Автор Гілка: CISA та FBI вимагають припинити використання C/C++ до 1 січня 2026  (Прочитано 1193 раз)

Відсутній Володимир Лісівка

  • Адміністратор ЩОДО
  • Видавець
  • *****
  • дописів: 3820
  • Карма: +11/-0
  • Програміст
Американські державні агенції CISA та FBI розробляють вимоги до виробників програмного забезпечення для уникнення типових проблем з безпекою, таких як використання небезпечних мов програмування Сі/Сі++, вставляння SQL, та типові паролі, з міркувань національної безпеки.

Вимоги: https://www.cisa.gov/resources-tools/resources/product-security-bad-practices
[Fedora Linux]

Відсутній xuser13

  • Графоман
  • ****
  • дописів: 488
  • Карма: +0/-0
Якась шизанута ідея.
чи планетяне щче не подали блакитне свитло?

Відсутній ysenko

  • Новачок
  • *
  • дописів: 38
  • Карма: +1/-0
  • Python developer
Якась шизанута ідея.

Можете аргументувати чому ви так думаєте? Описані проблеми з паролями і SQL інєкціями з року в рік фігурують в звіті WASP10 https://owasp.org/www-project-top-ten/ (третій і сьомий пункт) і є одним з найпоширеніших способів зламу компʼютерних і систем як і різномантіні помилки спричинені неправильною роботою з памʼяттю.
import antigravity

Відсутній dihutenosa

  • Новачок
  • *
  • дописів: 3
  • Карма: +0/-0
Тільки офіційні органи мають право використовувати вразливості інформаційних систем.
Це робиться для вашого блага, громадяни, і для захисту планети від довкілля.

Відсутній Володимир Лісівка

  • Адміністратор ЩОДО
  • Видавець
  • *****
  • дописів: 3820
  • Карма: +11/-0
  • Програміст
Але ці офіційні органи є не тільки у нас, але й у ворога. Та й у друзів теж.

Я недавно запитався у локального ШІ: «яка критична маса плутонію, виробленого на ВВЕР», і щось моєму ноуту різко стало погано. Тепер ШІ можна запустити всього пару раз і треба перезавантажувати ноут (якісь баги в CUDA, не звільняється памʼять ядра, але чомусь тільки в мене).
[Fedora Linux]

Відсутній dihutenosa

  • Новачок
  • *
  • дописів: 3
  • Карма: +0/-0
У мене аналогія зі зброєю напрошується.
Добре, коли держава озброюється.
Але коли в простолюдина все менше зброї, а в держави все більше, може вийти щось негарне. Держава (якісь люди) стають монополістом на застосування зброї і вразливостей електронних технологій.

Що то за ШІ такий, програмний опенсорсний, чи вбудований у залізо? Мабуть, якби ШІ з'явився в інший час, то робив би щось інше, наприклад, продавав би, спамив рекламою, а так відповідає духові часу і піклується про збереження політичної ситуації.

Відсутній kostiantyn.hermash

  • Новачок
  • *
  • дописів: 6
  • Карма: +0/-0
Якась шизанута ідея.

Дійсно.

Заборонити C/C++ --- це фактично знищити всю Linux спільноту.

Десь там мають стирчати вуха майкрософт. Адже це в їх стилі, не можуть перемогти Linux, то треба заборонити "небезпечні" мови, і підсадити всіх на свій "безпечний" C# і .NET.

Тепер треба переписувати Linux, GNOME, KDE, GTK, Qt на Яві чи пітоні  ;D :o

Взагалі проблеми з пам'яттю в C/C++ висмоктані з пальця. Просто треба запам'ятати, що якщо ви динамічно виділили пам'ять, то її треба звільнити. Ось і все. Це не складно.

Давайте тоді заборонимо користуватися ножами, пилками, електрикою, вогнем, переходити дорогу, водити автівку, адже це все небезпечні речі в руках ідіотів.


Відсутній Володимир Лісівка

  • Адміністратор ЩОДО
  • Видавець
  • *****
  • дописів: 3820
  • Карма: +11/-0
  • Програміст
Це стосується тільки ПЗ для державних органів. Я думаю що там напевно почнуть застосовувати Redox чи Embassy (ОС написані на Rust), а не Windows (написаний на Сі++). Але ще ж є купа мікроконтролерів зі своїми ОС.
[Fedora Linux]

Відсутній ysenko

  • Новачок
  • *
  • дописів: 38
  • Карма: +1/-0
  • Python developer
Насправді, я ніде на сторінці за оригінальним посиланням не знайшов слів "вимагають", чи "заборонити". Там просто список рекомендації для покращення безпеки, які вони пропонують компаніям і розробникам використовувати, щоб покращити безпеку.
import antigravity

Відсутній Володимир Лісівка

  • Адміністратор ЩОДО
  • Видавець
  • *****
  • дописів: 3820
  • Карма: +11/-0
  • Програміст
Цитата
This document is intended for software manufacturers who develop software
products and services — including on-premises software, cloud services, and software as a service
(SaaS) — used in support of critical infrastructure or NCFs.

Цитата
Цей документ призначений для виробників програмного забезпечення, які розробляють продукти та послуги з програмного забезпечення, включаючи локальне програмне забезпечення, хмарні послуги та програмне забезпечення як послугу (SaaS), що використовуються для підтримки критичної інфраструктури або національних критичних функцій.

Для решти виробників програмного забезпечення він не обовʼязковий, а лише рекомендація.
[Fedora Linux]

Відсутній ysenko

  • Новачок
  • *
  • дописів: 38
  • Карма: +1/-0
  • Python developer
Цитата каже, що документ призначено, для таких категорій розробників, але ніде не написано, що рекомендації обовʼязкові до виконання.
Прямо друге речення

Цитата
This voluntary guidance provides an overview of product security bad practices that are deemed exceptionally risky, particularly for software manufacturers who produce software used in service of critical infrastructure or national critical functions (NCFs) and provides recommendations for software manufacturers to mitigate these risks.
« Змінено: 2024-11-20 21:25:05 від ysenko »
import antigravity

Відсутній Володимир Лісівка

  • Адміністратор ЩОДО
  • Видавець
  • *****
  • дописів: 3820
  • Карма: +11/-0
  • Програміст
Ці вимоги (чи вимоги які базуються на цих) можуть стати обовʼязковою умовою державних контрактів після 1 січня 2026. До того, вони збирають відгуки індустрії про цю ініціативу. Можна вважати що це WARNO.
[Fedora Linux]

Відсутній yvs115

  • Новачок
  • *
  • дописів: 39
  • Карма: +2/-0
У той час коли це було опубліковано, по форумах було дуже багато порівнянь з попередніми схожими вимогами (порівнювали вимогу до обов'язкового використання safe ada на противагу unsafe fortran(чи cobol забув)) і з масовою java-фікацієй індустрії ("всі завтра будуть програмувати на safe java" бо немає ніяких причин програмувати на unsafe languages).
Якась частина софта перейшла на рекомендовані, для решти був поштовх робити то краще.
У любому випадку розмови про safe languages підштовхують С world рухатись і розвиватись (все більше доволі зручних тулзи для static analyses C коду, або ж новий підстандард safe C++ від Страуструпа, etc.)

p.s. для AI world десь недавно була новина про shiny new AI language який пише код для заданої function(input)
« Змінено: 2024-11-21 00:10:51 від yvs115 »