美国国家安全局发布了一份报告,分析了在使用内存时因错误而导致的漏洞风险,例如在释放内存区域后访问内存区域以及超出缓冲区边界。 鼓励组织尽可能放弃 C 和 C++ 等将内存管理留给开发人员的编程语言,转而使用提供自动内存管理或执行编译时内存安全检查的语言。
降低不安全内存处理导致错误风险的推荐语言包括 C#、Go、Java、Ruby、Rust 和 Swift。 例如,微软和谷歌的统计数据显示,其软件产品中约70%的漏洞是由不安全的内存处理引起的。 如果无法迁移到更安全的语言,建议组织通过使用额外的编译器选项、错误检测工具和操作系统设置来加强保护,从而更难利用漏洞。
来源: opennet.ru