11月3日消息，據(jù)媒體報(bào)道，美國(guó)正在加強(qiáng)關(guān)于危險(xiǎn)軟件開(kāi)發(fā)實(shí)踐的警告，提醒開(kāi)發(fā)商應(yīng)高度關(guān)注使用非內(nèi)存安全編程語(yǔ)言等不良行為，C和C++更是被列為反面典型。

美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）和聯(lián)邦調(diào)查局（FBI）在最新報(bào)告中指出：“在支持關(guān)鍵基礎(chǔ)設(shè)施或國(guó)家關(guān)鍵職能開(kāi)發(fā)過(guò)程中，使用非內(nèi)存安全語(yǔ)言（例如C或C++）可能引發(fā)風(fēng)險(xiǎn)”。

報(bào)告還要求企業(yè)在2026年1月1日前建立內(nèi)存安全發(fā)展路線(xiàn)圖，對(duì)于以非內(nèi)存安全語(yǔ)言編寫(xiě)的現(xiàn)有產(chǎn)品，若到時(shí)仍缺少明確內(nèi)存安全遷移路線(xiàn)圖，將被視為存在風(fēng)險(xiǎn)。

報(bào)告將不良實(shí)踐分為三大類(lèi)別：產(chǎn)品屬性、安全功能和組織流程和政策，并主要面向負(fù)責(zé)開(kāi)發(fā)關(guān)鍵基礎(chǔ)設(shè)施軟件產(chǎn)品的開(kāi)發(fā)商。

報(bào)告鼓勵(lì)所有軟件開(kāi)發(fā)商避免采取可能影響產(chǎn)品安全性的不良實(shí)踐，并遵循建議方針。

Omdia分析師Brad Shimmin表示，這是美國(guó)政府對(duì)軟件安全問(wèn)題的延續(xù)，意在提醒技術(shù)提供商和企業(yè)用戶(hù)盡量使用或遷移至內(nèi)存安全語(yǔ)言。

CISA已獲得超過(guò)230家軟件廠(chǎng)商的自愿承諾，加入“安全設(shè)計(jì)”計(jì)劃，承諾在一年內(nèi)達(dá)成一系列網(wǎng)絡(luò)安全目標(biāo)。