联邦政府:关键软件必须在2026年前放弃C/C++,否则面临风险
原文英文,约900词,阅读约需4分钟。
📝
内容提要
美国政府加强对危险软件开发的警告,CISA与FBI联合发布报告,要求软件制造商在2026年1月前制定内存安全路线图,消除默认密码等安全隐患,提高透明度,确保关键基础设施安全。
🎯
关键要点
-
美国政府加强对危险软件开发的警告,CISA与FBI联合发布报告。
-
报告警告软件制造商避免使用不安全的编程语言,如C和C++。
-
不安全的编程语言会显著增加国家安全、经济安全和公共健康的风险。
-
报告将不良实践分为三类:产品属性、安全功能和组织流程与政策。
-
软件制造商需在2026年1月前制定内存安全路线图,消除安全隐患。
-
默认密码必须在同一日期前从管理账户中删除。
-
内存安全路线图应优先解决内存安全漏洞,特别是在网络代码和敏感功能代码中。
-
报告强调开源软件的安全性,建议维护软件材料清单(SBOMs)并负责任地参与开源项目。
-
公司需发布漏洞披露政策,提供安全问题的清晰文档,并维护六个月的安全日志。
-
CISA的建议将为行业提供更多时间,以确保关键软件资产的安全。
❓
延伸问答
美国政府对软件开发有哪些新的安全要求?
美国政府要求软件制造商在2026年1月前制定内存安全路线图,并消除默认密码等安全隐患。
为什么C/C++被认为是不安全的编程语言?
C/C++被认为是不安全的编程语言,因为它们显著增加了国家安全、经济安全和公共健康的风险。
软件制造商需要遵循哪些最佳实践?
软件制造商应避免不良实践,维护软件材料清单,发布漏洞披露政策,并提供安全问题的清晰文档。
内存安全路线图的主要内容是什么?
内存安全路线图应优先解决内存安全漏洞,特别是在网络代码和敏感功能代码中,并展示减少内存安全漏洞的努力。
报告中提到的三类不良实践是什么?
不良实践分为产品属性、安全功能和组织流程与政策三类。
软件制造商在2026年前需要完成哪些任务?
软件制造商需在2026年1月前制定内存安全路线图,并删除管理账户中的默认密码。
🏷️
