关注公众号,回复“223913”获取“关于如何防范软件内存安全问题的指南”翻译及英文原文,获取文档后,记得帮忙分享一下哦!
|
美国情报机构国家安全局 (NSA) ,于11月10日发布了指南,以帮助软件开发人员和运营商预防和缓解软件内存安全问题,这些问题占可利用漏洞的很大一部分。
“软件内存安全”网络安全信息表强调了恶意网络行为者如何利用糟糕的内存管理问题来访问敏感信息、发布未经授权的代码执行以及造成其他负面影响。
网络安全技术总监 Neal Ziring 说:“内存管理问题已经被利用了几十年,今天仍然非常普遍,在开发软件以消除恶意网络参与者的这些弱点时,我们必须始终使用内存安全语言和其他保护措施。”
微软和谷歌都表示,软件内存安全问题是其漏洞的大约 70%。糟糕的内存管理也会导致技术问题,例如不正确的程序结果、程序性能随着时间的推移而下降以及程序崩溃。
NSA 建议组织尽可能使用内存安全语言,并通过编译器选项、工具选项和操作系统配置等代码强化防御来加强保护。
>>>>>>>>>>>>>>>>>>>>>正文<<<<<<<<<<<<<<<<<<<
摘要
现代社会严重依赖基于软件的自动化,隐含地信任开发人员编写以预期方式运行且不会因恶意目的而受到损害的软件。虽然开发人员经常执行严格的测试,以准备软件中的逻辑以应对意外情况,但可利用的软件漏洞仍然经常基于内存问题。示例包括内存缓冲区溢出以及利用软件如何分配和取消分配内存的问题。微软®在 2019 年的一次会议上透露,从 2006 年到 2018 年,他们 70% 的漏洞是由于内存安全问题造成的。谷歌®还在Chrome®中发现了类似比例的内存安全漏洞。恶意网络行为者可以利用这些漏洞进行远程代码执行或其他不利影响,这通常会危及设备,并成为大规模网络入侵的第一步。
常用语言(如 C 和 C++)在内存管理方面提供了很大的自由度和灵活性,同时严重依赖程序员对内存引用执行所需的检查。简单的错误可能导致可利用的基于内存的漏洞。软件分析工具可以检测内存管理问题的许多实例,操作环境选项也可以提供一些保护,但内存安全软件语言提供的固有保护可以防止或缓解大多数内存管理问题。NSA 建议尽可能使用内存安全语言。虽然对非内存安全语言使用附加保护和使用内存安全语言并不能提供针对可利用内存问题的绝对保护,但它们确实提供了相当大的保护。因此,私营部门、学术界和美国政府的总体软件社区已经开始采取措施,推动软件开发文化利用内存安全语言。
内存安全问题
原文始发于微信公众号(祺印说信安):美国NSA发布:防范软件内存安全问题指南
评论