Bjarne Stroustrup, skapari C++ tungumálsins, hefur birt andmæli við niðurstöðum NSA skýrslunnar, þar sem mælt er með því að stofnanir færist frá forritunarmálum eins og C og C++, sem skilja eftir minnisstjórnun til þróunaraðila, í þágu tungumála eins og C#, Go, Java, Ruby, Rust og Swift, sem bjóða upp á sjálfvirka minnisstjórnun eða framkvæma öryggisathuganir á minnistíma.
Að sögn Stroustrup eru örugg tungumál sem nefnd eru í skýrslu NSA í raun ekki betri en C++ í þeim forritum sem eru mikilvæg frá hans sjónarhóli. Sérstaklega fjalla grunnráðleggingarnar um notkun C++ (C++ Core Guidelines), þróaðar á undanförnum árum, yfir öruggar forritunaraðferðir og mæla fyrir um notkun tækja sem tryggja örugga vinnu með gerðum og tilföngum. Þetta skilur eftir möguleika fyrir þróunaraðila sem þurfa ekki svo strangar öryggisábyrgðir að halda áfram að nota gamla þróunaraðferðir.
Stroustrup telur að góður kyrrstöðugreiningartæki sem fylgir C++ Core Guidelines geti veitt nauðsynlegar tryggingar fyrir öryggi C++ kóða með verulega lægri kostnaði en að flytja yfir í ný örugg forritunarmál. Til dæmis eru flestar Core Guidelines nú þegar innleiddar í kyrrstöðugreiningartækinu og minnisöryggissniðinu sem fylgir Microsoft Visual Studio. Sumar ráðleggingar eru einnig teknar til greina í Clang snyrtilegu stöðugreiningartækinu.
Skýrslan NSA var einnig gagnrýnd fyrir að einblína eingöngu á minnisvandamál og sleppa mörgum öðrum forritunarmálsvandamálum sem hafa áhrif á öryggi og áreiðanleika. Stroustrup lítur á öryggi sem víðtækara hugtak, þar sem hægt er að ná fram mismunandi hliðum með því að blanda saman kóðunarstíl, bókasöfnum og kyrrstöðugreiningartækjum. Til að stýra innsetningu reglna sem tryggja öryggi við að vinna með tegundir og tilföng er lagt til að notast verði við athugasemdir í kóðanum og þýðandavalkostum.
Í forritum þar sem frammistaða er mikilvægari en öryggi, gerir þessi aðferð kleift að beita sértækum eiginleikum sem tryggja öryggi aðeins þar sem þess er þörf. Einnig er hægt að beita öryggisverkfærum í sundur, eins og að byrja með sviðsskoðun og frumstillingarreglum og aðlaga síðan kóðann smám saman að strangari kröfum.
Heimild: opennet.ru