व्हाइट हाउस डेवलपर्स से "सुरक्षित" प्रोग्रामिंग भाषाओं के पक्ष में C और C++ से बचने का आग्रह करता है

У नया रिपोर्ट राष्ट्रीय साइबर निदेशक (ओएनसीडी) के व्हाइट हाउस कार्यालय ने डेवलपर्स से "हल्की प्रोग्रामिंग भाषाओं" का उपयोग करने का आग्रह किया - एक ऐसी श्रेणी जिसमें लोकप्रिय भाषाएं शामिल नहीं हैं। यह सलाह अमेरिकी राष्ट्रपति बिडेन की साइबर सुरक्षा रणनीति का हिस्सा है और "साइबरस्पेस के बिल्डिंग ब्लॉक्स की सुरक्षा" की दिशा में एक कदम है।

सॉफ़्टवेयर कोड में अनुचित मेमोरी प्रबंधन गंभीर कमज़ोरियाँ पैदा कर सकता है, जिससे हमलावर साइबर हमले कर सकते हैं। जावा जैसी प्रोग्रामिंग भाषाएं, उनके रनटाइम त्रुटि पहचान तंत्र के कारण, मेमोरी प्रबंधन के संबंध में सुरक्षित मानी जाती हैं। इसके विपरीत, C और C++ डेवलपर्स को पॉइंटर ऑपरेशन करने और कंप्यूटर मेमोरी में सीधे पते को संबोधित करने की अनुमति देते हैं। इसमें किसी भी मेमोरी स्थान पर डेटा को पढ़ना और लिखना शामिल है जिसे वे पॉइंटर के माध्यम से एक्सेस कर सकते हैं।

2019 में, सुरक्षा इंजीनियर Microsoft बताया गया कि लगभग 70% कमजोरियाँ मेमोरी सुरक्षा समस्याओं के कारण थीं। 2020 में, Google ने वही आंकड़ा रिपोर्ट किया, लेकिन क्रोमियम ब्राउज़र में पाए गए बग के लिए।

रिपोर्ट में कहा गया है, "विशेषज्ञों ने कई प्रोग्रामिंग भाषाओं की पहचान की है जिनमें न केवल मेमोरी सुरक्षा से संबंधित सुविधाओं का अभाव है, बल्कि सी और सी++ जैसे मिशन-महत्वपूर्ण सिस्टम में भी व्यापक रूप से उपयोग किया जाता है।" "साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (सीआईएसए) के ओपन सोर्स सॉफ्टवेयर सुरक्षा रोडमैप द्वारा अनुशंसित, शुरू से ही मेमोरी-सुरक्षित प्रोग्रामिंग भाषाओं को चुनना, शुरू से अंत तक सुरक्षित सॉफ्टवेयर विकसित करने का एक उदाहरण है।"

19 पेज की रिपोर्ट का उद्देश्य यह सुनिश्चित करना है कि साइबर सुरक्षा की जिम्मेदारी केवल व्यक्तियों और छोटे व्यवसायों पर नहीं है। इसके बजाय, जिम्मेदारी बड़े संगठनों, प्रौद्योगिकी कंपनियों और अंततः सरकार की है।

रिपोर्ट न केवल C और C++ के साथ समस्याओं की ओर इशारा करती है, बल्कि कई विकल्प भी पेश करती है - प्रोग्रामिंग भाषाओं को "मेमोरी सेफ" के रूप में मान्यता प्राप्त है। राष्ट्रीय सुरक्षा एजेंसी (एनएसए) द्वारा अनुशंसित भाषाओं में शामिल हैं: रस्ट, गो, सी#, जावा, स्विफ्ट, जावास्क्रिप्ट और रूबी। इन भाषाओं में ऐसे तंत्र होते हैं जो सामान्य प्रकार के मेमोरी हमलों को रोकते हैं, जिससे विकसित होने वाले सिस्टम की सुरक्षा बढ़ जाती है।

ओएनसीडी कंपनियों और इंजीनियरों से सॉफ्टवेयर विकास में सर्वोत्तम प्रथाओं को लागू करने और हमले की सतह को कम करने के लिए मेमोरी-सुरक्षित हार्डवेयर का उपयोग करने के लिए कह रहा है जिसके माध्यम से हमलावर हमला कर सकते हैं। रिपोर्ट में यह विस्तार से नहीं बताया गया कि वास्तव में मेमोरी-सुरक्षित प्रोग्रामिंग भाषा क्या मानी जाती है। हालाँकि, नवंबर 2022 में, राष्ट्रीय सुरक्षा एजेंसी (NSA) ने जारी किया साइबर सुरक्षा न्यूज़लेटर, जिसमें उन प्रोग्रामिंग भाषाओं का विवरण दिया गया जिनके बारे में उनका मानना ​​था कि वे स्मृति-सुरक्षित हैं।

रिपोर्ट में सॉफ्टवेयर सुरक्षा के बेहतर माप की भी मांग की गई है। ओएनसीडी का मानना ​​है कि बेहतर मेट्रिक्स प्रौद्योगिकी प्रदाताओं को समस्या बनने से पहले बेहतर योजना बनाने, पूर्वानुमान लगाने और कमजोरियों को कम करने में सक्षम बनाते हैं।

यह रिपोर्ट अमेरिकी सरकार द्वारा उठाए गए कदमों की श्रृंखला में नवीनतम है। मार्च 2023 में, राष्ट्रपति बिडेन ने साइबर सुरक्षा कार्यकारी आदेश पर हस्ताक्षर किए, जिसने सॉफ्टवेयर और हार्डवेयर की सुरक्षा के साथ-साथ प्रौद्योगिकी उद्योग में संबंध बनाने के लिए प्रक्रियाएं शुरू कीं।

यह भी पढ़ें:

• Microsoft चीन और रूस के हैकरों की खोज की जो इसके एआई टूल का उपयोग कर रहे थे
• पेंटागन ने हवाई हमलों के लिए लक्ष्यों की पहचान करने के लिए Google के AI का उपयोग किया