Gedung Putih mendesak pengembang untuk menghindari C dan C++ demi bahasa pemrograman yang "aman".

У laporan baru Kantor Direktur Siber Nasional (ONCD) Gedung Putih mendesak pengembang untuk menggunakan "bahasa pemrograman ringan" - kategori yang mengecualikan bahasa populer. Saran tersebut merupakan bagian dari strategi keamanan siber Presiden AS Biden dan merupakan langkah menuju “melindungi landasan dunia maya.”

Manajemen memori yang tidak tepat dalam kode perangkat lunak dapat menyebabkan kerentanan serius, sehingga memungkinkan penyerang melakukan serangan cyber. Bahasa pemrograman seperti Java, karena mekanisme deteksi kesalahan runtime, dianggap aman dalam hal manajemen memori. Sebaliknya, C dan C++ memungkinkan pengembang untuk melakukan operasi penunjuk dan secara langsung mengalamatkan alamat di memori komputer. Ini termasuk membaca dan menulis data ke lokasi memori mana pun yang dapat mereka akses melalui penunjuk.

Pada tahun 2019, insinyur keselamatan Microsoft melaporkan bahwa sekitar 70% kerentanan disebabkan oleh masalah keamanan memori. Pada tahun 2020, Google melaporkan angka yang sama, namun untuk bug yang ditemukan di browser Chromium.

“Para ahli telah mengidentifikasi beberapa bahasa pemrograman yang tidak hanya kekurangan fitur terkait keamanan memori, namun juga tersebar luas dalam sistem penting seperti C dan C++,” kata laporan itu. "Memilih bahasa pemrograman yang aman untuk memori sejak awal, seperti yang direkomendasikan oleh Peta Jalan Keamanan Perangkat Lunak Sumber Terbuka Badan Keamanan Siber dan Infrastruktur (CISA), adalah salah satu contoh pengembangan perangkat lunak yang aman dari awal pada akhir"".

Tujuan dari laporan setebal 19 halaman ini adalah untuk memastikan bahwa tanggung jawab atas keamanan siber tidak hanya terletak pada individu dan usaha kecil. Sebaliknya, tanggung jawab ada pada organisasi besar, perusahaan teknologi, dan pada akhirnya pemerintah.

Laporan tersebut tidak hanya menunjukkan masalah pada C dan C++, tetapi juga menawarkan sejumlah alternatif - bahasa pemrograman yang diakui sebagai "aman memori". Bahasa yang direkomendasikan oleh Badan Keamanan Nasional (NSA) antara lain: Rust, Go, C#, Java, Swift, JavaScript, dan Ruby. Bahasa-bahasa ini mengandung mekanisme yang mencegah jenis serangan memori yang umum, sehingga meningkatkan keamanan sistem yang sedang dikembangkan.

ONCD meminta perusahaan dan insinyur untuk menerapkan praktik terbaik dalam pengembangan perangkat lunak dan menggunakan perangkat keras yang aman untuk memori untuk mengurangi permukaan serangan yang dapat diserang oleh penyerang. Laporan itu sendiri tidak merinci apa sebenarnya yang dianggap sebagai bahasa pemrograman yang aman untuk memori. Namun pada November 2022, Badan Keamanan Nasional (NSA) merilisnya buletin keamanan siber, yang merinci bahasa pemrograman yang dia yakini aman untuk memori.

Laporan ini juga menyerukan pengukuran keamanan perangkat lunak yang lebih baik. ONCD percaya bahwa metrik yang lebih baik memungkinkan penyedia teknologi untuk merencanakan, mengantisipasi, dan memitigasi kerentanan dengan lebih baik sebelum menjadi masalah.

Laporan ini merupakan yang terbaru dari serangkaian langkah yang diambil pemerintah AS. Pada bulan Maret 2023, Presiden Biden menandatangani Perintah Eksekutif Keamanan Siber, yang meluncurkan proses untuk melindungi perangkat lunak dan perangkat keras, serta menjalin hubungan dalam industri teknologi.

Baca juga:

• Microsoft menemukan peretas dari Tiongkok dan Rusia yang menggunakan alat AI-nya
• Pentagon menggunakan AI Google untuk mengidentifikasi target serangan udara