La Cybersecurity and Infrastructure Security Agency (CISA) e l'FBI hanno evidenziato come l'uso di linguaggi di programmazione ritenuti insicuri per la memoria, come C e C++, possa esporre i software a vulnerabilità critiche. Rappresentando un rischio per la sicurezza soprattutto in infrastrutture critiche. Nel loro rapporto intitolato "Product Security Best Practices," le due agenzie raccomandano ai produttori di software, specialmente quelli che lavorano in contesti sensibili per la sicurezza nazionale, di abbandonare l'uso di linguaggi non sicuri per la memoria. Viene inoltre richiesto di seguire le linee guida sulla sicurezza della memoria nelle applicazioni entro il 1° gennaio 2026.
C e C++: rischi per Cloud e SaaS
Il rapporto non stabilisce delle regole obbligatorie per i programmatori. Suggerisce invece delle pratiche che, se osservate, possono ridurre i rischi e migliorare la sicurezza dei prodotti. In particolare, il rapporto si rivolge ai produttori di software on-premise, servizi Cloud e Software-as-a-Service. Mettendo in luce come lo sviluppo in linguaggi insicuri per la memoria possa compromettere la protezione dei dati. Facilitando nel contempo potenziali exploit.
Le linee guida della CISA e dell'FBI si concentrano sul principio del Secure by Design. Spingendo i produttori a prendersi maggiormente cura della sicurezza degli utenti finali. Secondo il rapporto, infatti, dimostrare attenzione alla sicurezza della memoria può rafforzare la fiducia dei clienti. Questo in un'ottica di allineamento con le aspettative di sicurezza nazionale.
I linguaggi come C e C++, noti per offrire una grande libertà nella gestione della memoria, affidano ai programmatori il compito di controllare i riferimenti a quest'ultima, rendendo però possibili potenziali problemi di sicurezza se i necessari controlli non vengono eseguiti correttamente.
Più sicurezza per la memoria
Al contrario, i linguaggi che prevedono una protezione integrata della memoria possono prevenire alcune delle falle sfruttabili dagli utenti malintenzionati.
La sicurezza della memoria è un tema discusso da anni e il rapporto sottolinea come questi linguaggi siano ormai considerati inadeguati per applicazioni a cui vengono affidati dati e task di importanza rilevante.
Quanto indicato non sarà vincolante ma il messaggio è chiaro: adottare linguaggi di programmazione sicuri è fondamentale per proteggere infrastrutture e funzioni nazionali critiche.