Microsoft is van plan om te verkennen met behulp van de Roest programmeertaal als een alternatief voor C, C++, en anderen, als een manier om de veiligheid te verbeteren houding van haar en iedereen apps.
De aankondiging werd gedaan gisteren door Gavin Thomas, Principal Security Engineering Manager van het Microsoft Security Response Center (MSRC).
“U bent waarschijnlijk gewend om na te denken over het Microsoft Security Response Center als een groep die reageert op incidenten en kwetsbaarheden’, zei Thomas. “We zijn een reactie organisatie, maar we hebben ook een proactieve rol, en in een nieuwe blog serie zullen we benadrukken Microsoft’ s verkenning van een veiliger systeem programmeertalen, te beginnen met Roest.”
Het einde van het spel is om te vinden een manier om te bewegen, de ontwikkelaars van de vergrijzing van C en C++ programmeertaal zogenaamde “geheugen-veilig talen.”
Geheugen-veilig talen, zoals Roest, zijn ontworpen vanaf de grond opgebouwd met bescherming tegen kwetsbaarheden voor geheugenbeschadiging, zoals buffer overloop, race conditions, geheugen lekken, gebruik-na gratis en geheugen pointer-gerelateerde bugs.
C#, een programmeertaal die is ontwikkeld door Microsoft, heeft ook een aantal memory access verbeteringen, maar is niet zo geavanceerd is als Roest.
70% van alle Microsoft-patches zijn voor het geheugen-gerelateerde bugs
In het onderzoek die eerder dit jaar op de BlueHat Israël security conference Microsoft security engineer Matt Miller zei dat in de laatste 12 jaar, ongeveer 70% van alle Microsoft jaarlijkse patches werden correcties voor geheugen veiligheid bugs.
Afbeelding: Matt Miller
De reden voor dit hoge percentage komt doordat Windows en andere Microsoft-producten zijn meestal geschreven in C en C++, twee ‘geheugen-onveilige” programmeertalen waarmee ontwikkelaars fijnmazige controle van de geheugen adressen en waar code kan worden uitgevoerd.
Een slip-up in de ontwikkelaars van code die beheert het geheugen uitvoering kan leiden tot een hoop geheugen veiligheid fouten dat aanvallers kunnen misbruiken met gevaarlijke en opdringerige gevolgen-zoals tot uitvoering van externe code of misbruik van bevoegdheden gebreken.
Het verkennen van het gebruik van een memory-veilig taal zoals Roest zou een alternatief bieden voor het creëren van een veiliger Microsoft apps.
Maar Thomas betoogt verder dat third-party ontwikkelaars moeten ook zoeken in het geheugen-veilig talen. Hij citeert redenen, zoals de tijd en moeite ontwikkelaars in het leren hoe om te debuggen van het geheugen-gerelateerde veiligheidsproblemen die opduiken in hun C++ apps.
“Een ontwikkelaar kerntaak is geen zorgen te maken over de veiligheid maar om de functie ‘werken’, zei Thomas. “In plaats van te investeren in meer en meer tools en training en kwetsbaarheid corrigeert, wat over een ontwikkeling van de taal waar ze niet kunnen introduceren geheugen veiligheid in hun functie werk in de eerste plaats? Dat zou zowel de functie ontwikkelaars en de beveiliging van de ingenieurs-en de klanten.”
Microsoft onderzocht geheugen-safe-programmering voor
Microsoft op zoek naar Rust, als een veiliger alternatief voor C++ is eigenlijk niet zo ‘ n big deal.
De OS maker is op zoek naar een veiliger C en C++ alternatieven voor jaren. In juni 2016, Microsoft open-sourced “Aangevinkt C,” een uitbreiding van de programmeertaal C, die nieuwe functies om een reeks van beveiligings-gerelateerde problemen.
Microsoft op zoek naar Rust, voordat een ander geheugen-veilig taal is ook geen slechte beslissing. Naast het feit dat het superieur is aan C# met betrekking tot een beter geheugen bescherming, Rust is ook populair bij ontwikkelaars van deze dagen en misschien gemakkelijker te werven voor.
Roest — een hit met de gemeenschap van ontwikkelaars al
De taal is het vandaag de dag is “meest geliefd” programmeertaal, volgens de in 2019 StackOverflow enquête, de grootste ontwikkelaar enquête op het internet.
Ontwikkelaars houden ervan omdat van haar eenvoudiger syntaxis en het feit dat apps gecodeerd in Roest niet opleveren dezelfde hoeveelheid bugs, waardoor ontwikkelaars zich richten op het uitbreiden van hun apps, in plaats van het doen van voortdurend onderhoud.
Aan de andere kant, StackOverflow respondenten gerangschikt C als de vierde meest gehate programmeertaal C++ classificatie negende.
Roest, die is begonnen als een onderzoeksproject van Mozilla voor het ontwikkelen van een veiliger en sneller programmeertaal te schrijven, de Firefox browser, is ook in populariteit na organisaties gestart met de implementatie van het in het wild.
Hoewel in eerste instantie, de meeste ontwikkelaars afgedaan als een theoretisch project, tegenwoordig Roest is het bewijzen van haar moed.
Het is al ingezet in Firefox sinds juli 2016, en meest recent, de Dappere browser ook vervangen zijn ad-blocking-component — oorspronkelijk geprogrammeerd in C++ — met een Roest-versie. Cloudflare en Dropbox zijn ook twee andere grote tech-spelers die nu Rust in productie systemen.
Verwante cybersecurity dekking:
ONS burgemeesters groep keurt resolutie niet meer te betalen losgeld te hackersAcademics gegevens te stelen uit de lucht-gapped systemen via een toetsenbord LEDsBrazil is in de voorhoede van een nieuw type router attackGerman banken zijn afgestapt van de SMS one-time passcodesMozilla bans toezicht leverancier van Firefox certificaat whitelistPermission-hebzuchtige apps vertraagd Android-6-upgrade zodat ze konden oogsten meer gegevens van de gebruiker iOS-ontwikkelaars nog steeds niet in slagen om te bouwen end-to-end encryptie in apps TechRepublicDe beste diefstal van identiteit monitoring diensten voor 2019 CNET
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters