Ber utviklere kutte ut C og C++

Det hvite hus mener utviklere må redusere risikoen for cyberangrep ved å bytte til minnesikre språk.

Bedrifter bør bytte ut C og C++ med minnesikre språk som Rust, mener Det hvite hus. 📸: NTB / Shutterstock
Bedrifter bør bytte ut C og C++ med minnesikre språk som Rust, mener Det hvite hus. 📸: NTB / Shutterstock Vis mer

Det hvite hus i USA har gått ut og oppfordret utviklere til å redusere risikoen for cyberangrep ved å bytte til minnesikre språk, skriver InfoWorld. Med minnesikkert menes språk laget for å unngå feil som kan skje når et program prøver å lese eller skrive data til minnet.

Anbefalingen kommer i en rapport fra ONCD (Office of the National Cyber Director), som er en enhet i det Hvite hus som koordinerer og leder nasjonal politikk og aktiviteter knyttet til cybersikkerhet.

– Vi, som nasjon, har evnen – og ansvaret – til å redusere angrepsflaten i cyberspace og forhindre hele klasser av sikkerhetsfeil fra å komme inn i det digitale økosystemet, sa National Cyber Director Harry Coker i en video i forbindelse med lanseringen.

– Men det betyr at vi må ta fatt på den vanskelige oppgaven med å gå over til minnesikre programmeringsspråk.

Fraråder C og C++

I den 19 sider lange rapporten nevnes C og C++ som programmeringsspråk som ikke er minnesikre, og som altså frarådes.

Som eksempler på språk som er minnesikre, nevnes Rust.

Men det er ikke alt Rust er klart for ennå: ONCD påpeker at språket ikke har blitt testet ut i systemer beregnet på løsninger innenfor romfart. Det vil derfor kreves en del arbeid for å bevise at språket kan brukes også til denne typen formål, blant annet utvikling av "tooling", opplæring, gjøre "case studies", og så videre.

«Praktiske og modne alternativer er nå tilgjengelig.»

Professor Dan Grossman ved universitetet i Washington sier til Infoworld at farene ved C og C++ har vært kjent i årtier og er positiv til signalene fra ONCD.

– Dette er et godt tidspunkt for Det hvite hus å pushe for minnesikkerhet, siden praktiske og modne alternativer nå er tilgjengelig, sier Grossman.

Frarådes av flere

Også amerikanske NSA (National Security Agency) – og Microsoft – har tidligere gått ut og oppfordret virksomheter til å bytte til minnesikre språk.

NSA nevnte før jul C#, Go, Java, Ruby og Swift som eksempler på språk som kunne brukes i stedet for C og C++.

Kritikken fikk C++-skaperen Bjarne Stroustrup til å se rødt, og han svarte at han ikke så på disse språkene som bedre enn C++ "til de formålene han bryr seg om".

Senere modererte han seg, og åpnet for å se på hvordan C++ kunne videreutvikles blant annet for å gjøre det enklere å oppdage sårbarheter i koden.