建设部网站中煤三建,erp系统排行榜,wordpress文章页面没有格式调整,深圳公司形象墙制作上周#xff0c;美国政府发布了《回到构建块#xff1a;通往安全和可衡量软件的道路》的报告。本报告是美国网络安全战略的一部分#xff0c;重点关注多个领域#xff0c;包括内存安全漏洞和质量指标。
许多在线杂志都对这份报告发表了评论#xff0c;这些杂志强调了对 C… 上周美国政府发布了《回到构建块通往安全和可衡量软件的道路》的报告。本报告是美国网络安全战略的一部分重点关注多个领域包括内存安全漏洞和质量指标。
许多在线杂志都对这份报告发表了评论这些杂志强调了对 C 和 C 编程语言的重大抵制。
其中一些文章包括
白宫敦促开发人员通过InfoWorld抛弃C和C白宫敦促开发人员避免使用C和C使用Toms Hardware的“内存安全”编程语言白宫敦促科技公司通过读写方式采用安全的程序语言
目录
美国政府的报告对内存安全语言有什么看法NSA 是否将 Delphi 列为内存安全语言使用内存安全语言是否意味着我完全免受安全风险美国国家安全局NSA和美国政府将Delphi语列为内存安全语言——它还推荐什么什么是供应链安全Embarcadero正在采取哪些措施来帮助应对安全风险
美国政府的报告对内存安全语言有什么看法
该报告非常关注“内存安全漏洞”并特别指出“既缺乏与内存安全相关的特征又在关键系统中具有高度扩散的编程语言”。它继续建议“按照网络安全和基础设施安全局CISA的开源软件安全路线图的建议从一开始就使用内存安全编程语言。
参考报告《NSA Cybersecurity Information Sheet on Software Memory Safety》。本文档更深入地解释了什么是内存安全将其归纳为类型安全、安全分配和释放可能使用垃圾回收器的混合。本段的核心内容是
使用内存安全语言有助于防止程序员引入某些类型的内存相关问题。内存作为计算机语言的一部分自动管理;它不依赖于程序员添加代码来实现内存保护。该语言使用编译时和运行时检查的组合来建立自动保护。这些固有的语言特性可以保护程序员不会无意中引入内存管理错误。内存安全语言的示例包括 Python®、Java®、C#、Go、Delphi/Object Pascal、Swift®、Ruby™、Rust® 和 Ada。即使使用内存安全语言内存管理也不是完全内存安全的。 NSA 是否将 Delphi 列为内存安全语言
是的Delphi 被列为内存安全语言。一些文章最初报道了较短的安全语言列表仅包括一些最流行的语言不包括Delphi。该名单后来得到了纠正与国家安全局的报告相符。
在Delphi社区中已经有一些关于是否安全的讨论认为它缺乏内存安全的特征之一即垃圾收集。但是官方评估是基于多种理由进行的并考虑了其他因素
安全编程语言的一个核心特性是具有强大的类型系统并让语言在编译时而不是在运行时验证数据类型映射。动态语言即使有垃圾回收器也可能达不到要求并暴露在运行时错误中这可能会影响它们的安全性另一个元素是不必在一般代码中使用指针和更直接的内存管理。虽然 Delphi 不会阻止使用直接内存访问但这种情况相当罕见。Delphi 提供的机制可以自动化和简化内存管理即使没有 GC。
使用内存安全语言是否意味着我完全免受安全风险
另一个普遍的考虑是内存安全是一个目标而不是绝对的。例如主要报告强调在某些类型的应用中执行时间的可预测性至关重要指航空航天业。在这些情况下垃圾回收器在不可预测的时间启动可能会影响代码的程序执行并具有临界时间。正是由于这个原因与工业自动化领域的其他流行语言相比Delphi具有显着的优势。它允许直接控制同时与 C 相比保持更高、更简单的水平。
美国国家安全局NSA和美国政府将Delphi列为内存安全语言——它还推荐什么
虽然该报告建议转向内存安全语言但它也强调了使用形式化方法进行静态代码分析特别是关注安全性。我们看到Delphi对这一领域的兴趣也越来越大我们一直在推广有助于这一领域的Z-Gantt战石智慧时间管理进度计划甘特图软件第三方工具。
还有很长的章节重点介绍基于硬件或 CPU 级别的内存安全性实施。在同一领域最初的 NSA 报告强调了利用控制流防护 CFG、地址空间布局随机化 ASLR 和数据执行保护 DEP 等功能的重要性。其中一些安全设置已在最新版本的 Delphi 中强制执行现在是新项目的默认设置。
什么是供应链安全
最后还有另一个很长的领域涵盖了图书馆依赖链的安全性有时也称为“供应链安全”提倡使用正式的方法来评估图书馆的安全性包括开源图书馆的安全性。人们越来越担心许多项目的大量依赖关系扩大了安全风险不是由于项目代码而是由于使用的库。在这方面该报告详细描述了 Log4j Java 库中的 Log4Shell 漏洞。这个库漏洞影响了像Java这样的内存安全语言并用报告的话说它显示了“一个关键的弱点恶意行为者可以通过它来破坏世界各地的计算机系统”。该报告继续指出“这一漏洞凸显了帮助确保开源生态系统安全的迫切需要这促进了全球范围内的巨大创新。
Embarcadero正在采取哪些措施来帮助应对安全风险
很明显从政府机构到各种规模的企业各级都越来越关注软件安全。甚至在白宫和国家安全局发布这份报告之前Delphi被列为内存安全语言Embarcadero已经将安全性确定为客户日益关注的问题。我们继续专注于投资和改进Delphi对现代安全技术的支持并通过对真正的风险和可用的缓解措施进行明确的无炒作教育来支持这一点。
