C++创始人回敬白宫安全警告

C++创始人回敬白宫安全警告 C++ 创始人 Bjarne Stroustrup 为这种已经广泛使用的编程语言进行了辩护,回应拜登政府的发布的语言安全报告,这份报告呼吁开发人员使用内存安全语言,并避免使用C++和C等易受攻击的编程语言。就在 3 月 15 日,在对技术媒体的访谈回复中,Stroustrup 指出了 1979 年设计的 C++ 的优势,包括安全保证。Stroustrup 说:“在某一方面,他们似乎已经意识到编程语言只是工具链的一部分,因此改进的工具和开发流程至关重要。”Stroustrup 还强调,安全性改进始终是 C++ 开发工作的目标。“从第一天起以及整个发展过程中,提高安全性一直是 C++ 的目标。人们只要将K&R C语言与最早的C++,拿早期的C++与当代的C++进行比较即可。他还在CppCon 2023 主题演讲中描述了这一演变:“许多高质量的 C++ 都是使用基于 RAII(资源获取初始化)、容器与资源管理指针等技术编写,而不是传统的 C 风格的混乱指针。”美国白宫在2 月 26 日发布的报告中,呼吁开发人员通过使用不存在内存安全漏洞的编程语言来降低网络攻击的风险。报告中未明确指明,但C++ 和 C 被认为是存在内存安全漏洞的语言的两个典型。美国国家安全局 (NSA)于 2022 年 11 月发布网络安全信息表,已经将 C#、Go、Java、Python 和 Rust 列为被认为内存安全的语言。美国国家安全局 (NSA) 的技术总监尼尔·齐林 (Neal Ziring)一直在投一些"真相炸弹":“内存管理问题已经被利用了几十年,并且在今天仍然非常普遍”。类似于如下代码:int main() {int *memory;// Allocate 200 ints.memory = malloc(200 * sizeof(int));// Allocate 100 more ints.// ERROR: This will compile, but will leave the previously// allocated memory hanging, with no way to access it.memory = malloc(100 * sizeof(int));// Free second block of 100 ints.// The first block is not (memory);return 0;}malloc函数的功能是分配内存。第一次使用时分配的内存永远不会被释放。如果像这样不断分配内存且从不释放,则攻击者可能能够使用它来对软件执行拒绝服务攻击,导致服务器的内存不足。在面临这样的安全报告,Stroustrup 列举了许多提高 C++ 在安全性方面的努力。“事实上存在两个与安全相关的问题。在数十亿行 C++ 代码中,很少有完全遵循现代准则的,而且人们对安全的某些重要方面的看法也不尽相同。我和 C++ 标准委员会正在努力解决这个问题。”Stroustrup说:“配置文件是一个框架,用来指定一段代码需要什么保证,并启用实现来验证它们。在C++委员会网站上有描述这一点的文件(关键字:WG21),并且还会有更多文件的可以查阅。但是,我们中的一些人没有心情等待委员会有一些缓慢的进展。”Stroustrup 还表示,“Profiles 是一个框架,它允许我们逐步改进质量与安全保证。例如,相对较快地消除大多数范围错误,并通过本地静态分析和最少的运行时检查,逐步将安全保证引入大型代码库。我对 C++ 的长期目标是,让 C++ 在需要的时间和地点提供类型和资源安全性。也许当前对内存安全的推动是我想要保证的一个子集,也将证明我的努力将会有帮助,C++ 标准委员会的许多合作伙伴也认同这一点。”Stroustrup此前针对 NSA 捍卫了 C++ 的安全性表示赞赏,但之后 NSA 在2022 年 11 月的公告中,建议开发者使用内存安全语言,而不是 C++ 和 C。内存安全且能自动管理内存的编程语言,众所周知的有:C#、Go、Java、Ruby、Rust 和 Swift等。 ... PC版: 手机版:

相关推荐

封面图片

美国政府建议使用内存安全编程语言 C/C++都被排除在外

美国政府建议使用内存安全编程语言 C/C++都被排除在外 为什么大型科技公司都关注 Rust 呢?因为相对来说,Rust 安全性更高,微软认为通过 Rust 重新编写某些组件有助于提高内存安全性。日前美国政府下属的 ONCD 办公室发布了一份报告就详细介绍了建议开发者们使用各种内存安全编程语言,尽管 ONCD 没有明确罗列哪些语言是内存安全编程语言,但强调了 C 和 C++ 缺乏与内存安全相关的特征,因此实际上就是不建议开发者使用 C 和 C++。需要强调的是,这里只是从内存安全角度出发来建议,并不是评判一种编程语言的好坏,ONCD 称如果软件一开始就选择使用内存安全编程语言的话,那么可以提高安全性。报告也没有建议使用哪些内存安全语言来替代 C 和 C++,毕竟只是建议,实际上开发者和企业如何选择编程语言还是开发者们自己的事情,毕竟也要考虑到软件本身。 ... PC版: 手机版:

封面图片

“C、C++ 不安全,新应用开发时就别用了,旧应用应该采取迁移行动”,近日,美国白宫国家网络主任办公室 (ONCD)在一份主题为

“C、C++ 不安全,新应用开发时就别用了,旧应用应该采取迁移行动”,近日,美国白宫国家网络主任办公室 (ONCD)在一份主题为《回到基础构件:通往安全软件之路》的 19 页 PDF 报告中强烈呼吁道。 其直言,C 和 C++ 这几种编程语言既缺乏与内存安全相关的特性,又在关键系统中大量使用,可能会带来极大的安全风险,希望开发者抓紧使用“内存安全编程语言”。  (CISA)等之后,又一政府机构发起呼吁,而且这一次直接与“保护国家安全”挂钩。根据报告指出,该建议是美国总统拜登网络安全战略的一部分,是“确保网络空间基石安全”的举措。 标签: #C #编程语言 频道: @GodlyNews1 投稿: @GodlyNewsBot

封面图片

C++ Primer Plus(第6版)中文版 (Stephen Prata)

C++ Primer Plus(第6版)中文版 (Stephen Prata) 描述:C++是在C语言基础上开发的一种集面向对象编程、通用编程和传统的过程化编程于一体的编程语言,是C语言的超集。本书是根据2003年的ISO/ANSI C++标准编写的。通过大量短小精悍的程序详细而全面地阐述了C++的基本概念和技术。全书分为18章和10个附录,分别介绍了C++程序的运行方式、基本数据类型、复合数据类型、循环和关系表达式、分支语句和逻辑操作符、函数重载和函数模板、内存模型和名称空间、类的设计和使用、多态、虚函数、动态内存分配、继承、代码重用、友元、异常处理技术、string类和标准模板库、输入/输出等内容。本书针对C++初学者,从C语言基础知识开始介绍,然后在此基础上详细阐述C++新增的特性,因此不要求读者有较多C语言方面的背景知识。本书可以作为高等院校C++课程的教材,也可以供初学者自学C++时使用。 链接:https://www.aliyundrive.com/s/2yMNjJ2nE9z 大小:348.59M 标签:#计算机 #编程 #C #课程 #教材 来自:雷锋 版权:版权反馈/DMCA 频道:@shareAliyun 群组:@aliyundriveShare 投稿:@aliyun_share_bot

封面图片

C++ 核心指南 || #C++ #电子书 #指南

C++ 核心指南 || #C++ #电子书 #指南 这是一份持续改进的动态文件,可帮你有效地使用现代 C++。“现代 C++”是指 C++11 及更新版本。 这些指南主要关注相对较高层次的问题,如接口、资源管理、内存管理和并发性。这些规则影响应用架构和库设计。遵循这些规则将导致代码在静态类型安全性上有保障,没有资源泄漏,并且能捕获比现今代码中更多的编程逻辑错误。而且它将运行得很快你完全有能力做到正确。 本书对低层次的问题,如命名约定和缩进风格,不太关心。

封面图片

扩展内存检查器以进行 C/C++ 调试 |在 Chrome 92 中引入了Memory Inspector,这是一种用于检查线性

扩展内存检查器以进行 C/C++ 调试 |在 Chrome 92 中引入了Memory Inspector,这是一种用于检查线性内存缓冲区的工具,提供了更强大的线性内存缓冲区调试选项。 本文讨论的是如何改进 Inspector 以进行 C/C++ 调试以及在此过程中遇到的技术挑战。 如果你不熟悉 C/C++ 调试和Memory Inspector,可以看看相关的博客文章: 对深度内存调试感兴趣?请参阅。 想要了解完整的 C/C++ 调试工具套件吗?请参阅使用和。

封面图片

美国白宫督促科技公司切换到内存安全语言

美国白宫督促科技公司切换到内存安全语言 白宫国家网络主任办公室(ONCD)督促科技公司采用内存安全语言,通过减少内存安全漏洞提高软件的安全性。内存安全漏洞是软件中最常见的编程错误之一,当软件以非预期或不安全的方式访问内存时,会导致各种安全问题,如缓冲区溢出、访问释放后的内存、访问未初始化的内存和双重释放。此类漏洞如被利用会带来严重安全风险,可能允许攻击者能未经授权访问数据,或者允许非法提升权限执行恶意代码。ONCD 称,消除内存安全漏洞是一个紧迫而复杂的问题,必须采取新方法减轻风险。尽管 ONCD 没有明确罗列哪些语言是内存安全编程语言,但强调了 C 和 C++ 缺乏与内存安全相关的特征。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人