Android 13 中的内存安全语言 | 十多年来，内存安全漏洞一直占整个产品和整个行业漏洞的 65% 以上。在Android

Android 13 中的内存安全语言 | 十多年来，内存安全漏洞一直占整个产品和整个行业漏洞的 65% 以上。在Android上，我们现在看到了一些不同的东西 - 内存安全漏洞的显着下降以及漏洞严重性的相关下降。 查看 Android 安全公告中报告的漏洞（包括通过我们的漏洞奖励计划 （VRP） 报告的关键/高严重性漏洞和内部报告的漏洞），我们发现内存安全漏洞的数量在过去几年/版本中大幅下降。从 2019 年到 2022 年，内存安全漏洞的年度数量从 223 个下降到 85 个。 这种下降恰逢编程语言使用从内存不安全语言的转变。Android 13 是第一个 Android 版本，其中添加到版本中的大部分新代码都使用内存安全语言。

美国政府建议使用内存安全编程语言 C/C++都被排除在外

美国政府建议使用内存安全编程语言 C/C++都被排除在外 为什么大型科技公司都关注 Rust 呢？因为相对来说，Rust 安全性更高，微软认为通过 Rust 重新编写某些组件有助于提高内存安全性。日前美国政府下属的 ONCD 办公室发布了一份报告就详细介绍了建议开发者们使用各种内存安全编程语言，尽管 ONCD 没有明确罗列哪些语言是内存安全编程语言，但强调了 C 和 C++ 缺乏与内存安全相关的特征，因此实际上就是不建议开发者使用 C 和 C++。需要强调的是，这里只是从内存安全角度出发来建议，并不是评判一种编程语言的好坏，ONCD 称如果软件一开始就选择使用内存安全编程语言的话，那么可以提高安全性。报告也没有建议使用哪些内存安全语言来替代 C 和 C++，毕竟只是建议，实际上开发者和企业如何选择编程语言还是开发者们自己的事情，毕竟也要考虑到软件本身。 ... PC版： 手机版：

C++创始人回敬白宫安全警告

C++创始人回敬白宫安全警告 C++ 创始人 Bjarne Stroustrup 为这种已经广泛使用的编程语言进行了辩护，回应拜登政府的发布的语言安全报告，这份报告呼吁开发人员使用内存安全语言，并避免使用C++和C等易受攻击的编程语言。就在 3 月 15 日，在对技术媒体的访谈回复中，Stroustrup 指出了 1979 年设计的 C++ 的优势，包括安全保证。Stroustrup 说：“在某一方面，他们似乎已经意识到编程语言只是工具链的一部分，因此改进的工具和开发流程至关重要。”Stroustrup 还强调，安全性改进始终是 C++ 开发工作的目标。“从第一天起以及整个发展过程中，提高安全性一直是 C++ 的目标。人们只要将K&R C语言与最早的C++，拿早期的C++与当代的C++进行比较即可。他还在CppCon 2023 主题演讲中描述了这一演变：“许多高质量的 C++ 都是使用基于 RAII（资源获取初始化）、容器与资源管理指针等技术编写，而不是传统的 C 风格的混乱指针。”美国白宫在2 月 26 日发布的报告中，呼吁开发人员通过使用不存在内存安全漏洞的编程语言来降低网络攻击的风险。报告中未明确指明，但C++ 和 C 被认为是存在内存安全漏洞的语言的两个典型。美国国家安全局 (NSA)于 2022 年 11 月发布网络安全信息表，已经将 C#、Go、Java、Python 和 Rust 列为被认为内存安全的语言。美国国家安全局 (NSA) 的技术总监尼尔·齐林 (Neal Ziring)一直在投一些"真相炸弹"：“内存管理问题已经被利用了几十年，并且在今天仍然非常普遍”。类似于如下代码：int main() {int *memory;// Allocate 200 ints.memory = malloc(200 * sizeof(int));// Allocate 100 more ints.// ERROR: This will compile, but will leave the previously// allocated memory hanging, with no way to access it.memory = malloc(100 * sizeof(int));// Free second block of 100 ints.// The first block is not (memory);return 0;}malloc函数的功能是分配内存。第一次使用时分配的内存永远不会被释放。如果像这样不断分配内存且从不释放，则攻击者可能能够使用它来对软件执行拒绝服务攻击，导致服务器的内存不足。在面临这样的安全报告，Stroustrup 列举了许多提高 C++ 在安全性方面的努力。“事实上存在两个与安全相关的问题。在数十亿行 C++ 代码中，很少有完全遵循现代准则的，而且人们对安全的某些重要方面的看法也不尽相同。我和 C++ 标准委员会正在努力解决这个问题。”Stroustrup说：“配置文件是一个框架，用来指定一段代码需要什么保证，并启用实现来验证它们。在C++委员会网站上有描述这一点的文件（关键字：WG21），并且还会有更多文件的可以查阅。但是，我们中的一些人没有心情等待委员会有一些缓慢的进展。”Stroustrup 还表示，“Profiles 是一个框架，它允许我们逐步改进质量与安全保证。例如，相对较快地消除大多数范围错误，并通过本地静态分析和最少的运行时检查，逐步将安全保证引入大型代码库。我对 C++ 的长期目标是，让 C++ 在需要的时间和地点提供类型和资源安全性。也许当前对内存安全的推动是我想要保证的一个子集，也将证明我的努力将会有帮助，C++ 标准委员会的许多合作伙伴也认同这一点。”Stroustrup此前针对 NSA 捍卫了 C++ 的安全性表示赞赏，但之后 NSA 在2022 年 11 月的公告中，建议开发者使用内存安全语言，而不是 C++ 和 C。内存安全且能自动管理内存的编程语言，众所周知的有：C#、Go、Java、Ruby、Rust 和 Swift等。 ... PC版： 手机版：

“C、C++ 不安全，新应用开发时就别用了，旧应用应该采取迁移行动”，近日，美国白宫国家网络主任办公室 (ONCD)在一份主题为

“C、C++ 不安全，新应用开发时就别用了，旧应用应该采取迁移行动”，近日，美国白宫国家网络主任办公室 (ONCD)在一份主题为《回到基础构件：通往安全软件之路》的 19 页 PDF 报告中强烈呼吁道。 其直言，C 和 C++ 这几种编程语言既缺乏与内存安全相关的特性，又在关键系统中大量使用，可能会带来极大的安全风险，希望开发者抓紧使用“内存安全编程语言”。  (CISA)等之后，又一政府机构发起呼吁，而且这一次直接与“保护国家安全”挂钩。根据报告指出，该建议是美国总统拜登网络安全战略的一部分，是“确保网络空间基石安全”的举措。 标签: #C #编程语言 频道: @GodlyNews1 投稿: @GodlyNewsBot

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新 谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说，这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少，但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备，“否则停止使用该产品。”据 GrapheneOS 称，这是对其在四月报告的漏洞第二部分修复，这些漏洞“正被取证公司积极利用。”该公司还表示，“该问题已通过 6 月更新 (安卓 14 QPR3) 在 Pixel 上得到修复，并将随着其他安卓设备最终升级到安卓 15 而修复。如果没有更新到安卓 15，可能不会得到修复，因为安全补丁目前还没有向后移植。”

美国白宫外围安全护栏被汽车撞击　司机当场死亡

美国白宫外围安全护栏被汽车撞击　司机当场死亡 美国白宫建筑群外围的安全护栏被一辆汽车撞击，司机当场死亡。执法当局表示，事件是交通事故，对白宫不构成威胁。特勤局表示，事发在当地星期六晚上大约10时半，一辆汽车撞向白宫建筑群外围的安全护栏，司机其后被发现在车内死亡。特勤局和警方继续调查事件，以及死者的身份。 2024-05-05 16:57:42