Mae Bjarne Stroustrup, crëwr yr iaith C++, wedi cyhoeddi gwrthwynebiadau i gasgliadau adroddiad yr NSA, a oedd yn argymell bod sefydliadau yn symud i ffwrdd o ieithoedd rhaglennu fel C a C ++, sy'n gadael rheoli cof i'r datblygwr, o blaid ieithoedd hynny fel C#, Go, Java, Ruby, Rust, a Swift, sy'n darparu rheolaeth cof awtomatig neu'n perfformio gwiriadau diogelwch cof amser llunio.
Yn ôl Stroustrup, nid yw'r ieithoedd diogel y sonnir amdanynt yn adroddiad yr NSA mewn gwirionedd yn rhagori ar C++ yn y cymwysiadau sy'n bwysig o'i safbwynt ef. Yn benodol, mae'r argymhellion sylfaenol ar gyfer defnyddio C++ (Canllawiau Craidd C++), a ddatblygwyd yn ystod y blynyddoedd diwethaf, yn ymdrin â dulliau rhaglennu diogel ac yn rhagnodi'r defnydd o offer sy'n gwarantu gwaith diogel gyda mathau ac adnoddau. Mae hyn yn gadael yr opsiwn i ddatblygwyr nad oes angen gwarantau diogelwch mor llym arnynt i barhau i ddefnyddio hen ddulliau datblygu.
Mae Stroustrup o'r farn y gall dadansoddwr statig da sy'n dilyn Canllawiau Craidd C++ ddarparu'r gwarantau angenrheidiol ar gyfer diogelwch cod C++ am gost sylweddol is na mudo i ieithoedd rhaglennu diogel newydd. Er enghraifft, mae'r rhan fwyaf o'r Canllawiau Craidd eisoes wedi'u gweithredu yn y dadansoddwr statig a phroffil diogelwch cof sydd wedi'i gynnwys yn Microsoft Visual Studio. Mae rhai argymhellion hefyd yn cael eu hystyried yn y dadansoddwr statig Clang taclus.
Beirniadwyd adroddiad yr NSA hefyd am ganolbwyntio ar broblemau cof yn unig, gan adael allan llawer o broblemau iaith rhaglennu eraill sy'n effeithio ar ddiogelwch a dibynadwyedd. Mae Stroustrup yn ystyried diogelwch fel cysyniad ehangach, y gellir cyflawni'r gwahanol agweddau arno trwy gyfuniad o arddull codio, llyfrgelloedd, a dadansoddwyr statig. Er mwyn rheoli cynnwys rheolau sy'n sicrhau diogelwch gweithio gyda mathau ac adnoddau, cynigir defnyddio anodiadau yn y cod a'r opsiynau casglwr.
Mewn cymwysiadau lle mae perfformiad yn bwysicach na diogelwch, mae'r dull hwn yn caniatáu ar gyfer cymhwyso nodweddion sy'n gwarantu diogelwch yn ddetholus dim ond lle mae ei angen. Gellir defnyddio offer diogelwch mewn modd tameidiog hefyd, megis dechrau gyda rheolau gwirio amrediad a chychwyn, ac yna addasu'r cod yn raddol i ofynion llymach.
Ffynhonnell: opennet.ru