Si Bjarne Stroustrup, ang tagalikha ng wikang C++, ay nag-publish ng mga pagtutol sa mga konklusyon ng ulat ng NSA, na nagrekomenda na ang mga organisasyon ay lumayo sa mga programming language tulad ng C at C++, na iniiwan ang pamamahala ng memorya sa developer, pabor sa mga wika. na tulad ng C#, Go, Java, Ruby, Rust, at Swift, na nagbibigay ng awtomatikong pamamahala ng memorya o nagsasagawa ng mga pagsusuri sa kaligtasan ng memorya ng compile-time.
Ayon kay Stroustrup, ang mga secure na wika na binanggit sa ulat ng NSA ay sa katunayan ay hindi nakahihigit sa C++ sa mga application na mahalaga sa kanyang pananaw. Sa partikular, ang mga pangunahing rekomendasyon para sa paggamit ng C++ (C++ Core Guidelines), na binuo nitong mga nakaraang taon, ay sumasaklaw sa mga ligtas na pamamaraan ng programming at nagrereseta ng paggamit ng mga tool na ginagarantiyahan ang ligtas na trabaho sa mga uri at mapagkukunan. Nag-iiwan ito ng opsyon para sa mga developer na hindi nangangailangan ng gayong mahigpit na garantiya sa seguridad upang magpatuloy sa paggamit ng mga lumang paraan ng pag-unlad.
Naniniwala si Stroustrup na ang isang mahusay na static analyzer na sumusunod sa C++ Core Guidelines ay makakapagbigay ng mga kinakailangang garantiya para sa kaligtasan ng C++ code sa isang makabuluhang mas mababang gastos kaysa sa paglipat sa mga bagong secure na programming language. Halimbawa, karamihan sa Mga Pangunahing Alituntunin ay ipinatupad na sa static analyzer at profile sa kaligtasan ng memory na kasama sa Microsoft Visual Studio. Ang ilang mga rekomendasyon ay isinasaalang-alang din sa Clang tidy static analyzer.
Ang ulat ng NSA ay binatikos din sa pagtutok lamang sa mga problema sa memorya, na iniiwan ang maraming iba pang mga problema sa programming language na nakakaapekto sa seguridad at pagiging maaasahan. Itinuturing ni Stroustrup ang seguridad bilang isang mas malawak na konsepto, ang iba't ibang aspeto nito ay maaaring makamit sa pamamagitan ng kumbinasyon ng istilo ng coding, mga aklatan, at mga static na analyzer. Upang makontrol ang pagsasama ng mga panuntunan na nagsisiguro sa kaligtasan ng pagtatrabaho sa mga uri at mapagkukunan, iminungkahi na gumamit ng mga anotasyon sa mga pagpipilian sa code at compiler.
Sa mga application kung saan ang pagganap ay mas mahalaga kaysa sa seguridad, ang diskarte na ito ay nagbibigay-daan para sa piling aplikasyon ng mga tampok na ginagarantiyahan ang seguridad lamang kung saan ito kinakailangan. Maaari ding ilapat ang mga tool sa seguridad sa unti-unting paraan, tulad ng pagsisimula sa mga panuntunan sa pagsuri sa hanay at pagsisimula, at pagkatapos ay unti-unting iaakma ang code sa mas mahigpit na mga kinakailangan.
Pinagmulan: opennet.ru