C, C++: US Regierung warnt vor Benutzung von Programmiersprachen

Die US-Regierung warnt vor der Verwendung bestimmter, beliebter Programmiersprachen aufgrund von Sicherheitsrisiken. Das Weiße Haus empfiehlt die Verwendung von Sprachen, welche als „memory-safe“ gelten, da diese sicherheitsrelevante Fehler vermeiden. Sprachen wie C und C++ gelten als unsicher, da sie direkten Speicherzugriff ermöglichen. Unternehmen wie Microsoft und Google haben Sicherheitslücken mit solchen Sprachen in Verbindung gebracht.

Im Gegensatz zu anderen populären Programmiersprachen verfügen C und C++ nicht über eingebaute Sicherheits-Checks und erlauben einen direkten Speicherzugriff. Im Jahr 2019 hatte Microsoft bereits herausgefunden, dass sich in ihren Systemen etwa 70% aller bekannten Sicherheitsprobleme auf fehlende Speicher-Sicherheit zurückführen ließen. Google berichtete 2020 ähnliches in Bezug auf Bugs in ihrem Chrome-Browser.

Aufgrund des Fehlens interner Sicherheits-Checks zur Vermeidung von Sicherheitslücken, welche sich auf unsicheren Speicherzugriff zurückführen lassen, empfiehlt das ONCD (Office of the National Cyber Director) Sprachen wie C und C++ nicht in größeren Unternehmen oder Regierungs-Organisationen einzusetzen.

Empfohlene Sprachen seien demnach unter anderem Rust, Python, Go, C#, Java, Swift, JavaScript und Ruby, welche jedoch nicht alle gleichermaßen beliebt unter Entwicklern sind. Diese Empfehlung steht im Einklang mit Joe Bidens Cybersicherheitsstrategie. Es gibt keine „genehmigte Liste“, aber die NSA hat eine Liste sicherer Sprachen veröffentlicht, auf der sich unter anderem die oben genannten Sprachen wiederfinden. Es handelt sich hierbei wie gesagt „nur“ um eine Empfehlung, keine Vorschrift, inwieweit diese wirklich umgesetzt wird, bleibt also abzuwarten.