El informe CISA destaca la necesidad de pasar a lenguajes seguros para la memoria

El informe CISA destaca la necesidad de pasar a lenguajes seguros para la memoria

Un nuevo informe de CISA, el FBI, el Centro Australiano de Seguridad Cibernética (ACSC) y el Centro Canadiense de Seguridad Cibernética (CCCS) analizó 172 proyectos críticos de OpenSSF y encontró que el 52% de contienen código escrito en un lenguaje que no garantiza la memoria. El informe también encontró que el 55% del total de líneas de código en todos los proyectos estaban escritas en un lenguaje que no era seguro para la memoria. Según el informe, los lenguajes que no son seguros para la memoria, como C o C++, imponen a los desarrolladores la responsabilidad de gestionar el uso y la asignación de la memoria, lo que puede provocar vulnerabilidades de seguridad de la memoria, como desbordamientos del búfer y uso después de la liberación, si cometen un error. . Los lenguajes seguros para la memoria transfieren esa responsabilidad al compilador o intérprete y pueden reducir significativamente la posibilidad de introducir vulnerabilidades de seguridad de la memoria, que han llevado a vulnerabilidades como Morris Worm, Slammer Worm, Heartbleed y BLASTPASS. «Al utilizar lenguajes seguros para la memoria, los programadores pueden centrarse en producir código de mayor calidad en lugar de luchar peligrosamente con la gestión de la memoria de bajo nivel», dijo Omkhar Arasaratnam, director general de OpenSSF. Este nuevo informe sigue a un llamado de la Oficina del Director Cibernético Nacional (ONCD) de la Casa Blanca a principios de este año para que los líderes tecnológicos adopten lenguajes seguros para la memoria. “Nosotros, como nación, tenemos la capacidad –y la responsabilidad– de reducir la superficie de ataque en el ciberespacio y evitar que clases enteras de errores de seguridad entren en el ecosistema digital, pero eso significa que enfrentamos el difícil problema de pasar a un sistema de memoria segura. programación. idiomas”, dijo en ese momento el director nacional de TI, Harry Coker. Según Chris Hughes, CISSP, consultor jefe de seguridad de Endor Labs y miembro de Cyber ​​​​Innovation Fellow de CISA, una de las razones por las que tantos proyectos se escriben en lenguajes que no son seguros para la memoria es que durante muchos años dichos lenguajes Se han adoptado ampliamente y solo recientemente. Este fue un movimiento para alentar a los desarrolladores a usar lenguajes seguros para la memoria. Explicó que será difícil portar proyectos existentes a lenguajes seguros para la memoria debido a los recursos, el esfuerzo y las habilidades requeridos, que los mantenedores del proyecto tal vez no tengan. «Dicho esto, también hay oportunidades para que las organizaciones ayuden a facilitar la transición a través de recursos que incluyen incentivos monetarios, así como potencialmente apoyo al desarrollo para facilitar la transición», dijo Hughes. “Por supuesto, todavía hay problemas con las dependencias transitivas y de terceros, como se analiza en el informe, lo que significa que incluso si los proyectos se reescribieran, sería necesario realizar análisis de dependencia y garantizar que las dependencias transitivas también se tengan en cuenta cuando se traten. con la seguridad de la memoria. Finalmente, se deben hacer esfuerzos para garantizar que los desarrolladores y mantenedores implementen prácticas de codificación seguras para garantizar que las medidas de seguridad de la memoria no se vean comprometidas”. También podría interesarte… La Casa Blanca recomienda que el software se escriba en lenguajes seguros para la memoria para mejorar la ciberseguridad ¿Están convergiendo los desarrolladores y DevOps?

About Francisco

Check Also

Desmitificando los desafíos de la ingeniería de datos para los líderes tecnológicos

Desmitificando los desafíos de la ingeniería de datos para los líderes tecnológicos

Los líderes tecnológicos actuales comprenden el poder transformador de los datos. Impulsa la toma de …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *