联邦政府:关键软件必须在2026年前放弃C/C++,否则面临风险
💡
原文英文,约900词,阅读约需4分钟。
📝
内容提要
美国政府加强对危险软件开发的警告,CISA与FBI联合发布报告,要求软件制造商在2026年1月前制定内存安全路线图,消除默认密码等安全隐患,提高透明度,确保关键基础设施安全。
🎯
关键要点
- 美国政府加强对危险软件开发的警告,CISA与FBI联合发布报告。
- 报告警告软件制造商避免使用不安全的编程语言,如C和C++。
- 不安全的编程语言会显著增加国家安全、经济安全和公共健康的风险。
- 报告将不良实践分为三类:产品属性、安全功能和组织流程与政策。
- 软件制造商需在2026年1月前制定内存安全路线图,消除安全隐患。
- 默认密码必须在同一日期前从管理账户中删除。
- 内存安全路线图应优先解决内存安全漏洞,特别是在网络代码和敏感功能代码中。
- 报告强调开源软件的安全性,建议维护软件材料清单(SBOMs)并负责任地参与开源项目。
- 公司需发布漏洞披露政策,提供安全问题的清晰文档,并维护六个月的安全日志。
- CISA的建议将为行业提供更多时间,以确保关键软件资产的安全。
➡️
