近日，拜登政府正不斷向科技行業施壓，要求企業使用能夠防止內存相關錯誤的編程語言，從設計之初就確保產品的安全性。

自80年代以來，這種內存錯誤就一直存在，攻擊者可以濫用軟件對計算機內存的管理方式，入侵系統、破壞數據或運行惡意代碼。目前，國家網絡安全局（ONCD）正在采取措施，以降低這種錯誤帶來的風險。

ONCD領導人哈里·科克爾（Harry Coker）在介紹白宮為科技行業制作的一份新報告時表示，為了減少網絡空間的攻擊面，必須通過保護網絡空間的基礎構建來大規模消除整個類別的漏洞。

白宮指出，這份報告得到了包括SAP、惠普企業和霍尼韋爾在內的科技公司和學術界領導者的支持，意味著網絡安全的責任從個人和小型企業轉向科技公司這一樣的大型組織邁出了重要一步，因為這些大公司更有能力應對不斷變化的網絡威脅。

報告提到，C和C++等編程語言在關鍵系統中的使用非常廣泛，但它在內存安全性方面缺乏相關特性，建議采用像Rust、Python和Java等編程語言作為替代。

拜登政府的一位高級官員表示，白宮希望除工程師外的高管們也要開始關注這個問題，希望內存安全成為許多公司下一次董事會議程中的一項。

據介紹，該報告編制工作耗時超過一年，期間與科技行業進行了多次接觸和討論，那些擁有大量產品線的大型公司在這個議題上會面臨繁重的工作量。需要明確的是，遷移到內存安全代碼可能需要長達數十年的努力，具體取決于公司的規模，并且需要所有人的關注和支持。但是，那些做出改變的公司將對國家的安全產生重大影響。

政府官員表示：“這種轉變之所以困難，是因為在過去的35年里，威脅行為者一直在利用這種錯誤向我們發起攻擊。而現在，我們已經具備了做出改變所需要的技術，正是進行轉型的恰當時機。”

回顧三十多年前，計算機內存漏洞不僅促成了最初的互聯網安全事件之一——1988年的莫里斯蠕蟲，而且直至今日仍然為攻擊者提供可利用的機會，例如2023年間諜軟件供應商所使用的BLASTPASS漏洞攻擊鏈。

報告還提到，科技行業應該建議制定更精確的軟件安全性評估指標，但根據白宮發布的簡報，這需要在軟件工程和網絡安全研究領域進行新嘗試。

事實上，該報告是對喬·拜登總統2021年發布的網絡安全行政命令以及2023年發布的國家網絡安全戰略的最新跟進。

其他機構也倡導技術行業在產品開發過程中盡早考慮安全性。例如，網絡安全和基礎設施安全局（CISA）的“安全設計”倡議，以及商務部關于軟件物料清單（SBOM）最低要素的報告。去年12月，國家安全局（NSA）和CISA還發布了一份關于內存安全編程的指南。