CISA та FBI вимагають припинити використання C/C++ до 1 січня 2026

[Володимир Лісівка]

Американські державні агенції CISA та FBI розробляють вимоги до виробників програмного забезпечення для уникнення типових проблем з безпекою, таких як використання небезпечних мов програмування Сі/Сі++, вставляння SQL, та типові паролі, з міркувань національної безпеки.

Вимоги: https://www.cisa.gov/resources-tools/resources/product-security-bad-practices

[xuser13]

Якась шизанута ідея.

[ysenko]

Якась шизанута ідея.

Можете аргументувати чому ви так думаєте? Описані проблеми з паролями і SQL інєкціями з року в рік фігурують в звіті WASP10 https://owasp.org/www-project-top-ten/ (третій і сьомий пункт) і є одним з найпоширеніших способів зламу компʼютерних і систем як і різномантіні помилки спричинені неправильною роботою з памʼяттю.

[dihutenosa]

Тільки офіційні органи мають право використовувати вразливості інформаційних систем.
Це робиться для вашого блага, громадяни, і для захисту планети від довкілля.

[Володимир Лісівка]

Але ці офіційні органи є не тільки у нас, але й у ворога. Та й у друзів теж.

Я недавно запитався у локального ШІ: «яка критична маса плутонію, виробленого на ВВЕР», і щось моєму ноуту різко стало погано. Тепер ШІ можна запустити всього пару раз і треба перезавантажувати ноут (якісь баги в CUDA, не звільняється памʼять ядра, але чомусь тільки в мене).

[dihutenosa]

У мене аналогія зі зброєю напрошується.
Добре, коли держава озброюється.
Але коли в простолюдина все менше зброї, а в держави все більше, може вийти щось негарне. Держава (якісь люди) стають монополістом на застосування зброї і вразливостей електронних технологій.

Що то за ШІ такий, програмний опенсорсний, чи вбудований у залізо? Мабуть, якби ШІ з'явився в інший час, то робив би щось інше, наприклад, продавав би, спамив рекламою, а так відповідає духові часу і піклується про збереження політичної ситуації.

[kostiantyn.hermash]

Якась шизанута ідея.

Дійсно.

Заборонити C/C++ --- це фактично знищити всю Linux спільноту.

Десь там мають стирчати вуха майкрософт. Адже це в їх стилі, не можуть перемогти Linux, то треба заборонити "небезпечні" мови, і підсадити всіх на свій "безпечний" C# і .NET.

Тепер треба переписувати Linux, GNOME, KDE, GTK, Qt на Яві чи пітоні 

Взагалі проблеми з пам'яттю в C/C++ висмоктані з пальця. Просто треба запам'ятати, що якщо ви динамічно виділили пам'ять, то її треба звільнити. Ось і все. Це не складно.

Давайте тоді заборонимо користуватися ножами, пилками, електрикою, вогнем, переходити дорогу, водити автівку, адже це все небезпечні речі в руках ідіотів.

[Володимир Лісівка]

Це стосується тільки ПЗ для державних органів. Я думаю що там напевно почнуть застосовувати Redox чи Embassy (ОС написані на Rust), а не Windows (написаний на Сі++). Але ще ж є купа мікроконтролерів зі своїми ОС.

[ysenko]

Насправді, я ніде на сторінці за оригінальним посиланням не знайшов слів "вимагають", чи "заборонити". Там просто список рекомендації для покращення безпеки, які вони пропонують компаніям і розробникам використовувати, щоб покращити безпеку.

[Володимир Лісівка]

This document is intended for software manufacturers who develop software
products and services — including on-premises software, cloud services, and software as a service
(SaaS) — used in support of critical infrastructure or NCFs.

Цей документ призначений для виробників програмного забезпечення, які розробляють продукти та послуги з програмного забезпечення, включаючи локальне програмне забезпечення, хмарні послуги та програмне забезпечення як послугу (SaaS), що використовуються для підтримки критичної інфраструктури або національних критичних функцій.

Для решти виробників програмного забезпечення він не обовʼязковий, а лише рекомендація.

[ysenko]

Цитата каже, що документ призначено, для таких категорій розробників, але ніде не написано, що рекомендації обовʼязкові до виконання.
Прямо друге речення

This voluntary guidance provides an overview of product security bad practices that are deemed exceptionally risky, particularly for software manufacturers who produce software used in service of critical infrastructure or national critical functions (NCFs) and provides recommendations for software manufacturers to mitigate these risks.

[Володимир Лісівка]

Ці вимоги (чи вимоги які базуються на цих) можуть стати обовʼязковою умовою державних контрактів після 1 січня 2026. До того, вони збирають відгуки індустрії про цю ініціативу. Можна вважати що це WARNO.

[yvs115]

У той час коли це було опубліковано, по форумах було дуже багато порівнянь з попередніми схожими вимогами (порівнювали вимогу до обов'язкового використання safe ada на противагу unsafe fortran(чи cobol забув)) і з масовою java-фікацієй індустрії ("всі завтра будуть програмувати на safe java" бо немає ніяких причин програмувати на unsafe languages).
Якась частина софта перейшла на рекомендовані, для решти був поштовх робити то краще.
У любому випадку розмови про safe languages підштовхують С world рухатись і розвиватись (все більше доволі зручних тулзи для static analyses C коду, або ж новий підстандард safe C++ від Страуструпа, etc.)

p.s. для AI world десь недавно була новина про shiny new AI language який пише код для заданої function(input)