[استعراض فاز جي الجديدة اقترحت مايكروسوفت مؤخرا أنه في المستقبل سيتم استخدامها الصدأ كما C، C ++ وغيرها من البدائل لغات البرمجة لتحسين تطبيق الخطة الأمنية.

مؤخرا، مركز إصدار Microsoft Security Response (MSRC) فريق في المواد الموقع الرسمي محدثة عن أحدث الخطة المقترحة مؤخرا من شأنها أن المستقبل كبديل لاستخدام الصدأ C، C ++ وغيرها من لغات البرمجة لتحسين أمن تطبيق البرنامج، نفذنا المزيد من السلامة ملحق في العمق من حيث مساحة الذاكرة، والوقت، والذاكرة، والأمن، والمنافسة البيانات.

وقال غافن توماس، الرئيس مدير أمن تكنولوجيا، وظيفة المطور الأساسية هي عدم القلق بشأن الأمن، ولكن لا تنمية الميزة، تحتاج أولا إلى تمكين 'لا يعرض تسرب ذاكرة مخبأة "لغة التنمية. من الواضح، وهذه المرة بطل الرواية هو الصدأ.

على مدى السنوات ال 12 الماضية، حوالي 70 من التصحيح مايكروسوفت للكشف عن التسربات الذاكرة

اليوم، أصبحت تسرب الذاكرة الهدف الرئيسي من هجمات القراصنة. ووفقا لبيانات مايكروسوفت أحدث دراسة تظهر أنه في السنوات ال 12 الماضية، حوالي 70 من بقع مايكروسوفت هي وجود تسرب الذاكرة.

منذ عام 2004، وكان مركز إصدار Microsoft Security Response (MSRC) تصنف على الثغرات الأمنية مايكروسوفت كل تقرير. من جميع الفئات، يأتي الناس إلى حقيقة مذهلة: كما مات ميلر في خطاب هذا العام BlueHat IL التي نوقشت أعلاه، فإن معظم إصلاح وتوزيع نقاط الضعف CVE هي ذاكرة غير قصد من قبل المطور أخطاء تلف في في C ++ ورمز C تسببت. كلا ذاكرة تسرب خطر لغة برمجة تسمح للمطورين لضبط الحبيبات غرامة قدرها عنوان الذاكرة حيث يتم تنفيذ التعليمات البرمجية. خطأ في المطورين كود إدارة الذاكرة قد يؤدي إلى الكثير من الضعف الذاكرة، يمكن للمهاجم استغلال هذه الأخطاء تؤدي إلى عواقب وخيمة والغازية، مثل التنفيذ عن بعد الكود (RCE) مواطن الضعف وتجاوز الصلاحيات (EOP).

المصدر: مركز الاستجابة الأمنية موقع ويب Microsoft

في السنوات الأخيرة، Microsoft إضافة رمز قاعدة والمستخدمة في شفرة برمجية مفتوحة المصدر أكثر، لم يتم حل هذه المشكلة، ولكن ما هو أسوأ، ومايكروسوفت لم يتعرض سوى ضعف الذاكرة المؤسسية.

في أحدث المقالات التي نشرت في الموقع الرسمي، ومركز الاستجابة الأمنية مايكروسوفت أجرى (MSRC) فريق التحليل التالي بشأن كيفية معالجة القضايا الأمنية من الذاكرة،

من أجل حل الذاكرة يجب أن تؤخذ في عدة طرق مختلفة القضايا الأمنية. C ++ في بنية "الحديث" (على سبيل المثال مدى) يمكن أن تمنع بعض مشاكل السلامة الذاكرة إلى حد ما. وبالإضافة إلى ذلك، يتعين علينا أن نستخدم غيرها من الميزات الحديثة C ++ (مثل مؤشرات الذكية) قدر الإمكان.

ومع ذلك، الحديث C ++ لا تزال تفتقر آلية أمن البيانات وخلاف ذاكرة شاملة. الأهم من ذلك، إذا لم يتم استخدام مبرمج، هذه الوظائف نفسها لن يكون لها معنى، وهذه المهام في نطاق أوسع ورمز قاعدة أكثر غموضا لا يجوز العمل. وعلاوة على ذلك، فإن الافتقار إلى أدوات جيدة C ++ تعبئتها كود غير آمنة في أمن لهم مجردة ووسائل أنه على الرغم من أنه يمكن تصحيح الممارسات الترميز التي فرضت على المستوى المحلي، ولكن المطورين لا يزال من الصعب بناء في C أو C ++ التي يمكن دمجها بأمان مكونات البرنامج. وبالإضافة إلى ذلك، ينبغي لنا قدر الإمكان سوف يهاجر في نهاية المطاف إلى برنامج لغة مع ميزات أمنية شاملة الذاكرة التي، على سبيل المثال، عن طريق فحص وآلية جمع القمامة وقت لتحقيق حماية الذاكرة أو C # F #. بعد كل شيء، إدارة الذاكرة هي وظيفة معقدة للغاية، فمن الأفضل لضمان عند الضرورة للتعامل معه.

ميزة الصدأ

على مر السنين، مايكروسوفت دائما تبحث عن بديل أكثر أمنا لC و C ++. يونيو 2016، كانت مايكروسوفت إيرادات "تم الفحص C"، الذي يعد امتدادا للغة C، فإنه يجلب بعض الميزات الجديدة لقضايا الأمن والعنوان، ولكن لا يزال لم تحل المشكلة تماما. منذ إدارة الذاكرة التلقائي، ومايكروسوفت هناك أخرى لغة البرمجة أكثر أمنا، C # و. NET هو عبارة عن سلسلة، وقد تم تجميعها إلى تفعيل جافا، نسخة مطبوعة على الآلة الكاتبة شيء آخر. وتستخدم هذه اللغات على نطاق واسع مايكروسوفت وزبائنها، لكنهم لا يستطيعون تلبية جميع الاحتياجات. في هذا الصدد، ومركز إصدار Microsoft Security Response (MSRC)، كبير مديري التكنولوجيا الأمنية، وقال غافن توماس: "إذا كان للمطورين لضمان سلامة صافي الذاكرة، C # و لغات أخرى جنبا إلى جنب مع كفاءة C ++، سيكون أمرا رائعا. ربما نستطيع. "لذلك، أصبح الصدأ بطلا للخطة.

ومن المفهوم، الصدأ، التي تأسست في عام 2006، تم إنشاؤها بواسطة موزيلا يسمى "بدائل C / C ++". في البداية، موزيلا انها مجرد مشروع بحثي يهدف إلى تطوير أكثر أمانا وأسرع البرمجة اللغوية لإعادة كتابة متصفح فايرفوكس، ومعظم المطورين يعتقدون أنه هو مشروع النظري، ولكن الآن الصدأ وإثبات قوتها تدريجيا. أغسطس 2016 الإفراج عن فايرفوكس 48 اعتمدت mp4 لمحلل المسار الفوقية لبناء الصدأ، وهي المرة الأولى في محلل 32 بت ويندوز ولينكس سطح المكتب. في الآونة الأخيرة، ومتصفح الشجعان مع الصدأ استبدال مكونات حجب الإعلانات مكتوبة أصلا في C ++. دروببوإكس هو أيضا حاليا في CloudFlare وإنتاج أنظمة تشغيل الصدأ.

وتشمل الصدأ السمات البارزة:

• مجردة بدون تكلفة
• دلالات التحرك
• لضمان سلامة الذاكرة
• أي مواضيع المتنافسة البيانات
• واستنادا إلى خصائص الوراثة
• نمط مطابقة
• نوع الاستدلال
• الحد الأدنى تشغيل الساعة
• الارتباطات C فعالة

ويقول فريق الصدأ لديها ثروة من النظام ونموذج الملكية، لضمان ذاكرة آمنة وذات ألوان. كما يقدم وثيقة تحتوي على مدير مجموعة متكاملة وغيرها من الأدوات لمساعدة تحسين إنتاجية المطورين. الأهم من ذلك، تم تصميم الصدأ منذ البداية لمنع الضعف الفساد الذاكرة. انها جملة أيضا أكثر بساطة، هو مكتوب من قبل التطبيق لا تنتج نفس العدد من الأخطاء، لذلك يمكن للمطورين التركيز على التوسع في تطبيقه، بدلا من الصيانة المستمرة.

ووفقا لبيانات المسح StackoverFlow2019 المطور أظهرت، الصدأ هو الآن في معظم لغة البرمجة شعبية، مما يجعل من الاسهل لتجنيد أعضاء على متن الطائرة. في المقابل، في المسح، سيتم إدراج المشاركين كلغة C برمجة الرابع ابغض، C ++ في المرتبة التاسعة.

StackoverFlow2019 في بيانات المسح المطور

ومن المفهوم أنه، بالإضافة إلى موزيلا، ومئات من الشركات تستخدم العالمية الصدأ، مثل الأمازون، Atlassian، دروببوإكس، الفيسبوك، وجوجل، ومايكروسوفت، ريد هات ورديت وهلم جرا. في الصين، بايدو، والضرب بايت، PingCAP، واللباس النمل الذهب، ونعرف تقريبا، SenseTime وغيرها من الشركات تستخدم الصدأ.

مشاكل الصدأ

ومع ذلك، الصدأ لا تزال هناك بعض أوجه القصور. وفقا لاستطلاع سابق، فإنه يحتاج إلى تحسين ما يلي:

• أفضل بيئة العمل
• وثائق أفضل
• دعم مكتبة أفضل
• أسهل منحنى التعلم
• المزيد IDE الدعم

بعض المستخدمين عند الحديث عن أسباب عدم استخدام قالت الصدأ، "على الرغم من تعقيد اللغة منحنى التعلم والتي لا تزال تمنع الناس من تعلم الصدأ، ولكن جانب واحد من الكثير من الناس يتردد صداها مع هذا يكفي فقط حتى الآن نشطة تستخدم الصدأ المشاريع التجارية للحصول على الناس تشارك ...... بالنسبة لبعض الناس، ما دام هناك حافز قوي، ويمكن التغلب على منحنى التعلم في الصدأ. "بالإضافة إلى ذلك، بسبب عدم وجود أثر دعم IDE، حوالي 10 من المستخدمين يبحثون عن أفضل دعم IDE، في حين أن 5 من المستخدم القديم بالتالي تعطيل الصدأ.

لهذه اللغة الجديدة أو لبناء خطة البيئية، ومركز أمان الاستجابة (MSRC)، كبير مديري التكنولوجيا الأمنية، وقال غافن توماس، "نحن منظمة ردا على ذلك، لكننا أيضا أن تلعب دورا نشطا" "، ينبغي لنا منذ البداية المطورين على الجهود المبذولة لمنع إدخال المشكلة، بدلا من تقديم التوجيه والأدوات "لحل المشكلة. في الوقت الحاضر، حول متى يجب استخدام الصدأ على منتجاتها أو الخدمات السحابية، ومايكروسوفت لم تكشف عن تفاصيل.

(لقد طبع هذا المقال بإذن من InfoQ)