白宫敦促科技业：为内存安全采取行动

在周一的声明中，白宫特别强调了内存安全编程语言的重要性，旨在减少自20世纪80年代以来的一类常见漏洞。

这类漏洞源于软件管理计算机内存的方式，常常为攻击者提供可乘之机，导致数据破坏、恶意代码运行等严重后果。国家网络主任哈里·科克在概述白宫发布的新技术报告时指出：“为了减少网络空间的攻击面，我们必须通过保护网络空间的构建模块来大规模消除整类漏洞。”

该报告得到了业界的广泛认可，包括SAP、惠普企业和霍尼韦尔等公司的高管都表达了支持。白宫表示，该报告“朝着将网络安全的责任从个人和小型企业转移到科技公司等大型组织身上迈出了重要一步”，这些组织“更有能力管理不断变化的威胁”。

报告特别指出，C和C++等编程语言在内存安全方面存在不足，而Rust、Python和Java等语言则被视为更安全的替代品。白宫希望不仅是工程师，公司的高管也能对此给予关注，将内存安全纳入公司的重要议程。

尽管迁移到内存安全代码可能需要数十年的时间和所有相关方的支持，但白宫表示，这一转变对于国家安全至关重要。同时，白宫也认识到这一转变的困难，因为攻击者已经在这一领域“得分”了35年。然而，随着技术的进步，现在正是行业转型的最佳时机。

计算机内存错误不仅导致了1988年的莫里斯蠕虫病毒等早期互联网安全事件，而且至今仍为攻击者提供了可乘之机。例如，2023年间谍软件供应商就利用了BLASTPASS漏洞进行攻击。因此，白宫呼吁制定更好的软件安全性衡量指标，这需要软件工程和网络安全研究领域的开创性努力。

这份报告是拜登政府2021年网络安全行政命令和2023年国家网络安全战略的最新后续行动。此外，其他机构如网络安全和基础设施安全局（CISA）也主张在产品开发初期就考虑安全问题，并发布了相关计划和指导文件。