Власти США требуют от разработчиков отказаться от C/C++ к 2026 году
Агентство по кибербезопасности и защите инфраструктуры (CISA) США и ФБР напомнили о нежелательности использования небезопасных для памяти языков программирования вроде C и C++ из-за риска утечек.
Ведомства призвали разработчиков ПО отказаться от них во благо клиентов и пользователей и предпринять ряд дополнительных мер. Особенно рекомендации ведомства касаются поставщиков ПО, связанных с критически важной национальной инфраструктурой.
В качестве безопасных альтернатив предлагается применять следующие языки:
◦ Python,
◦ Java,
◦ C#,
◦ Go,
◦ Delphi/Object Pascal,
◦ Swift,
◦ Ruby,
◦ Rust,
◦ Ada.
Также к 1 января 2026 года разработчикам рекомендовано создать дорожную карту для уже существующих продуктов, написанных на небезопасных языках, с планом по устранению соответствующих уязвимостей в ключевых компонентах кода. Кроме того, они должны продемонстрировать, что выполняют эту дорожную карту.
Другие обозначенные CISA и ФБР практики связаны с использованием паролей по умолчанию в продуктах, применением опенсорсного кода с эксплуатируемыми уязвимостями, уязвимостями с прямым внедрением SQL, отсутствием базового обнаружения вторжений и многофакторной аутентификации, а также другими опасностями.
Агентство по кибербезопасности и защите инфраструктуры (CISA) США и ФБР напомнили о нежелательности использования небезопасных для памяти языков программирования вроде C и C++ из-за риска утечек.
Ведомства призвали разработчиков ПО отказаться от них во благо клиентов и пользователей и предпринять ряд дополнительных мер. Особенно рекомендации ведомства касаются поставщиков ПО, связанных с критически важной национальной инфраструктурой.
В качестве безопасных альтернатив предлагается применять следующие языки:
◦ Python,
◦ Java,
◦ C#,
◦ Go,
◦ Delphi/Object Pascal,
◦ Swift,
◦ Ruby,
◦ Rust,
◦ Ada.
Также к 1 января 2026 года разработчикам рекомендовано создать дорожную карту для уже существующих продуктов, написанных на небезопасных языках, с планом по устранению соответствующих уязвимостей в ключевых компонентах кода. Кроме того, они должны продемонстрировать, что выполняют эту дорожную карту.
Другие обозначенные CISA и ФБР практики связаны с использованием паролей по умолчанию в продуктах, применением опенсорсного кода с эксплуатируемыми уязвимостями, уязвимостями с прямым внедрением SQL, отсутствием базового обнаружения вторжений и многофакторной аутентификации, а также другими опасностями.