Sicherheitsbehörden drängen Softwarehersteller zu sicheren Programmiersprachen
NSA, FBI und die Cybersicherheits-Behörden von USA, UK, Kanada und Neuseeland fordern den Umstieg auf C#, Go, Java, Python, Rust oder Swift.
Mehrere internationale (Cyber-)Sicherheitsbehörden fordern in einem gemeinsamen Papier die Verwendung speichersicherer Programmiersprachen in der kommerziellen Softwareentwicklung. Darin betonen sie, dass Speicherfehler wie Buffer Overflows und die Nutzung von nicht initialisiertem oder bereits freigegebenem Speicher die wichtigste Ursache von Sicherheitslücken in Software sind. Sie betreffen vor allem Programme, die in C und C++ geschrieben sind. Die Behörden fordern Softwarehersteller auf, jetzt eine Roadmap zu erstellen und zu veröffentlichen, wie sie den Umstieg auf eine speichersichere Software bewerkstelligen wollen.
Für diese Roadmap gibt es konkrete Vorgaben: Sie soll die verschiedenen Phasen des Umstiegs von der Evaluation infrage kommender Sprachen bis zum Refactoring speicherunsicheren Codes mit Terminen benennen. Softwarehersteller sollen zudem einen Termin kommunizieren, ab dem neuer Code nur noch in speichersicheren Programmiersprachen entsteht. Außerdem sollen Planungen zum Training der eigenen Entwickler und zum Umgang mit externen Abhängigkeiten wie verwendeten C- und C++-Bibliotheken erstellt und öffentlich gemacht werden.
Die Publikation The Case for Memory Safe Roadmaps empfiehlt den Umstieg auf die speichersicheren Programmiersprachen C#, Go, Java, Python, Rust oder Swift. Verfasst wurde das Papier von den US-Behörden Cybersecurity and Infrastructure Security Agency (CISA), NSA und FBI, dem Australian Cyber Security Centre (ACSC), dem Canadian Centre for Cyber Security (CCCS), dem britischen National Cyber Security Centre (NCSC-UK) sowie dem neuseeländischen National Cyber Security Centre (NCSC-NZ) und Computer Emergency Response Team (CERT NZ).
(odi)