春情荡漾美政府再发警告:关键软件勿用C/C+春情荡漾+,2026年前给迁移方案,否则非常危险!_ZAKER新闻
美政府再发警告:关键软件勿用C/C+春情荡漾+,2026年前给迁移方案,否则非常危险!_ZAKER新闻
但聘任制公务员并非“铁饭碗”,他们有合同聘期限制。从通告看,各地聘期不同,如甘肃全省第一位聘任制公务员的首次签订聘任合同期限为5年,而江西省11个地级市在今年5月发布的招聘公告显示,聘任合同期限为3年,多地通告中提到首次聘期包含试用期6个月。
"C/C++" 被视为内存不安全的编程语言由来已久,很多开发者似乎也见怪不怪了,然而近日外媒 TheNewStack 最新发表了一篇《联邦政府:关键软件必须在 2026 年之前放弃 C/C++,否则将面临风险》文章,让人警铃大作。因为过往包括美国网络安全和基础设施安全局(CISA)、联邦调查局(FBI)、国防高级研究计划局(DARPA)等多个机构虽然发起多个指南、甚至想尽办法开发 AI 工具旨在一键将旧的 C 代码转为 Rust,但终归没有采取过于强硬的手段或者是给 " 去 C、C++ 加上一个时间限制 "。如今外媒报道中赫然出现了一个「2026 年」的期限到底是怎么一回事?倘若在软件中继续使用 C/C++ 语言最终又会带来哪些影响?CISA 和 FBI 最新发布《产品安全不良实践》指南进一步来看,这篇报道的来源依据的是美国 CISA、FBI 最近联合发布的一份关于《产品安全不良实践》的报告。在报告中,CISA 表示,软件制造商应确保从软件开发之初就将安全性作为核心考虑因素。基于此,CISA 和 FBI 希望能够敦促软件制造商通过在整个产品开发过程中优先考虑安全性来降低客户风险。不过,值得注意的是,虽然 CISA、FBI 想要尽可能地让开发用于支持关键基础设施或 NCF 的软件产品和服务(包括本地软件、云服务和软件即服务 ( SaaS ) )的软件制造商去避免产品安全不良做法,但是其在发布这份报告时说得也很明确——并未强硬地要求软件开发商们必须按照这份报告的建议去做。目前这份报告指南还正处于征求公众意见期间,收集各方的反馈意见,以指导这些产品安全不良做法的制定。倘若开发者、企业对这份报告提出的做法有意见,可以在 2024 年 12 月 16 日提交反馈意见。来源:https://www.federalregister.gov/documents/2024/10/29/2024-25078/request-for-comment-on-product-security-bad-practices-guidance话虽如此,CISA、FBI 在这份主题为《产品安全不良实践》的报告中概述了被认为极其危险的产品安全不良做法,特别是对于生产用于关键基础设施或国家关键功能 ( NCF ) 的软件的软件制造商而言,并为软件制造商提供了减轻这些风险的建议,同时还是忍不住地多次强调了「2026 年」这个时间节点。建议在 2026 年前软件开发商发布内存安全路线图CISA、FBI 将不良实践划分为三类:产品特性:描述软件产品可观察的、与安全相关的质量。安全特性:描述产品支持的安全功能。组织流程和政策:描述软件制造商为确保其安全方法的高度透明度而采取的行动。在产品特性维度上,美国两大组织首先将 " 内存不安全语言的开发 " 列为首要不良实践的做法。其指出," 在有现成的内存安全语言可供使用的情况下,使用内存不安全的语言(如 C 或 C++)开发用于关键基础设施或(国家关键功能)NCF 的新产品线是危险的,并且会大大增加对国家安全、国家经济安全以及国家公共健康和安全的风险。"此处,这份指南特别强调了——对于使用内存不安全语言编写的现有产品,如果在 2026 年 1 月 1 日之前未发布内存安全路线图,则非常危险,会大大增加国家安全、国家经济安全和国家公共卫生与安全的风险。内存安全路线图应概述制造商消除优先代码组件(例如面向网络的代码或处理加密操作等敏感功能的代码)中的内存安全漏洞的优先方法。制造商应证明内存安全路线图将显著、优先减少制造商产品中的内存安全漏洞,并证明他们正在做出合理的努力来遵循内存安全路线图。这不适用于宣布支持终止日期在 2030 年 1 月 1 日之前的产品。至于为什么是「2026 年之前」,CISA、FBI 并未做特别的解释,仅是在「建议采取的措施」中又一次表示,当前的软件制造商应以系统性的方式构建产品,以防止引入内存安全漏洞,例如使用内存安全语言或防止内存安全漏洞的硬件功能。此外,软件制造商应在 2026 年 1 月 1 日之前发布内存安全路线图。 其他建议除此之外,CISA、FBI 还列举了几种常见的产品不安全的实践,譬如:在 SQL 查询字符串中发现包含用户提供的输入。其建议产品应以系统性防止 SQL 注入漏洞引入的方式构建,例如通过始终强制使用参数化查询;在操作系统命令字符串中有包含用户提供的输入。其建议软件制造商应以系统性防止命令注入漏洞的方式构建产品,例如通过始终确保命令输入与命令本身的内容有明确的区分。关键基础设施或 NCF 使用的产品发布时带有默认密码。对此,其建议软件制造商应确保产品中不存在默认密码,例如为产品提供随机的、实例唯一的初始密码,要求安装产品的用户在安装开始时创建一个强密码等等。存在已知被利用的漏洞。对此,软件制造商应在发布前修补软件组件中所有已知被利用的漏洞。对于 CISA 目录中新发布的 KEV,制造商应及时免费向用户提供补丁(任何情况下不超过 30 天),并明确警告用户不安装补丁的相关风险。存在已知可利用漏洞的开源软件。对此,软件制造商应对他们依赖的开源软件负责任地使用并可持续地贡献。在安全功能方面,CISA 和 FBI 还发现很多软件开发商在开发中缺乏多因素身份验证、缺乏收入入侵证据的能力,其指出,2026 年 1 月 1 日之后未默认为管理员帐户启用 MFA 的产品非常危险,软件制造商应在产品中原生支持 MFA(如果产品本身处理身份验证),或在产品的基线版本中支持使用外部身份提供者,例如通过单点登录、要求管理员使用 MFA。对于云服务提供商和 SaaS 产品,软件制造商应免费保留一定时间范围内的日志(至少 6 个月)。在组织流程和政策方面,软件制造商应及时发布所有严重或高影响漏洞的完整 CVE,以及公开发布漏洞披露政策 ( VDP ) 等。不放弃 C/C++,又会带来什么样的影响?「以 2026 年为时间节点」来敦促软件开发商们想尽办法去改进,以此提升产品安全性,本意或许是好的,但是在仅有 14 个月的时间里,为产品规划内存安全路线图也不是一件小事。此前,CISA 自己也发布过一份 23 页的《内存安全路线图指南》,其指出,在 MSL 中重写现有代码可能是一个巨大的挑战,特别是如果代码已经运行良好,而组织还不具备所选 MSL 的专业知识。当时,该组织只是给出较为笼统的路线图制定建议:定义阶段,包括日期和结果。与所有软件开发工作一样,开发团队可以将较大的工作分解为具有明确结果的较小项目,以度量最新进展。具体包括 MSL 评估、测试在 MSL 中编写新组建的试点项目、找到最危险的内存不安全代码、重构内存不安全代码。确定新系统完全使用 MSL 的时间。此后,公司将会仅在 MSL 中编写新代码。内部开发者和培训和整合计划。没有 MSL 过渡是免费的,制造商需要留出时间让开发人员精通用所选语言编写软件、调试、工具、将 MSL 集成到生产环境中、全面的质量控制流程。外部依赖计划。路线图应该记录处理对用 C 和 C++ 编写的库的依赖关系的计划。透明度计划。通过定期 ( 例如,每季度或每半年 ) 更新来保持上述信息的最新性,将进一步建立组织正在认真对待内存安全漏洞的信心。CVE 支持计划。行业需要详细和正确地公开数据,以了解给客户带来风险的漏洞类别。但是综合成本与风险,很多企业无意迁移到内存更安全的编程语言上。那么不迁移到 MSL 语言又会带来什么样的影响?对此,业界的开发者们也展开了激烈的讨论,多数人认为「这些建议终究只是一个建议罢了,无伤大雅」:目前它们只是建议,这是 " 如果可以,请遵守我的规则 ",仅仅是对即将发生的事情的一个警告,但它不会在 2026 年成为法律,我 100% 确定这一点。作为一名用 C++ 为政府编写软件的人,读到这些也真的很有趣。我们的项目直到 2020 年之后才被允许使用 C++11 功能,而且显然很快就会被允许使用 C++14。而且必须是 C++,因为我们需要支持平台和供应商。即使对于我们所有的新项目也是如此!现在和可预见的未来,放弃 C 或 C++ 是完全不可能的。此外,我喜欢 Rust,它正在被采用,但让它成为新的黄金标准,未免操之过急。它仍然是一种新语言,在我们考虑真正用 Rust 重写所有内容之前,它还有一些非常大的问题需要解决。不过也有人一些开发者声称自己以及公司已经受到了一些影响:我们公司所开发的软件类别在政府认证时,已经被禁止在任何新开发中使用非内存安全的语言,并且我们必须提供源代码以供检查。当有网友究竟问及是哪一类的软件时,该开发者回应道,「它是一类必须实现 Linux 中存在的几乎所有安全层的软件。」而就国外现在呼吁放弃 C/C++ 这种内存不安全语言的做法,国内知名 C++ 专家吴咏炜此前在接受 CSDN 采访时表示:这一事件的起源重点是关注网络安全,内存安全的编程语言是其中的一小部分内容。确实建议大家避免使用内存不安全的语言。但问题是,如果不是对效率有极致追求的场景,大家本来就不会选用 C 和 C++(如在企业应用里,本来 Java 就是主流)。而用到 C 和 C++ 的,基本都是确有需要。此前报告里也提过,空间系统里仍然使用 C 和 C++,并描述了如何使用其他技术手段来规避不安全语言可能带来的问题。吴咏炜认为,对于 C 和 C++ 的安全性,也有必要做几点陈述:C 和 C++ 不是一回事。在现代 C++ 代码里,因为有很多好的语言构件(如容器和智能指针)可以用,犯内存错误的可能性要比 C 低得多。C 的固定大小数组是很多安全问题的根源。已经存在很多工具,可以帮助检查代码的安全性,如 clang-tidy、cppsafe 和 address sanitizer(ASan)。C++ 本身也在发展,像 lifetime profile(生存期规格配置)等方面的工作就是为了能提前检查出安全问题。内存安全是代码安全的一部分,不是全部。代码安全问题是个系统工程,不是靠某种银弹就能立即解决的。培训、语言、工具等等都是解决方案的一部分。那么,针对内存安全编程语言的争论,你有什么样的看法?在 Linux、Google、微软等组织纷纷开始拥抱 Rust 的情况下,你开发的项目是否有受到这波趋势的影响?欢迎留言分享你的看法。参考:https://www.cisa.gov/resources-tools/resources/product-security-bad-practiceshttps://thenewstack.io/feds-critical-software-must-drop-c-c-by-2026-or-face-risk/https://www.reddit.com/r/rust/comments/1ggt7m2/feds_critical_software_must_drop_cc_by_2026_or/koa12jJid0DL9adK+CJ1DK2K393LKASDad
编辑:安怡孙
TOP1热点:纪念苏东坡诞辰988周年
海叔所见,是“玉渊谭天”在香会现场采访罗尼·吉尔·加万,提及——菲律宾总统小马科斯在5月30日的演讲中,提到了美国11次。。
TOP2热点:沪深京三市成交额突破5000亿元
“今天人还不算多,我们售楼处开放的第一天(5月25日)有近2000人次到访,若按照3个人一组的话也得有600多组客户。5月25日、26日周末两天,我们几乎都没时间吃饭,哪怕周一(5月27日)也有接近180组客户到访。”销售人员告诉记者,该项目可售房源共计2500多套,其中首批开盘304套,均价约5.8万元/平方米,几天后就开启认筹。
董军表示,在当今世界变乱交织、各国人民更加渴望和平发展之际,亚太数十年的繁荣稳定、举世瞩目的“亚太奇迹”,为世界发展注入强大动力,为全球安全提供稳定基石,带给我们很多重要启示。
TOP3热点:适合中式菜的中国酒推荐公交车系列
郝玉明告诉《中国新闻周刊》,出现这种“冷热不均”的情况属于正常现象。聘任制公务员有其特定的专业技术性职位要求,在招录时,各地区和部门应根据其经济发展和政府管理等实际需求确定适当的招录人数和资格条件,不可盲目追求数量规模,更不可为了数量而降低“门槛”和质量标准。
TOP4热点:为什么刮毛后会长得更快暴躁老阿姨最强武器推荐
另外,英国驻华贸易使节倪乐思、德国梅塞尔集团亚洲区首席技术官托马斯·卢伯特发表演讲,世界投资促进机构协会总干事伊斯梅尔·艾沙欣作视频演讲。
3月20日,中共中央总书记、国家主席、中央军委主席习近平在湖南省长沙市主持召开新时代推动中部地区崛起座谈会并发表重要讲话。
TOP5热点:在动物世界里人的咬合力属于什么级别日本校园欺凌的现状
气温方面,新疆北部和东部的盆地地区、内蒙古西部、华北中南部、黄淮、江淮北部等地将出现2-3天日最高气温35~38℃的高温天气,河北南部、山东、河南等地部分地区最高气温可达39~41℃,需注意防暑降温。西北地区大部、江淮、江南北部等地以晴天为主,气温较为适宜。
TOP6热点:适合偷偷变美的过年三件套姬小满张嘴流眼泪图片高清
反正,任何企图混淆视听的炒作都注定是徒劳的,都掩盖不了裁决非法无效的本质,也阻挡不了中国捍卫自身领土主权和海洋权益的坚定决心。
报道显示,站在新的历史起点,中部六省在跑出高质量发展“加速度”上有哪些“高招绝招”?六兄弟如何携手挺起中部“脊梁”?这是此次对话的主题。
TOP7热点:余华英不服死刑判决已申请援助台湾1987满天星
另外,英国驻华贸易使节倪乐思、德国梅塞尔集团亚洲区首席技术官托马斯·卢伯特发表演讲,世界投资促进机构协会总干事伊斯梅尔·艾沙欣作视频演讲。
国泰君安证券表示,近两周股市冲高回落,除了出于对近期紧张的地缘局势的担忧之外,投资者的一致预期还不稳定,市场共识重新凝聚速度偏慢。
TOP8热点:2025新年新妆新人设精油按摩5韩国
但也有地方在招聘时出现“遇冷”情况。今年3月,宁夏回族自治区党委组织部发布公告公开招聘11名聘任制公务员,大多数岗位明确薪资待遇“不低于本机关四级调研员年工资收入的1.5倍”。最终,智慧交通管理工程师、城市建设规划师等9个岗位因“报名人数未达到开考比例”而取消公开招聘。
TOP9热点:得了甲流可以自愈吗十大不收费的软件2023年
聘任制公务员,是指以合同形式聘任、依法履行公职、纳入国家行政编制、由国家财政负担工资福利的工作人员。他们不用参加“国考”“省考”等考试,实行聘任合同管理,薪酬待遇明显高于委任制公务员。今年,还曾因浙江金华开出税后80万年薪招聘而引发热议。
TOP10热点:勇气翻唱网站和网页的概念
国铁集团客运部副主任 朱文忠:固定、单一的票价机制是指同一高铁线路、同一站间、同一速度等级的动车组列车,不分淡旺季、开车日期、发到时刻、旅时长短等因素,均执行相同的票价。市场化票价机制是指综合考虑季节、日期、时段、旅时等因素,以公布票价为上限,对动车组列车票价实行不同幅度的折扣,充分体现有升有降、优质优价的市场原则。