美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 最近联合发布了一份关于“产品安全不良做法”的报告,警告软件制造商不要采取不良做法。其中包含使用内存不安全的编程语言。该指南定义,在有现成的替代内存安全语言可供使用的情况下,使用内存不安全语言(例如 C 或 C++)开发用于关键基础设施的新产品线是危险的;对于使用内存不安全语言编写的现有产品,如果在 2026 年 1 月 1 日之前没有发布内存安全改进路线图,则被视为危险的。该指南不适用于已宣布终止支持日期在 2030 年 1 月 1 日之前的产品。这份指南中还包括缺少多因子认证、缺少入侵追踪日志等涵盖产品属性、安全功能和组织流程和政策的不良做法警告。CISA 正在对该指南征求公众意见,截至2024 年 12 月 16 日之前。
CISA
