US-Regierung empfiehlt Speichersicherheit für neue Projekte

Um gleich eine ganze Klasse von Sicherheitslücken zu vermeiden, sollen künftig Programmiersprachen mit Speichersicherheit benutzt werden.

Mit einer neuen Strategierichtlinie empfiehlt das sogenannte Office of the National Cyber Director (ONCD) des US-Präsidialamtes unter Joe Biden die Verwendung von Programmiersprachen mit Speichersicherheit für künftige Softwareprojekte. Demnach können “Technologiehersteller durch die Einführung speichersicherer Programmiersprachen verhindern, dass ganze Klassen von Schwachstellen in das digitale Ökosystem gelangen.” Rechtlich bindend, etwa für Projekte, die die Regierung selbst vergibt, ist die Richtlinie zwar noch nicht. Strategieentscheidungen der Regierung dürften aber langfristige Auswirkungen auf die Industrie haben. Die Ankündigung folgt dabei auf eine Reihe ähnlicher Empfehlungen andere Bundesbehörden der USA, wie etwa der National Security Agency (NSA), vor rund eineinhalb Jahren. Letztere führt explizit die seit Jahrzehnten weit verbreiteten Programmiersprachen C und C++ als negative Beispiele auf, was wiederum zu harscher Kritik durch C++-Erfinder Bjarne Stroustrup führte.

Bereits seit Jahren steigt die Bedrohungslage durch Speicherlücken massiv an. Das zeigt sich etwa an der Menge der entdeckten sogenannten Zero-Day-Lücken, bei denen es sich mehrheitlich um Speicherfehler handelt, wie eine Auswertung von Google zeigt. Daran hat sich im Laufe der vergangenen Jahre prinzipiell nichts geändert, wie aus der aktuellen von Google gepflegten Liste hervorgeht. “Fünfunddreißig Jahre lang haben Schwachstellen in der Speichersicherheit das digitale Ökosystem geplagt, aber das muss nicht so sein”, sagte dazu Anjana Rajan, Assistant National Cyber Director for Technology Security.

Zahlreiche Programmiersprachen bietet im Gegensatz zu C und C++ eine prinzipielle Speichersicherheit, die sich, wenn überhaupt, nur in einigen wirklich notwendigen Spezialfällen umgehen lässt. Viele Industrievertreter setzen deshalb seit einigen Jahren vermehrt auf die Unterstützung und Nutzung von Rust wie etwa Google für sein Android-Ökosystem mit Linux und Microsoft für Windows. Zusätzlich dazu arbeitet Google etwa an dem sogenannten Memory Tagging, das eine Art Hardwareschutz gegen Speicherlücken bieten soll. Microsoft und ARM erforschen dazu weitere Grundlagen. In seinem Bericht (PDF) geht das ONCD explizit auf diese Techniken ein.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben