美國政府呼吁開發人員使用內存安全編程語言

美帝政府近期公布的網絡安全報告警示開發者應避免使用內存易受攻擊的編程語言如C 和 C++，而選擇更為安全的內存管理語言如Java。此報告主要由ONCD負責制定，旨在實施拜登網絡安全計劃中的“網絡空間基本保障體系”。

所謂內存安全，即是防止程序在處理內存時產生如緩沖區溢出以及懸停指針等潛在漏洞。因此，盡管Java憑借其內存安全模式，不受此類問題影響，但C及其變異體C++擁有直接操作內存地址，且缺乏邊界檢查，因此在內存安全性方面常常陷入困境。

提及報告使用的數據，微軟和谷歌的研究均顯示，70%以上的安全漏洞皆因內存問題導致。此外，結合CISA的開源軟件安全路線圖，也建議開發者盡早采取內存安全的編程語言，踐行“安全設計”理念。

長達19頁的報告并未強制替換C和C++，旨在強調網絡安全不僅涉及個體責任，而且是大型組織、技術公司乃至政府共同承擔的使命。選擇內存安全的編程語言時，報告鼓勵涉事各方運用最佳軟件開發實踐和安全硬件技術，以降低遭受網絡攻擊的可能。

經IT之家觀察，去年11月，美帝國家安全局NSA公布了一份被視為安全的編程語言清單，包括Rust、Go、C#、Java、Swift、JavaScript及Ruby。然而，根據TIOBE指數顯示，在使用頻率最高的編程語言排行榜上，有四種NSA推薦過的編程語言，分別位于第五至九位，其中排名最靠前的是C#與Java。

值得關注的是，此份報告亦強調了軟件安全評價機制的重要性，認為科學完善的評價標準有助于科技企業規避和預防漏洞風險。此外，通過應用類似于阿波羅13號登月行動等物理場景中的內存安全碼，進一步印證了關鍵領域內維護內存安全的必要性。

作為美國政府網絡安全策略的一環，該報告的發布體現了美方對提升軟件及硬件安全，以及與科技行業形成更緊密合作關系的期待。隨著數字時代的深化，選擇更為安全的編程語言與開發方案顯得尤為必要，本報告將成為推動全行業正視這一問題的新契機。