ソフトウェア

ホワイトハウスが開発者に対しC++やC言語からRustやJavaなどのメモリ安全性に優れたプログラミング言語への移行を勧める


アメリカ・ホワイトハウスの国家サイバー局長室(ONCD)が、開発者に対し、C++C言語といったプログラミング言語からRustC#などのメモリ安全性が確保されたプログラミング言語への移行を勧めています。

BACK TO THE BUILDING BLOCKS:A PATH TOWARD SECURE AND MEASURABLE SOFTWARE
(PDFファイル)https://www.whitehouse.gov/wp-content/uploads/2024/02/Final-ONCD-Technical-Report.pdf

White House urges developers to dump C and C++ | InfoWorld
https://www.infoworld.com/article/3713203/white-house-urges-developers-to-dump-c-and-c.html


MicrosoftGoogleの調査では、全てのセキュリティ脆弱性のうち約70%がバッファのオーバーフローや領域外からの読み取り、メモリの漏えいなど、メモリへのアクセスに関連するソフトウェアのバグや脆弱性よって引き起こされていることが明らかとなっています。これらの問題はメモリ安全性が確保されたプログラミング言語を使えば回避できますが、メモリ安全でないプログラミング言語の人気は根強く、調査会社「Statista」の報告では2023年時点で開発者の約22%がC++を使用し、約19%の開発者がC言語を使用していることが明らかになっています。


ホワイトハウスはセキュリティの強化のために2024年2月26日にメモリ安全性が確保されたプログラミング言語の仕様を推奨する声明を発表しました。なお、アメリカ国家安全保障局(NSA)はメモリ安全なプログラミング言語としてRustやC#、GoJavaRubySwift(PDFファイル)挙げています。

ONCDのハリー・コーカー局長は「私たちは国家として、サイバー空間における攻撃の対象領域を縮小し、あらゆる種類のセキュリティバグがデジタルエコシステムに侵入するのを防ぐ能力と責任があります。一方でそれはつまり開発者に対し、メモリ安全性に優れたプログラミング言語への移行を強いるという難しい問題に取り組むことになります」と語りました。


ONCDは今後の目標として「サイバーセキュリティに関する責任を開発者自身や中小企業から、大企業やテクノロジー企業、アメリカ政府に移す」ことを挙げており、これらの大企業や政府は「進化を続ける脅威に対処できる能力が高い」と評しています。

ワシントン大学のコンピューターサイエンス教授であるダン・グロスマン氏は「C++やC言語に関する危険性は何十年も前からよく知られていました。今日では実用的なまでに成熟した代替となるプログラミング言語が多数利用可能になったため、ホワイトハウスが開発者に対しメモリ安全性に優れたプログラミング言語への移行を勧めるのは非常に有益でタイムリーです」と称賛しています。


しかし、グロスマン氏は「メモリ安全性の脆弱性を悪用する攻撃者からの脅威がどんどん巧妙になっているため、早急な変更が必要です」と述べる一方で、「C++やC言語からの脱却は一朝一夕でできるものではありません」と指摘しています。

Internet Security Research Groupのエグゼクティブディレクター兼共同創設者であるジョシュ・アース氏は「C++やC言語からの脱却は長く困難なプロセスになるでしょう。人々の物事に対する考え方を変えるには、継続的な努力が必要になります」と述べ、「官民一体となってメモリ安全性に優れたプログラミング言語の推進を優先する必要があります」と語りました。

なお、メモリ安全性に優れたプログラミング言語の使用を推奨する声明は2023年9月にアメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁(CISA)も発表しているほか、ほか、2023年12月にはCISAや連邦捜査局(FBI)、NSA、および同盟国の機関が共同でメモリ安全性に優れたプログラミング言語の採用を促進する「(PDFファイル)The Case for Memory Safe Roadmaps」というレポートを発表しています。

◆フォーラム開設中
本記事に関連するフォーラムをGIGAZINE公式Discordサーバーに設置しました。誰でも自由に書き込めるので、どしどしコメントしてください!Discordアカウントを持っていない場合は、アカウント作成手順解説記事を参考にアカウントを作成してみてください!

• Discord | "メモリ安全なプログラミング言語、習得してる?何を使える?どの言語を習得してる?" | GIGAZINE(ギガジン)
https://discord.com/channels/1037961069903216680/1212687659114430464

この記事のタイトルとURLをコピーする

・関連記事
「プログラミング言語ランキング:2023年1月版」をソフトウェア開発者分析企業が発表 - GIGAZINE

求人サイトやソーシャルサイトで人気の高いプログラミング言語がわかる「人気プログラミング言語2022」が発表される - GIGAZINE

ソフトウェアエンジニアを目指す学生に現役エンジニアが送る10のアドバイス - GIGAZINE

AppleがMicrosoftのGitHub Copilotに匹敵するコード生成AIツールを開発中 - GIGAZINE

NVIDIAのCEOが「AIがコードを書くのでもうプログラミングを学ぶ必要はない」と発言して議論を巻き起こす - GIGAZINE

・関連コンテンツ

in ソフトウェア, Posted by log1r_ut

You can read the machine translated English article here.