7xid美政府再发警告:关7xid键软件勿用C/C++,2026年前给迁移方案,否则非常危险!_ZAKER新闻
美政府再发警告:关7xid键软件勿用C/C++,2026年前给迁移方案,否则非常危险!_ZAKER新闻
经查,朱从玖丧失理想信念,背离初心使命,妄议党中央大政方针和重大决定,搞团团伙伙,破坏政治生态,私自携带违禁书籍入境并长期阅看,对抗组织审查;无视中央八项规定精神,多次接受可能影响公正执行公务的宴请和旅游活动安排;组织原则缺失,不按规定报告个人有关事项,违规为亲属和他人在入职录用、职务晋升等方面谋取利益;违规收受礼品礼金,对配偶违规在管辖地区从事经营活动知情但未予纠正,利用职权为亲属谋取不正当经济利益;公器私用,违规干预和插手市场经济活动及执法司法活动;道德败坏;纪法意识淡漠,贪婪无度,“靠金融吃金融”,利用职务便利为他人在公司上市、融资贷款等方面谋利,并非法收受巨额财物。
"C/C++" 被视为内存不安全的编程语言由来已久,很多开发者似乎也见怪不怪了,然而近日外媒 TheNewStack 最新发表了一篇《联邦政府:关键软件必须在 2026 年之前放弃 C/C++,否则将面临风险》文章,让人警铃大作。因为过往包括美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国防高级研究计划局(DARPA)等多个机构虽然发起多个指南、甚至想尽办法开发 AI 工具旨在一键将旧的 C 代码转为 Rust,但终归没有采取过于强硬的手段或者是给 " 去 C、C++ 加上一个时间限制 "。如今外媒报道中赫然出现了一个「2026 年」的期限到底是怎么一回事?倘若在软件中继续使用 C/C++ 语言最终又会带来哪些影响?CISA 和 FBI 最新发布《产品安全不良实践》指南进一步来看,这篇报道的来源依据的是美国 CISA、FBI 最近联合发布的一份关于《产品安全不良实践》的报告。在报告中,CISA 表示,软件制造商应确保从软件开发之初就将安全性作为核心考虑因素。基于此,CISA 和 FBI 希望能够敦促软件制造商通过在整个产品开发过程中优先考虑安全性来降低客户风险。不过,值得注意的是,虽然 CISA、FBI 想要尽可能地让开发用于支持关键基础设施或 NCF 的软件产品和服务(包括本地软件、云服务和软件即服务 ( SaaS ) )的软件制造商去避免产品安全不良做法,但是其在发布这份报告时说得也很明确——并未强硬地要求软件开发商们必须按照这份报告的建议去做。目前这份报告指南还正处于征求公众意见期间,收集各方的反馈意见,以指导这些产品安全不良做法的制定。倘若开发者、企业对这份报告提出的做法有意见,可以在 2024 年 12 月 16 日提交反馈意见。来源:https://www.federalregister.gov/documents/2024/10/29/2024-25078/request-for-comment-on-product-security-bad-practices-guidance话虽如此,CISA、FBI 在这份主题为《产品安全不良实践》的报告中概述了被认为极其危险的产品安全不良做法,特别是对于生产用于关键基础设施或国家关键功能 ( NCF ) 的软件的软件制造商而言,并为软件制造商提供了减轻这些风险的建议,同时还是忍不住地多次强调了「2026 年」这个时间节点。建议在 2026 年前软件开发商发布内存安全路线图CISA、FBI 将不良实践划分为三类:产品特性:描述软件产品可观察的、与安全相关的质量。安全特性:描述产品支持的安全功能。组织流程和政策:描述软件制造商为确保其安全方法的高度透明度而采取的行动。在产品特性维度上,美国两大组织首先将 " 内存不安全语言的开发 " 列为首要不良实践的做法。其指出," 在有现成的内存安全语言可供使用的情况下,使用内存不安全的语言(如 C 或 C++)开发用于关键基础设施或(国家关键功能)NCF 的新产品线是危险的,并且会大大增加对国家安全、国家经济安全以及国家公共健康和安全的风险。"此处,这份指南特别强调了——对于使用内存不安全语言编写的现有产品,如果在 2026 年 1 月 1 日之前未发布内存安全路线图,则非常危险,会大大增加国家安全、国家经济安全和国家公共卫生与安全的风险。内存安全路线图应概述制造商消除优先代码组件(例如面向网络的代码或处理加密操作等敏感功能的代码)中的内存安全漏洞的优先方法。制造商应证明内存安全路线图将显著、优先减少制造商产品中的内存安全漏洞,并证明他们正在做出合理的努力来遵循内存安全路线图。这不适用于宣布支持终止日期在 2030 年 1 月 1 日之前的产品。至于为什么是「2026 年之前」,CISA、FBI 并未做特别的解释,仅是在「建议采取的措施」中又一次表示,当前的软件制造商应以系统性的方式构建产品,以防止引入内存安全漏洞,例如使用内存安全语言或防止内存安全漏洞的硬件功能。此外,软件制造商应在 2026 年 1 月 1 日之前发布内存安全路线图。 其他建议除此之外,CISA、FBI 还列举了几种常见的产品不安全的实践,譬如:在 SQL 查询字符串中发现包含用户提供的输入。其建议产品应以系统性防止 SQL 注入漏洞引入的方式构建,例如通过始终强制使用参数化查询;在操作系统命令字符串中有包含用户提供的输入。其建议软件制造商应以系统性防止命令注入漏洞的方式构建产品,例如通过始终确保命令输入与命令本身的内容有明确的区分。关键基础设施或 NCF 使用的产品发布时带有默认密码。对此,其建议软件制造商应确保产品中不存在默认密码,例如为产品提供随机的、实例唯一的初始密码,要求安装产品的用户在安装开始时创建一个强密码等等。存在已知被利用的漏洞。对此,软件制造商应在发布前修补软件组件中所有已知被利用的漏洞。对于 CISA 目录中新发布的 KEV,制造商应及时免费向用户提供补丁(任何情况下不超过 30 天),并明确警告用户不安装补丁的相关风险。存在已知可利用漏洞的开源软件。对此,软件制造商应对他们依赖的开源软件负责任地使用并可持续地贡献。在安全功能方面,CISA 和 FBI 还发现很多软件开发商在开发中缺乏多因素身份验证、缺乏收入入侵证据的能力,其指出,2026 年 1 月 1 日之后未默认为管理员帐户启用 MFA 的产品非常危险,软件制造商应在产品中原生支持 MFA(如果产品本身处理身份验证),或在产品的基线版本中支持使用外部身份提供者,例如通过单点登录、要求管理员使用 MFA。对于云服务提供商和 SaaS 产品,软件制造商应免费保留一定时间范围内的日志(至少 6 个月)。在组织流程和政策方面,软件制造商应及时发布所有严重或高影响漏洞的完整 CVE,以及公开发布漏洞披露政策 ( VDP ) 等。不放弃 C/C++,又会带来什么样的影响?「以 2026 年为时间节点」来敦促软件开发商们想尽办法去改进,以此提升产品安全性,本意或许是好的,但是在仅有 14 个月的时间里,为产品规划内存安全路线图也不是一件小事。此前,CISA 自己也发布过一份 23 页的《内存安全路线图指南》,其指出,在 MSL 中重写现有代码可能是一个巨大的挑战,特别是如果代码已经运行良好,而组织还不具备所选 MSL 的专业知识。当时,该组织只是给出较为笼统的路线图制定建议:定义阶段,包括日期和结果。与所有软件开发工作一样,开发团队可以将较大的工作分解为具有明确结果的较小项目,以度量最新进展。具体包括 MSL 评估、测试在 MSL 中编写新组建的试点项目、找到最危险的内存不安全代码、重构内存不安全代码。确定新系统完全使用 MSL 的时间。此后,公司将会仅在 MSL 中编写新代码。内部开发者和培训和整合计划。没有 MSL 过渡是免费的,制造商需要留出时间让开发人员精通用所选语言编写软件、调试、工具、将 MSL 集成到生产环境中、全面的质量控制流程。外部依赖计划。路线图应该记录处理对用 C 和 C++ 编写的库的依赖关系的计划。透明度计划。通过定期 ( 例如,每季度或每半年 ) 更新来保持上述信息的最新性,将进一步建立组织正在认真对待内存安全漏洞的信心。CVE 支持计划。行业需要详细和正确地公开数据,以了解给客户带来风险的漏洞类别。但是综合成本与风险,很多企业无意迁移到内存更安全的编程语言上。那么不迁移到 MSL 语言又会带来什么样的影响?对此,业界的开发者们也展开了激烈的讨论,多数人认为「这些建议终究只是一个建议罢了,无伤大雅」:目前它们只是建议,这是 " 如果可以,请遵守我的规则 ",仅仅是对即将发生的事情的一个警告,但它不会在 2026 年成为法律,我 100% 确定这一点。作为一名用 C++ 为政府编写软件的人,读到这些也真的很有趣。我们的项目直到 2020 年之后才被允许使用 C++11 功能,而且显然很快就会被允许使用 C++14。而且必须是 C++,因为我们需要支持平台和供应商。即使对于我们所有的新项目也是如此!现在和可预见的未来,放弃 C 或 C++ 是完全不可能的。此外,我喜欢 Rust,它正在被采用,但让它成为新的黄金标准,未免操之过急。它仍然是一种新语言,在我们考虑真正用 Rust 重写所有内容之前,它还有一些非常大的问题需要解决。不过也有人一些开发者声称自己以及公司已经受到了一些影响:我们公司所开发的软件类别在政府认证时,已经被禁止在任何新开发中使用非内存安全的语言,并且我们必须提供源代码以供检查。当有网友究竟问及是哪一类的软件时,该开发者回应道,「它是一类必须实现 Linux 中存在的几乎所有安全层的软件。」而就国外现在呼吁放弃 C/C++ 这种内存不安全语言的做法,国内知名 C++ 专家吴咏炜此前在接受 CSDN 采访时表示:这一事件的起源重点是关注网络安全,内存安全的编程语言是其中的一小部分内容。确实建议大家避免使用内存不安全的语言。但问题是,如果不是对效率有极致追求的场景,大家本来就不会选用 C 和 C++(如在企业应用里,本来 Java 就是主流)。而用到 C 和 C++ 的,基本都是确有需要。此前报告里也提过,空间系统里仍然使用 C 和 C++,并描述了如何使用其他技术手段来规避不安全语言可能带来的问题。吴咏炜认为,对于 C 和 C++ 的安全性,也有必要做几点陈述:C 和 C++ 不是一回事。在现代 C++ 代码里,因为有很多好的语言构件(如容器和智能指针)可以用,犯内存错误的可能性要比 C 低得多。C 的固定大小数组是很多安全问题的根源。已经存在很多工具,可以帮助检查代码的安全性,如 clang-tidy、cppsafe 和 address sanitizer(ASan)。C++ 本身也在发展,像 lifetime profile(生存期规格配置)等方面的工作就是为了能提前检查出安全问题。内存安全是代码安全的一部分,不是全部。代码安全问题是个系统工程,不是靠某种银弹就能立即解决的。培训、语言、工具等等都是解决方案的一部分。那么,针对内存安全编程语言的争论,你有什么样的看法?在 Linux、Google、微软等组织纷纷开始拥抱 Rust 的情况下,你开发的项目是否有受到这波趋势的影响?欢迎留言分享你的看法。参考:https://www.cisa.gov/resources-tools/resources/product-security-bad-practiceshttps://thenewstack.io/feds-critical-software-must-drop-c-c-by-2026-or-face-risk/https://www.reddit.com/r/rust/comments/1ggt7m2/feds_critical_software_must_drop_cc_by_2026_or/koa12jJid0DL9adK+CJ1DK2K393LKASDad
编辑:年广嗣
TOP1热点:霸王茶姬赴美上市获证监会备案
但董某完全没想到,他所认识的这位老外,真实身份是一名外国间谍。他之所以接近董某,其实是有预谋,有目的的。董某对陌生人没什么戒备心。而他酒量也不大,几杯啤酒下肚后,就把自己的个人信息告诉了对方,还对今后个人发展表示忧虑。推杯换盏之后,竟把老外当成了好朋友。。
襄阳市多名医疗系统人士告诉上游新闻记者,叶有芝在该市业内“口碑不好”,破坏了医疗秩序,多家医院工作人员联合起来向主管部门反映健桥医院问题。
TOP2热点:问界M8将于4月上市
罗湖区人民法院表示,在执行过程中,本院依法对被执行人宝能投资的财产进行了查证。经向银行、国土、工商、证券、车管等相关部门调查,未发现被执行人有(其他)可供处分的财产。因此,本案被执行人没有可供处分的财产。
然而2022年,陆家嘴意外发现部分地块存在严重污染风险,相关开发建设工作也随即暂停。截至目前,陆家嘴已确定上述17块土地中,有14块存在污染,污染面积和污染程度远超地块挂牌出让时所披露的污染情况。
TOP3热点:哪吒2票房超148亿元抓着腰撞了起来水流了一地
11月6日,有网帖举报湖北襄阳健桥医院涉嫌贩卖出生证明,称经过一年多的暗访发现,襄阳健桥医院院长叶某某勾结多地中介团伙,利用社交平台公开发布办理出生证信息,物色客户,贩卖出生证明、疫苗本。该网帖称,买证者只需提供身份信息,给9.6万元,医院方面就会按照“正常”生产流程,在医院办理建档、产检、住院、分娩、出院等全套真实信息,“生产”两天出院后,客户就可以带着“买来的孩子”前往该医院采集足底血(新生儿出生采集足底血),后办理出生证明,全部过程最长7天就完成。同时,医院方面提供全国通用版本的疫苗接种本,并按照“真实”新生儿出生的流程“打疫苗”,打印乙肝及卡介疫苗注射记录、注射日期、疫苗生产厂家及疫苗批号。
“从上海出席进博会返港后,我今日出席了由香港金管局主办的国际金融领袖投资峰会!”11月7日,香港特区行政长官李家超出席了国际金融领袖投资峰会。
TOP4热点:假如航母被蓝鲸全速前进撞一下会如何2023国精产品一二二线精华液
会议强调,要全面深入排查整治房屋安全隐患,立即开展建筑物安全检查“回头看”,聚焦校舍、医疗机构、文旅设施、体育和展览场馆、工业厂房等用房,围绕大跨度空间结构、人员密集和经营性场所等重点房屋进行彻底排查,严格落实安全生产检查工作负责制,按照“谁检查、谁签字、谁负责”原则,不打折扣、不留死角、不走过场,务必清仓见底。对已投入使用和改变用途使用的大跨度的混凝土结构、钢结构、网架结构等建筑全部立即停止使用,由具备资质的房屋安全鉴定机构鉴定合格后方可继续使用;立即组织力量清除屋面积雪,对屋面和房屋承重结构出现的安全隐患要马上采取加固措施;对城乡房屋进行再排查再整治,及时清除屋顶积雪、雪坨子、冰溜子,对容易形成冰冻滑落的位置提前做好预警。同时,要加强室外在建项目安全隐患排查工作,降雪期间全部停止施工。
TOP5热点:美的被曝强制18点20下班202.GGY.钙站
[独家|万科拟于11月6日下午与金融机构召开线上会议 深圳国资委相关领导、深铁董事长辛杰及万科郁亮等将出席]财联社11月5日电,蓝鲸记者获悉,万科拟于11月6日下午召开线上会议,与金融机构交流万科经营情况及近期万科二级市场债券价格波动事宜,深圳市国资委相关领导、深圳地铁董事长辛杰,以及万科董事会主席郁亮、总裁祝九胜、公司副总裁兼财务负责人韩慧华将参加会议。(蓝鲸记者 陈业)
TOP6热点:82年的拉菲到底生产了多少瓶СПЕКС少女
11月8日下午,红星资本局多次致电上海陆家嘴金融贸易区开发股份有限公司、江苏苏钢集团有限公司(以下简称“苏钢集团”),截至发稿,暂无人接听。
TOP7热点:双胞胎会不会被爸妈分错打扑克打了又疼又叫
今年前三季度,山东全省地区生产总值达6.81万亿元、同比增长6%,规上工业增加值、固定资产投资、社会消费品零售总额等主要指标增速均高于全国平均水平。
TOP8热点:特斯拉2月在德国销量骤降76%696969大但人文艺术正道
据介绍,6日,桦南县7名初中生相约18时许到悦城体育俱乐部打篮球。19时20分许,有学生发现屋顶异常并向门口跑去,随即屋顶发生坍塌。事发后,3人自行脱险,其中2人未受伤,1人被及时送到医院救治;4人被困,1人于19时50分许被救出并送往医院救治,其他3人被救出后,经医院抢救无效死亡。经诊断,2名住院人员中,1人腓骨骨折、面部轻微擦伤,1人软组织轻微擦伤,均无生命危险。
上述官方人士表示,鉴定工作须整体考虑,不能单一推断,“肯定会考虑雪荷载”,经由专业的仪器设备取样、建模演算后,才能得出结论。
TOP9热点:年轻人进军万亿家政行业国精产品一二二区传媒公司
五是严格把关再融资募集资金主要投向主业的相关要求,上市公司再融资募集资金项目须与现有主业紧密相关,实施后与原有业务须具有明显的协同性。督促上市公司更加突出主业,聚焦提升主业质量,防止盲目跨界投资、多元化投资。
TOP10热点:韩国迎来双胞胎时代国产DB624色谱柱36521
由此,陆家嘴方面因土壤污染产生侵权纠纷,向江苏省高级人民法院提起民事诉讼,请求法院判令苏钢集团承担赔偿人民币100.44亿元(后续发现或明确实际金额高于该金额时将增加诉讼请求或另案提起诉讼)的侵权责任,并请求判令另外4名被告承担连带责任。