美國政府近日發布了一份網絡安全報告，呼吁開發人員停止使用容易出現內存安全漏洞的編程語言，例如 C 和 C++，轉而使用內存安全的編程語言進行開發。這份報告由美國網絡空間總監辦公室 (ONCD) 發布，旨在落實美國總統拜登的網絡安全戰略，目標是“保護網絡空間的基石”。

　　內存安全指的是程序在訪問內存時能夠避免出現錯誤和漏洞，例如緩沖區溢出和懸空指針。Java 由于其 runtime 錯誤檢測功能，被認為是一種內存安全的語言。然而，C 和 C++ 允許直接操作內存地址，并且缺乏邊界檢查，容易出現內存安全問題。

　　報告援引微軟和谷歌的研究數據，指出超過 70% 的安全漏洞都與內存安全問題有關。報告還引用了美國網絡安全和基礎設施安全局 (CISA) 的開源軟件安全路線圖，建議開發人員從一開始就使用內存安全的編程語言，進行“安全設計”式的開發。

　　這份報告長達 19 頁，旨在強調網絡安全不僅僅是個人的責任，更是大型組織、科技公司和政府的共同責任。報告沒有推薦特定的編程語言替代 C 和 C++，而是強調有多種內存安全的編程語言可供選擇。報告還呼吁企業和工程師采用最佳軟件開發實踐，并使用內存安全的硬件，以減少惡意攻擊的可能性。

　　IT之家注意到，美國國家安全局 (NSA) 在去年 11 月發布的網絡安全信息文件中，列出了他們認為安全的編程語言，其中包括：

　　Rust

　　Go

　　C#

　　Java

　　Swift

　　JavaScript

　　Ruby

　　但根據 TIOBE 指數 (衡量編程語言流行程度的指標)，C# 位居排行榜第 5 位，Java 第 4 位，JavaScript 第 6 位，Go 第 8 位，Swift 第 16 位，Rust 第 18 位，Ruby 第 20 位。可見，NSA 推薦的語言中只有 4 種屬于開發者最常用的語言。

　　該報告還強調了軟件安全評估的重要性，并認為更好地評估標準能夠幫助科技公司更好地規劃、預測和緩解漏洞風險。報告還以阿波羅 13 號登月任務為例，強調了在太空探索等關鍵領域使用內存安全代碼的重要性。

　　這份報告是美國政府一系列網絡安全舉措的一部分。2023 年 3 月，拜登總統簽署了網絡安全行政命令，旨在加強軟件和硬件安全，并與科技行業建立合作關系。隨著數字化的不斷推進，更安全的編程語言和開發方式變得至關重要，這份報告正是呼吁業界重視這一問題的最新舉措。