美帝政府近期公布的網(wǎng)絡(luò)安全報告警示開發(fā)者應(yīng)避免使用內(nèi)存易受攻擊的編程語言如C 和 C++，而選擇更為安全的內(nèi)存管理語言如Java。此報告主要由ONCD負責(zé)制定，旨在實施拜登網(wǎng)絡(luò)安全計劃中的“網(wǎng)絡(luò)空間基本保障體系”。

所謂內(nèi)存安全，即是防止程序在處理內(nèi)存時產(chǎn)生如緩沖區(qū)溢出以及懸停指針等潛在漏洞。因此，盡管Java憑借其內(nèi)存安全模式，不受此類問題影響，但C及其變異體C++擁有直接操作內(nèi)存地址，且缺乏邊界檢查，因此在內(nèi)存安全性方面常常陷入困境。

提及報告使用的數(shù)據(jù)，微軟和谷歌的研究均顯示，70%以上的安全漏洞皆因內(nèi)存問題導(dǎo)致。此外，結(jié)合CISA的開源軟件安全路線圖，也建議開發(fā)者盡早采取內(nèi)存安全的編程語言，踐行“安全設(shè)計”理念。

長達19頁的報告并未強制替換C和C++，旨在強調(diào)網(wǎng)絡(luò)安全不僅涉及個體責(zé)任，而且是大型組織、技術(shù)公司乃至政府共同承擔(dān)的使命。選擇內(nèi)存安全的編程語言時，報告鼓勵涉事各方運用最佳軟件開發(fā)實踐和安全硬件技術(shù)，以降低遭受網(wǎng)絡(luò)攻擊的可能。

經(jīng)IT之家觀察，去年11月，美帝國家安全局NSA公布了一份被視為安全的編程語言清單，包括Rust、Go、C#、Java、Swift、JavaScript及Ruby。然而，根據(jù)TIOBE指數(shù)顯示，在使用頻率最高的編程語言排行榜上，有四種NSA推薦過的編程語言，分別位于第五至九位，其中排名最靠前的是C#與Java。

值得關(guān)注的是，此份報告亦強調(diào)了軟件安全評價機制的重要性，認為科學(xué)完善的評價標準有助于科技企業(yè)規(guī)避和預(yù)防漏洞風(fēng)險。此外，通過應(yīng)用類似于阿波羅13號登月行動等物理場景中的內(nèi)存安全碼，進一步印證了關(guān)鍵領(lǐng)域內(nèi)維護內(nèi)存安全的必要性。

作為美國政府網(wǎng)絡(luò)安全策略的一環(huán)，該報告的發(fā)布體現(xiàn)了美方對提升軟件及硬件安全，以及與科技行業(yè)形成更緊密合作關(guān)系的期待。隨著數(shù)字時代的深化，選擇更為安全的編程語言與開發(fā)方案顯得尤為必要，本報告將成為推動全行業(yè)正視這一問題的新契機。