وفي عام 2020، حددت جوجل أن أكثر من 70% من متصفح كروم الخاص بها”https://www.chromium.org/Home/chromium-security/memory-safety” الهدف=”_blank” rel=”nofollow noopener”> أخطاء أمنية خطيرة كانت في الواقع ناجمة عن مشكلات تتعلق بسلامة الذاكرة.
قال فريق Chrome: “هذا يعني وجود أخطاء في المؤشرات في لغات C أو C++ والتي تتسبب في إساءة تفسير الذاكرة.”
في عام 2022،”https://www.nsa.gov/Press-Room/News-Highlights/Article/Article/3215760/nsa-releases-guidance-on-how-to-protect-against-software-memory-safety-issues/” الهدف=”_blank” rel=”nofollow noopener”> وزنت وكالة الأمن القومي فيما يتعلق بسلامة الذاكرة، قال نيل زيرينج، المدير الفني للأمن السيبراني، إن “مشكلات إدارة الذاكرة تم استغلالها لعقود من الزمن ولا تزال شائعة جدًا اليوم. علينا أن نستخدم باستمرار اللغات الآمنة للذاكرة ووسائل الحماية الأخرى عند تطوير البرامج للقضاء على نقاط الضعف هذه من الجهات الفاعلة السيبرانية الخبيثة.
لكن ذلك لم يكن نهاية الأمر. الذاكرة آمنة”https://thenextweb.com/topic/programming-language” الهدف=”_blank” rel=”noopener”> لغات البرمجة ظلت تحت الأضواء المكثفة. في فبراير من هذا العام، أصدر مكتب البيت الأبيض الأمريكي لمدير الأمن السيبراني الوطني (ONCD)”https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf” الهدف=”_blank” rel=”nofollow noopener”> أصدر تقريرا ننصح جميع المبرمجين بالانتقال إلى لغات البرمجة الآمنة للذاكرة.
5 وظائف عليك اكتشافها هذا الأسبوع
- منسق الأمن السيبراني فرنسا M/F، MBDA فرنسا، لو بليسيس روبنسون
- عالم بيانات (F/H)، نوفينسيا، ليون
- مهندس البرمجيات، GDV Dienstleistungs-GmbH، هامبورغ
- مطور برامج، InTraffic، أوتريخت
- مهندس البرمجيات، كابجيميني، أيندهوفن
وأشار التقرير إلى أن عبء الحماية من تهديدات الأمن السيبراني يقع حاليًا على عاتق المستخدمين النهائيين، وأنه “يجب بذل الجهود للقضاء بشكل استباقي على فئات كاملة من نقاط ضعف البرامج”.
وأوضح التقرير أن “الخبراء حددوا عددًا قليلاً من لغات البرمجة التي تفتقر إلى السمات المرتبطة بسلامة الذاكرة وتتمتع أيضًا بانتشار كبير عبر الأنظمة المهمة، مثل C وC++”.
أصبحت سلامة الذاكرة الآن أكثر أهمية من أي وقت مضى، لأن الكثير مما نقوم به يحدث عبر الإنترنت. أدى الوباء إلى تسريع الاعتماد السريع على التجارة الإلكترونية والمدفوعات عبر الإنترنت والإعلانات الرقمية، وفقًا لما ذكره موقع “The Guardian”.”https://www.weforum.org/agenda/2022/04/website-technologies-pandemic/” الهدف=”_blank” rel=”nofollow noopener”> المنتدى الاقتصادي العالمي.
ونتيجة لذلك، هناك الكثير من نقاط الضعف المحتملة التي يمكن استغلالها.”https://stackoverflow.blog/2024/03/04/in-rust-we-trust-white-house-office-urges-memory-safety/” الهدف=”_blank” rel=”nofollow noopener”> تجاوز سعة المكدس يشير إلى أن بعض أكبر أحداث الضعف في الماضي كانت مشكلات تتعلق بسلامة الذاكرة.
وتشمل هذه 2014″https://heartbleed.com/” الهدف=”_blank” rel=”nofollow noopener”> نزيف القلب، مما أثر على برنامج OpenSSL مما سمح للجهات الفاعلة السيئة بسرقة شهادات X.509 وأسماء المستخدمين وكلمات المرور والرسائل الفورية ورسائل البريد الإلكتروني. في عام 2017،”https://en.wikipedia.org/wiki/WannaCry_ransomware_attack” الهدف=”_blank” rel=”nofollow noopener”> واناكراي حظي هجوم برامج الفدية باهتمام كبير مع انتشاره عالميًا، حيث أصاب أكثر من 230 ألف جهاز كمبيوتر.
جديد”https://cdn.revolut.com/pdf/Revolut_Consumer_Security_Report_H1_2024.pdf” الهدف=”_blank” rel=”nofollow noopener”>أمن المستهلك والجرائم المالية يشير تقرير Revolut إلى منصات Meta باعتبارها المصدر الأكبر لجميع عمليات الاحتيال (62٪) على مستوى العالم خلال النصف الأول من عام 2024. وقد حددت Revolut أن Facebook كان لديه أحجام احتيال (39٪) والتي كانت أكثر من ضعف تلك الموجودة في WhatsApp (18٪).
جعل لغة C++ آمنة
توجد لغات آمنة للذاكرة وتشمل Rust وGo وJava وSwift وPython. تخضع لغة C++ لتدقيق خاص بسبب كمية التعليمات البرمجية المهمة التي تمت كتابتها فيها.
نظرًا للسياق، ليس من المستغرب جدًا أن يكون رد فعل مجتمع C++، معلنًا عن”https://safecpp.org/P3390R0.html” الهدف=”_blank” rel=”nofollow noopener”> ملحقات C++ الآمنة المقترح في سبتمبر من هذا العام. ويتم العمل من خلال تحالف C++ ورئيسه ومديره التنفيذي”https://cppalliance.org/vinnie/2024/09/12/Safe-Cpp-Partnership.html” الهدف=”_blank” rel=”nofollow noopener”> فيني فالكو وقال إن هذا كان “اقتراحًا ثوريًا يضيف ميزات أمان الذاكرة إلى لغة برمجة C++.”
وأضاف فالكو أن: “الحاجة إلى رمز آمن لم تكن أكثر إلحاحًا من أي وقت مضى. مع تزايد أهمية أمن البرمجيات وموثوقيتها،”https://thenextweb.com/topic/software-developer” الهدف=”_blank” rel=”noopener”> المطورين يواجهون ضغوطًا متزايدة لتبني ممارسات ترميز أكثر أمانًا. تهدف ملحقات Safe C++ إلى تلبية هذه الحاجة الماسة من خلال تقديم ميزات جديدة تمنع الأخطاء الشائعة المتعلقة بالذاكرة.
فهل سيؤدي هذا إلى حل المشكلة؟ بعض النقاد متشككون، والمطور من تحالف C++، شون باكستر”https://safecpp.org/P3390R0.html” الهدف=”_blank” rel=”nofollow noopener”> يشير إلى ذلك:
“هناك مستوى واحد فقط من الأنظمة الشائعة/لغة مجمعة غير مهملة توفر أمانًا صارمًا للذاكرة. هذه هي لغة الصدأ. على الرغم من أنهما يعملان في نفس المساحة، إلا أن C++ وRust لهما تصميمات مختلفة مع قدرة محدودة على التشغيل المتداخل، مما يجعل الترحيل المتزايد من C++ إلى Rust عملية شاقة.”
تم اقتراح عدد من الإجراءات لضمان أداء كود C++، بما في ذلك منع المطورين من كتابة العمليات التي قد تؤدي إلى سلامة مدى الحياة، أو سلامة الكتابة، أو سلوكيات غير محددة تتعلق بسلامة الخيط.
بالإضافة إلى ذلك، هناك تحديات أخرى، حيث أشار باكستر إلى أنه “على الرغم من أنهما يلعبان في نفس المساحة، إلا أن C++ وRust لديهما تصميمات مختلفة مع قدرة محدودة على التشغيل البيني، مما يجعل الانتقال التدريجي من C++ إلى Rust عملية شاقة.”
سيكون نقل التعليمات البرمجية إلى حالة الذاكرة الآمنة أمرًا شاقًا ويستغرق وقتًا طويلاً، ولكن”https://www.darpa.mil/program/translating-all-c-to-rust” الهدف=”_blank” rel=”nofollow noopener”> وكالة مشاريع البحوث الدفاعية المتقدمة تسعى (DARPA) إلى سد هذه الفجوة باستخدام الذكاء الاصطناعي. تقوم بتطوير مركبة تحويل كود برمجية تسمى TRACTOR (ترجمة كل لغة C إلى الصدأ).
تقول أن “الهدف هو تحقيق نفس الجودة والأسلوب الذي سينتجه مطور Rust الماهر، وبالتالي القضاء على فئة كاملة من الثغرات الأمنية المتعلقة بسلامة الذاكرة الموجودة في برامج C.”
هل أنت مستعد للعثور على دورك البرمجي التالي؟ الدفع”https://talent.thenextweb.com/job-board/?source=article&utm_source=article&utm_medium=content&utm_campaign=TNW4224″> لوحة وظائف الويب التالية