Go、Java、Ruby、Rust 和 Swift等。 ... PC版： 手机版：

“C、C++ 不安全，新应用开发时就别用了，旧应用应该采取迁移行动”，近日，美国白宫国家网络主任办公室 (ONCD)在一份主题为

“C、C++ 不安全，新应用开发时就别用了，旧应用应该采取迁移行动”，近日，美国白宫国家网络主任办公室 (ONCD)在一份主题为《回到基础构件：通往安全软件之路》的 19 页 PDF 报告中强烈呼吁道。 其直言，C 和 C++ 这几种编程语言既缺乏与内存安全相关的特性，又在关键系统中大量使用，可能会带来极大的安全风险，希望开发者抓紧使用“内存安全编程语言”。  (CISA)等之后，又一政府机构发起呼吁，而且这一次直接与“保护国家安全”挂钩。根据报告指出，该建议是美国总统拜登网络安全战略的一部分，是“确保网络空间基石安全”的举措。 标签: #C #编程语言 频道: @GodlyNews1 投稿: @GodlyNewsBot

：一个安全、快速、通用的操作系统内核。 它提供于Linux相同的ABI，可无缝运行Linux应用， 但比Linux更加内存安全和

：一个安全、快速、通用的操作系统内核。 它提供于Linux相同的ABI，可无缝运行Linux应用， 但比Linux更加内存安全和开发者友好。 Asterinas在内存安全性方面远胜Linux。 它使用Rust作为唯一的编程语言， 并将unsafe Rust的使用限制在一个明确定义且最小的可信计算基础（TCB）上。 这种新颖的方法， 被称为框内核架构， 使星绽成为一个更安全、更可靠的内核选择。 而在开发者友好性方面，Asterinas优于Linux。 它赋能内核开发者们使用生产力更高的Rust编程语言；利用一个专为内核开发者设计的工具包（称为OSDK）来简化他们的工作流程；享受MPL所带来的灵活性， 可自由选择开源或闭源他们为Asterinas所开发的内核模块或驱动。

来自TIOBE的最新12月份统计数据显示：python继续霸榜编程语言第一，与c、c++并列开发者使用的最流行的三大编程语言。

来自TIOBE的最新12月份统计数据显示：python继续霸榜编程语言第一，与c、c++并列开发者使用的最流行的三大编程语言。 这是c++首次超越java进入前三，也是自2001年TIOBE指数开始以来，java首次掉出榜单前三名。

Google投资100万美元改善Rust与C++的互操作性

Google投资100万美元改善Rust与C++的互操作性 我们希望这项计划能让那些拥有庞大 C++ 代码库的大型企业更轻松地逐步过渡到 Rust 编程语言。Rust 开发人员将探索新的方法，以提供"现有 C++ 代码与 Rust 代码之间的无缝互操作性"。根据历史漏洞密度统计，Rust 已主动阻止了数百个漏洞对 Android 生态系统的影响。这项投资旨在扩大 Rust 在平台各个组件中的应用。虽然 Rust 可能并不适合所有产品应用，但优先考虑与 C++ 的无缝互操作性将加速更广泛的社区采用，从而与提高内存安全性的行业目标保持一致。该计划的第一项工作将是起草一份工作范围建议书，以便与利益相关者就互操作性推进工作的重点展开讨论。这笔资金很可能将用于围绕构建系统集成的额外招聘和资源配置、基于人工智能的 C++ 到 Rust 的可能转换和/或其他支出。Rust/C++ 互操作计划的公告将在Google安全博客上发布。 ... PC版： 手机版：

美国白宫督促科技公司切换到内存安全语言

美国白宫督促科技公司切换到内存安全语言 白宫国家网络主任办公室(ONCD)督促科技公司采用内存安全语言，通过减少内存安全漏洞提高软件的安全性。内存安全漏洞是软件中最常见的编程错误之一，当软件以非预期或不安全的方式访问内存时，会导致各种安全问题，如缓冲区溢出、访问释放后的内存、访问未初始化的内存和双重释放。此类漏洞如被利用会带来严重安全风险，可能允许攻击者能未经授权访问数据，或者允许非法提升权限执行恶意代码。ONCD 称，消除内存安全漏洞是一个紧迫而复杂的问题，必须采取新方法减轻风险。尽管 ONCD 没有明确罗列哪些语言是内存安全编程语言，但强调了 C 和 C++ 缺乏与内存安全相关的特征。