Здравствуйте, Артём, Вы писали:
Аё>Американское агентство по кибербезопасности и инфраструктуре (оказывается, и такое бывает) требует явного запрета на C/C++ там, где существует "memory-safe" альтернатива. Запрет в новых продуктах, и требует роадмап на переписывание существующих продуктов.
C++ еще не удобен тем, что его сложно анализировать тому же GPT, в особенности когда дело касается компил-таймовых вещей.
Т.е. это для высших кланов — как бы гвоздь в заднице, т.к. не поддается контролю.
Аё> Американское агентство по кибербезопасности и инфраструктуре (оказывается, и такое бывает) требует явного запрета на C/C++ там, где существует "memory-safe" альтернатива.
А на использование ключевого слова unsafe потребуется разрешение парткома.
Аё>Господа, это песец, я считаю.
Здравствуйте, Shmj, Вы писали:
S>C++ еще не удобен тем, что его сложно анализировать тому же GPT, в особенности когда дело касается компил-таймовых вещей.
Хорошо, меньше конкурентов. Это как в России борятся с утечками данных одних компаний придумывая дикие штрафы для других компаний.
Результат думаю очевиден, уничтожение владельцев сайтов внутри России. Да, на остальной мир это не повлияет. Так же как, когда уничтожали машиностроение причём при Путине остальные страны мысленно сказали молодцы.
Но это же уже старая тема, сколько ей лет. Им уже пора переходить к активным действиям. Вламываться на предприятия и отлавливать злоумышленников или хотя бы штрафовать за использование C/C++.
По аналогии с Россией штрафовать всех без разбора на 3 млн. долларов. Вот это бизнес, это по путински.
Я уже даже представил, как владельцы сайтов живущие в России шкерятся в глубоком вебе. Так и те кто программируют на C/C++ в США тоже отключат сервера от открытой сети и уйдут в подполье.
Россиянин.
— За что сидишь?
Американец.
— Разрабатывал программы на C/C++. А ты?
Россиянин.
— А я не написал политику конфиденциальности на сайте.
Полный текст статьи
Перейти к основному содержанию
Официальный сайт правительства США
Вот как вы это узнаете
Меню
Хлебные крошки
Ресурсы и инструменты
ДЕЛИТЬСЯ:
ПУБЛИКАЦИЯ
Неправильная практика обеспечения безопасности продукции
Дата публикации
16 октября 2024 г.
ПОХОЖИЕ ТЕМЫ: ЛУЧШИЕ ПРАКТИКИ КИБЕРБЕЗОПАСНОСТИ , ОРГАНИЗАЦИИ И КИБЕРБЕЗОПАСНОСТЬ , МНОГОФАКТОРНАЯ АУТЕНТИФИКАЦИЯ
Запрос комментариев по Руководству по недобросовестной практике обеспечения безопасности продукта
CISA ИЩЕТ ПУБЛИЧНЫЕ КОММЕНТАРИИ ДЛЯ ИНФОРМИРОВАНИЯ О РАЗРАБОТКЕ ЭТИХ ПЛОХИХ ПРАКТИК БЕЗОПАСНОСТИ ПРОДУКТОВ, КОТОРЫЕ ПЕРЕЧИСЛЯЮТ ИСКЛЮЧИТЕЛЬНО РИСКОВАННЫЕ ДЕЙСТВИЯ ПО РАЗРАБОТКЕ ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ. ПОЖАЛУЙСТА, ПОСЕТИТЕ ФЕДЕРАЛЬНЫЙ РЕЕСТР, ЧТОБЫ ОТПРАВИТЬ КОММЕНТАРИЙ ДО 16 ДЕКАБРЯ 2024 Г.
ПРОСМОТРЕТЬ ФЕДЕРАЛЬНЫЙ РЕЕСТР
Обзор
Как указано в инициативе CISA Secure by Design , производители программного обеспечения должны гарантировать, что безопасность является основным фактором с самого начала разработки программного обеспечения. Это добровольное руководство предоставляет обзор плохих практик безопасности продукта, которые считаются исключительно рискованными, особенно для производителей программного обеспечения, которые производят программное обеспечение, используемое для обслуживания критической инфраструктуры или национальных критических функций (NCF), и дает рекомендации производителям программного обеспечения по снижению этих рисков.
Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) и Федеральное бюро расследований (ФБР) (далее именуемые организациями-авторами) разработали это руководство, чтобы призвать производителей программного обеспечения снизить риск для клиентов, уделяя первостепенное внимание безопасности на протяжении всего процесса разработки продукта. Этот документ предназначен для производителей программного обеспечения, которые разрабатывают программные продукты и услуги, включая локальное программное обеспечение, облачные сервисы и программное обеспечение как услугу (SaaS), используемые для поддержки критической инфраструктуры или NCF. Организации-авторы настоятельно рекомендуют всем производителям программного обеспечения избегать этих плохих практик безопасности продуктов. Следуя рекомендациям в этом руководстве, производители будут давать понять клиентам, что они берут на себя ответственность за результаты безопасности клиентов, что является ключевым принципом Secure by Design. Руководство, содержащееся в этом документе, не является обязательным, и хотя CISA призывает организации избегать этих плохих практик, этот документ не налагает на них никаких требований делать это.
Неправильные практики делятся на три категории.
Свойства продукта, которые описывают наблюдаемые качества программного продукта, связанные с безопасностью.
Функции безопасности, описывающие функции безопасности, поддерживаемые продуктом.
Организационные процессы и политики, описывающие действия, предпринимаемые производителем программного обеспечения для обеспечения высокой прозрачности подхода к безопасности.
Этот список является целенаправленным и не включает в себя все возможные нецелесообразные практики кибербезопасности. Отсутствие включения какой-либо конкретной практики кибербезопасности не означает, что CISA одобряет такую практику или считает, что такая практика представляет приемлемый уровень риска. Элементы, представленные в этом списке, были выбраны на основе ландшафта угроз как представляющие наиболее опасные и насущные плохие практики, которых производители программного обеспечения должны избегать.
Свойства продукта
Развитие языков, небезопасных для памяти ( CWE [1] -119 и связанные с ними недостатки)
Разработка новых линеек продуктов для использования в обслуживании критической инфраструктуры или NCF на языке, небезопасном для памяти (например, C или C++), когда существуют легкодоступные альтернативные языки, безопасные для памяти, которые можно было бы использовать, является опасной и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также национального общественного здравоохранения и безопасности.
Для существующих продуктов, написанных на языках, небезопасных для памяти, отсутствие опубликованной дорожной карты безопасности памяти к 1 января 2026 года является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности. Дорожная карта безопасности памяти должна описывать приоритетный подход производителя к устранению уязвимостей безопасности памяти в приоритетных компонентах кода (например, сетевой код или код, который обрабатывает чувствительные функции, такие как криптографические операции). Производители должны продемонстрировать, что дорожная карта безопасности памяти приведет к значительному приоритетному сокращению уязвимостей безопасности памяти в продуктах производителя, и продемонстрировать, что они прилагают разумные усилия для следования дорожной карте безопасности памяти. Это не относится к продуктам, у которых объявленная дата окончания поддержки до 1 января 2030 года.
Рекомендуемые действия: Производители программного обеспечения должны создавать продукты таким образом, чтобы систематически предотвращать появление уязвимостей безопасности памяти, например, используя безопасный язык памяти или аппаратные возможности, которые предотвращают уязвимости безопасности памяти. Кроме того, производители программного обеспечения должны опубликовать дорожную карту безопасности памяти к 1 января 2026 года.
Ресурсы: Аргументы в пользу планов по обеспечению безопасности памяти , Обязательство CISA по обеспечению безопасности при проектировании (сокращение классов уязвимостей), Назад к строительным блокам , NIST Secure Software Development Framework (SSDF) PW 6.1.
Включение введенных пользователем данных в строки SQL-запроса ( CWE-89 )
Включение введенных пользователем данных непосредственно в необработанное содержимое строки запроса базы данных SQL в продуктах, используемых для обслуживания критически важной инфраструктуры или NCF, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране.
Рекомендуемые действия: Продукты должны быть созданы таким образом, чтобы систематически предотвращать появление уязвимостей SQL-инъекций, например, путем последовательного применения параметризованных запросов.
Ресурсы: CISA Secure by Design Pledge (сокращение классов уязвимостей), SSDF PW.5.1, CISA SQL Injection Secure by Design Alert .
Включение введенных пользователем данных в командные строки операционной системы ( CWE-78 )
Включение вводимых пользователем данных непосредственно в необработанное содержимое командной строки операционной системы в продуктах, используемых для обслуживания критически важной инфраструктуры или NCF, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране.
Рекомендуемые действия: Производители программного обеспечения должны создавать продукты таким образом, чтобы систематически предотвращать уязвимости, связанные с внедрением команд, например, путем последовательного обеспечения того, чтобы вводимые команды были четко отделены от содержания самой команды.
Ресурсы: CISA Secure by Design Pledge (сокращение классов уязвимостей), SSDF PW.5.1.
Наличие паролей по умолчанию ( CWE-1392 и CWE-1393 )
Выпуск продукта, используемого для обслуживания критически важной инфраструктуры или NCF, с паролями по умолчанию, которые CISA определяет как универсальные пароли, присутствующие по умолчанию во всем продукте, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения страны.
Рекомендуемые действия: Производители программного обеспечения должны гарантировать, что в продукте отсутствуют пароли по умолчанию, например:
Предоставление случайных, уникальных для каждого экземпляра начальных паролей для продукта.
Требование от пользователя, устанавливающего продукт, создать надежный пароль в начале процесса установки.
Предоставление ограниченных по времени паролей настройки, которые отключаются автоматически после завершения процесса настройки и требуют настройки безопасного пароля (или более безопасных подходов к аутентификации, таких как устойчивая к фишингу многофакторная аутентификация).
Требуется физический доступ для первоначальной настройки и указания уникальных учетных данных экземпляра.
Проведение кампаний или предложение обновлений, которые переводят существующие развертывания с паролей по умолчанию на более безопасные механизмы аутентификации.
Ресурсы: CISA Secure by Design Pledge (пароли по умолчанию), SSDF PW.9.1, Оповещение CISA Default Passwords Secure by Design Alert .
Наличие известных эксплуатируемых уязвимостей
Выпуск продукта, используемого в обслуживании критической инфраструктуры или NCF, который на момент выпуска включает компонент, содержащий эксплуатационную уязвимость, представленную в каталоге известных эксплуатируемых уязвимостей (KEV) CISA , является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности. Кроме того, если новый KEV, влияющий на продукт, опубликован в каталоге CISA, невыпуск исправления бесплатно для его пользователей своевременно, если KEV является эксплуатируемым в продукте, или невыполнение публичного документирования наличия уязвимости, если KEV не является эксплуатируемым в продукте, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности.
Рекомендуемые действия: Производители программного обеспечения должны исправить все известные эксплуатируемые уязвимости в компонентах программного обеспечения до выпуска. В случае публикации нового KEV в каталоге CISA производитель должен своевременно выпустить исправление бесплатно для своих пользователей (ни при каких обстоятельствах не позднее, чем за 30 дней) и четко предупредить пользователей о связанных с этим рисках, если не установить исправление.
Если производитель считает, что KEV не может быть использован в его продукте (например, потому что KEV можно использовать только через функцию, которая никогда не вызывается), производитель должен публично опубликовать письменную документацию, подтверждающую наличие KEV и объясняющую, почему его нельзя использовать в его продукте.[2]
Наличие программного обеспечения с открытым исходным кодом с известными уязвимостями, которые можно использовать
Выпуск продукта, используемого для обслуживания критической инфраструктуры или NCF, который на момент выпуска включает компоненты программного обеспечения с открытым исходным кодом, имеющие известные уязвимости, которые можно эксплуатировать, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности.[3] Кроме того, если впоследствии будут раскрыты уязвимости, которые можно эксплуатировать, во включенных компонентах с открытым исходным кодом, невыпуск исправления или другого бесплатного средства смягчения для пользователей продукта в своевременные сроки является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также для национального общественного здравоохранения и безопасности.
Рекомендуемые действия: Производители программного обеспечения должны ответственно потреблять и устойчиво вносить вклад в программное обеспечение с открытым исходным кодом, от которого они зависят. Это включает в себя принятие разумных усилий для оценки и защиты зависимостей своего программного обеспечения с открытым исходным кодом, предпринимая следующие действия:[4]
Ведение спецификации программного обеспечения (SBOM), описывающей все зависимости основного и стороннего программного обеспечения, как с открытым исходным кодом, так и проприетарного, и возможность предоставления ее клиентам.
Наличие установленного процесса управления внедрением программного обеспечения с открытым исходным кодом, включая принятие разумных мер для:
Запускать инструменты сканирования безопасности для каждого выбранного компонента программного обеспечения с открытым исходным кодом, включая его зависимости и транзитивные зависимости, а также для каждой последующей версии при ее обновлении.
Выбирайте проекты программного обеспечения с открытым исходным кодом, которые хорошо поддерживаются, и — при необходимости — вносите вклад в текущую поддержку проекта для поддержания ожидаемого стандарта качества.
Оцените альтернативы, чтобы определить и выбрать наиболее защищенный и обслуживаемый вариант.
Загружайте артефакты проектов программного обеспечения с открытым исходным кодом из репозиториев пакетов (или других соответствующих источников), которые соответствуют лучшим практикам безопасности .
Регулярно отслеживайте наличие распространенных уязвимостей и рисков (CVE) или других оповещений, связанных с безопасностью, таких как окончание жизненного цикла, во всех зависимостях программного обеспечения с открытым исходным кодом и обновляйте их по мере необходимости.
Кэшируйте копии всех зависимостей с открытым исходным кодом в собственных системах сборки производителя и не обновляйте продукты или клиентские системы напрямую из непроверенных общедоступных источников.
Включение стоимости обновления до новых основных версий зависимостей стороннего программного обеспечения с открытым исходным кодом в мероприятия по бизнес-планированию и обеспечение того, чтобы такие зависимости продолжали получать необходимые исправления безопасности в течение ожидаемого срока службы продукта.
Ресурсы: SSDF PW.4.4, Рекомендуемые практики ESF по управлению программным обеспечением с открытым исходным кодом и спецификации программного обеспечения , Определение и руководство по программному офису с открытым исходным кодом (OSPO) группы TODO .
Функции безопасности
Отсутствие многофакторной аутентификации
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, которые аутентифицируют пользователей, отсутствие поддержки многофакторной аутентификации (MFA) в базовой версии продукта является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также национального общественного здравоохранения и безопасности.
Кроме того, продукты, которые не включают MFA по умолчанию для учетных записей администраторов после 1 января 2026 года, опасны и значительно повышают риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности. Это не относится к продуктам, у которых объявленная дата окончания поддержки до 1 января 2028 года.
Рекомендуемое действие: Производители программного обеспечения должны либо поддерживать MFA изначально в продукте (если продукт сам обрабатывает аутентификацию), либо поддерживать в базовой версии продукта использование внешнего поставщика удостоверений, например, через единый вход. Требовать MFA для администраторов.
Ресурсы: CISA Secure by Design Pledge (многофакторная аутентификация), SSDF PW.9.
Отсутствие возможности сбора доказательств вторжений
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, опасно и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране не предоставлять клиентам артефакты и возможности в базовой версии продукта, достаточные для сбора доказательств распространенных форм вторжений, влияющих на продукт, которые как минимум включают:
Изменение конфигурации или чтение параметров конфигурации;
Идентификация (например, вход в систему и создание токенов) и сетевые потоки, если применимо; а также
Доступ к данным или создание бизнес-значимых данных.
Рекомендуемые действия:
В рамках базовой версии продукта производители программного обеспечения должны предоставлять журналы в стандартном отраслевом формате, относящиеся как минимум к перечисленным выше областям.
Для поставщиков облачных услуг и продуктов SaaS производители программного обеспечения должны хранить журналы в течение установленного периода времени (не менее 6 месяцев) без дополнительной платы.
Ресурсы: CISA Secure by Design Pledge (доказательства вторжений).
Организационные процессы и политики
Несвоевременная публикация CVE с CWE
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, опасно и значительно повышает риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности, если производитель программного обеспечения не выпустит CVE своевременно, как минимум, для всех критических или высокоэффективных уязвимостей (обнаруженных как внутри компании, так и третьей стороной). Кроме того, опасно и значительно повышает риск для национальной безопасности, национальной экономической безопасности и национального общественного здравоохранения и безопасности, если не включить поле CWE в каждую запись CVE.
Рекомендуемые действия: Производители программного обеспечения должны своевременно публиковать полные CVE, включая соответствующее поле CWE, для всех критических или имеющих высокое влияние уязвимостей.
Ресурсы: CISA Secure by Design Pledge (CVEs), SSDF RV.1.3.
Неопубликованная политика раскрытия информации об уязвимостях
Для продуктов, используемых в обслуживании критической инфраструктуры или NCF, отсутствие опубликованной политики раскрытия уязвимостей (VDP), которая включает продукт в свою сферу применения, является опасным и значительно повышает риск для национальной безопасности, национальной экономической безопасности, а также здоровья и безопасности населения в стране.
Рекомендуемые действия:
Производители программного обеспечения должны опубликовать VDP, который:
Разрешает проведение испытаний представителями общественности продукции, предлагаемой производителем;
Обязуется не рекомендовать и не возбуждать судебные иски против любого лица, добросовестно прилагающего усилия по соблюдению Программы добровольного развития,
Предоставляет четкий канал для сообщения об уязвимостях; и
Позволяет публично раскрывать информацию об уязвимостях в соответствии с передовой практикой скоординированного раскрытия информации об уязвимостях (CVD) и международными стандартами.
Производители программного обеспечения должны своевременно устранять все выявленные уязвимости с учетом степени риска.
Ресурсы: CISA Secure by Design Pledge (Политика раскрытия уязвимостей), SSDF RV.1.3, ISO 29147.
[1] Перечень распространенных слабостей.
[2] В идеале документация должна быть опубликована в формате, пригодном для машинной обработки, через Vulnerability Exploitability eXchange (VEX).
[3] Критические уязвимости определяются как уязвимости с оценкой Common Vulnerability Scoring System (CVSS) 9,0 или выше.
[4] Организации могут принять решение о создании офиса программ с открытым исходным кодом (OSPO) для централизации этой деятельности.
Ресурсные материалы
Неправильная практика обеспечения безопасности продукта — 508c
PDF , 755,21 КБ
Английский
Теги
Язык : английский
Темы : Безопасность и устойчивость критической инфраструктуры , Киберугрозы и рекомендации , Лучшие практики кибербезопасности , Многофакторная аутентификация , Организации и кибербезопасность , Услуги по обеспечению устойчивости , Защита сетей
Связанные ресурсы
01 ОКТ. 2024 Г.
ВНЕШНИЙ, ПУБЛИКАЦИЯ
Принципы кибербезопасности операционных технологий
20 НОЯБРЯ 2024 Г.
ПУБЛИКАЦИЯ
История успеха многофакторной аутентификации (MFA), устойчивой к фишингу: внедрение USDA Fast IDentity Online (FIDO)
26 ИЮНЯ 2024 Г.
Изучение безопасности памяти в критически важных проектах с открытым исходным кодом
20 ИЮНЯ 2024 Г.
Препятствия к внедрению единого входа (SSO) для малого и среднего бизнеса: выявление проблем и возможностей
Вернуться наверх
Темы
В центре внимания
Ресурсы и инструменты
Новости и события
Карьера
О
Агентство по кибербезопасности и безопасности инфраструктуры
Фейсбук
Твиттер
LinkedIn
Ютуб
Инстаграм
RSS
CISA Центральный
1-844-Сэй-CISA
СкажитеCISA@cisa.dhs.gov
Печать DHS
CISA.gov
Официальный сайт Министерства внутренней безопасности США
О CISA
Бюджет и производительность
DHS.gov
Равные возможности и доступность
Запросы FOIA
Закон «Нет страху»
Офис Генерального инспектора
политика конфиденциальности
Подписаться
Белый дом
USA.gov
Обратная связь с сайтом
Здравствуйте, sergii.p, Вы писали:
S>>C++ еще не удобен тем, что его сложно анализировать тому же GPT, в особенности когда дело касается компил-таймовых вещей. SP>кто о чём, а вшивый о бане
GPT вполне сносно может переводить простые языки. А вот плюсы с компил-таймом — часто спотыкается. Теряется контроль — люди как бы становятся незаменимыми.
Это хорошо для работников, но плохо для господ.
Работники добровольно не хотят отказываться — значит нужно под принуждением.
Здравствуйте, Muxa, Вы писали:
S>>GPT вполне сносно может переводить простые языки. M>И в чем бизнес вэлью этой деятельности?
Как вариант — можно обнулять людей. Люди привыкли писать на одном языке. Переводим автоматом все на другой язык и потом говорим людям что они должны работать дешевле, т.к. новый язык/технология им плохо знакомы, у них нет опыта — а их старая технология уже потеряла актуальность.
C++ не получится перевести автоматом и это ломает планы, теряется контроль.
_>Так это автономное федеральное агентство США. К остальным какое это отношение имеет. Всем кто против санкции?
Очевидно же, вендоры, которые захотят продавать софт американским (гос.) организациям обязаны будут выполнять.
Американский рынок самый большой и доходный. На вторых-третьих местах — EMEA и APAC.
Кстати в документе о роадмапе, обозначены регуляторы других государств: Австралия, Канада, UK, Новая Зеландия.
The U.S. Cybersecurity and Infrastructure Security Agency (CISA), National Security Agency (NSA), Federal Bureau of Investigation (FBI),
and the cybersecurity authorities of Australia, Canada, the United Kingdom, and New Zealand*(hereafter referred to as the authoring agencies) jointly developed this guidance as part of our collective Secure by Designcampaign.
United States Cybersecurity and Infrastructure Security Agency
United States National Security Agency
United States Federal Bureau of Investigation
Australian Signals Directorate’s Australian Cyber Security Centre
Canadian Centre for Cyber Security
United Kingdom National Cyber Security Centre
New Zealand National Cyber Security Centre
Computer Emergency Response Team New Zealand
_>Более того помимо небезопасных языков, есть небезопасные оси и небезопасное железо, и даже не безопасные производители и не безопасные поставщики. Короче кругом враги.
По железу см. раздел "Potential Future Mitigations: Using Hardware".
Производителей, их поставщиков и (суб)подрядчиков постепенно обяжут соответствовать новым требованиям.
Здравствуйте, Артём, Вы писали:
Аё>Господа, это песец, я считаю, — но если требованием сертификата соответствия продукта станет минимизация количества нативного кода- то компаниям ничего не остаётся делать.
Нет. Всё отлично. Гомы наконец добрались до руля и рулят так, как они умеют.
Здравствуйте, Muxa, Вы писали:
S>>Как вариант — можно обнулять людей. Люди привыкли писать на одном языке. Переводим автоматом все на другой язык M>Обязательно автоматом? M>Ручками переписать все не так-то и долго.
Очень дорого и долго, особенно когда языки плохо совместимы. Парадигмы C++ компил-таймовые — фактически не воспроизвести на поп. языках.
Если же возможен авто-перевод — это стоит НОЛЬ. Ну может 600 баксов на вычислительные мощности.
S>>и потом говорим людям что они должны работать дешевле, т.к. новый язык/технология им плохо знакомы M>Тебе чо реально эту байку пытались впарить, и ты повелся? Ебать ты лох M>Если ты перепишешь код с ххх на ууу, то ты снизишь спрос на программистов ххх и повысишь спрос на программистов ууу. Выгода для работодателя около нуля (минус потери на смену команды) — рыночек порешает.
Так yyy могут стоить дешевле, т.к. туда набежало куча и язык проще.
Американское агентство по кибербезопасности и инфраструктуре (оказывается, и такое бывает) требует явного запрета на C/C++ там, где существует "memory-safe" альтернатива. Запрет в новых продуктах, и требует роадмап на переписывание существующих продуктов.
Господа, это песец, я считаю, — но если требованием сертификата соответствия продукта станет минимизация количества нативного кода- то компаниям ничего не остаётся делать.
The development of new product lines for use in service of critical infrastructure or NCFs in a memory-unsafe language (e.g., C or C++) where there are readily available alternative memory-safe languages that could be used is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety.
For existing products that are written in memory-unsafe languages, not having a published memory safety roadmap by January 1, 2026 is dangerous and significantly elevates risk to national security, national economic security, and national public health and safety. The memory safety roadmap should outline the manufacturer’s prioritized approach to eliminating memory safety vulnerabilities in priority code components (e.g., network-facing code or code that handles sensitive functions like cryptographic operations). Manufacturers should demonstrate that the memory safety roadmap will lead to a significant, prioritized reduction of memory safety vulnerabilities in the manufacturer’s products and demonstrate they are making a reasonable effort to follow the memory safety roadmap.
Здравствуйте, Артём, Вы писали:
Аё>Господа, это песец, я считаю, — но если требованием сертификата соответствия продукта станет минимизация количества нативного кода- то компаниям ничего не остаётся делать.
Здравствуйте, пффф, Вы писали:
V>>Россиянин. V>>- А я не написал политику конфиденциальности на сайте. П>А можно тут поподробнее, а то не очень понятно, о чем речь
Появилась уголовная ответственность за незаконное использование и передачу, сбор и хранение компьютерной информации, содержащей персональные данные. Наказание — штраф в размере 300 000—400 000 р или принудительные работы на срок до четырех лет, либо лишение свободы на срок до четырех лет.
Если речь о компьютерной информации, содержащей персональные данные несовершеннолетних или биометрию, наказание строже — штраф до 700 000 р или принудительные работы на срок до пяти лет, либо лишение свободы на срок до пяти лет.
Если указанные выше действия повлекли тяжкие последствия либо совершены организованной группой, наказанием может стать лишение свободы на срок до десяти лет.
Ввели уголовную ответственность за создание сайта, предназначенного для хранения и распространения персональных данных, полученных незаконным путем. Это касается и отдельных страниц, например тем на форумах.
Самое тупое, что под персональные данные подводят не только фио и адрес проживания, но и адрес электронной почты, то есть выдуманный логин от почты на левом сайте, или статический ip адрес пользователя, или куки, которые хранит даже не сервер.
А за всё за это владелец сайта может получить штраф и сесть в тюрьму. Штрафы поговаривают хотят увеличить до сотен миллионов рублей. А к примеру российское правительство очень любит вербовать в тюрьмах в добровольно принудительном порядке в армию.
Это же выгода три в одном.
1. Запретить распространять любую информацию. Наглядный пример ютуб, фейсбук, инстаграм, линкедин и кучу других включая российские проекты.
2. Собрать штрафы на войну, причём без понимания, что у людей нет ни 30 млн. рублей, ни тем более 300 млн. рублей.
3. Вербовка в армию уголовников. Причём кто-то думает, что я тут пишу юмор, типа преувеличение и всё такое. Нет, правительство России действительно приняли такие законы.
При этом в России десятилетиями убивают учёных и бизнесменов.
Просто из-за всяких смехопанорам кажется, что я ещё один клоун. А власть в том же СССР специально разрешила подобные передачи.
В них рассказывались по сути ужасные вещи, которые должны вызывать гнев, а не смех. Но есть давний приём включать записанный на фоне смех, плюс ведущий постоянно улыбается.
А дальше понеслась чернуха. И все улыбаются и смеются. Хотя так в принципе в любой стране радующихся людоедскому режиму, а вот свой режим считающих непогрешимым.
S>Как вариант — можно обнулять людей. Люди привыкли писать на одном языке. Переводим автоматом все на другой язык
Обязательно автоматом?
Ручками переписать все не так-то и долго.
S>и потом говорим людям что они должны работать дешевле, т.к. новый язык/технология им плохо знакомы
Тебе чо реально эту байку пытались впарить, и ты повелся? Ебать ты лох
Если ты перепишешь код с ххх на ууу, то ты снизишь спрос на программистов ххх и повысишь спрос на программистов ууу. Выгода для работодателя около нуля (минус потери на смену команды) — рыночек порешает.
V>Самое тупое, что под персональные данные подводят не только фио и адрес проживания, но и адрес электронной почты, то есть выдуманный логин от почты на левом сайте, или статический ip адрес пользователя, или куки, которые хранит даже не сервер.
Ты, как и большинство ведущих экспертов диванного интернета, о персональных данных рассуждаешь где-то с середины. То есть пропустил вводную с определением что такое собственно персональные данные.
По этому у тебя 1+1 не складывается и дичь получается.
Здравствуйте, kov_serg, Вы писали:
M>>Приличные ISV, заинтересованные в безопасности кода, многое из предложенных мер и так предпринимают на добровольной основе. M>>Тот же периодический аудит кода сторонней организацией.
_>Это только для critical infrastructure and NCFs. Для всех остальных они требовать не могут. А если могут то на каком основании?
А ты будешь выпускать две версии, безопасную для гос. и "как повезет" для всех остальных?
Так делать cd-ejector, наверное, можно, но что-то более серьезное?
SK>>А ты будешь выпускать две версии, безопасную для гос. и "как повезет" для всех остальных? _>Вы пишите для американских военных и сепецслужб? Разве там нет требования отсутствия знания русского языка? _>Для ракет будет realtime софт на web
условные американские военные, кроме rocket scince с удовольствием покупают сопутствующий софт: офис, мессенджеры, PIM, notepad, charts, tools, more..
Закупают много и часто. Соответственно хочешь им продать — изволь соответствовать запросам покупателя.
Помнится, была история как кто-то получил запрос и продал американскому госзаказчику (оказавшемуся военной базой) 1000 копий какой-то утилиты (емнип конвертер форматов файлов), а потом удивлялся здесь, на rsdn, что было активировано всего 3 лицензии.
SK>>Так делать cd-ejector, наверное, можно, но что-то более серьезное? _>Всё перепишут на flutter, dart и typescript
Здравствуйте, Privalov, Вы писали:
P>А простые языки — это какие? P>Вот если попадётся чатгпт софтина полувековой давности, написанная на Фортране 4 или Коболе, он справится? P>Я не сочиняю, такой софт работает. Кобол — в банках и прочих финансовых конторах. Фортран до сих пор считает матан. Я видел и то и другое.
Не пробовал. C++ -компилтаймовый — плохо понимает, путается, дает неверные решения. Чел. проверял даже версию за $200.
Здравствуйте, Артём, Вы писали:
Аё>Американское агентство по кибербезопасности и инфраструктуре (оказывается, и такое бывает) требует явного запрета на C/C++ там, где существует "memory-safe" альтернатива. Запрет в новых продуктах, и требует роадмап на переписывание существующих продуктов.
Аё>Господа, это песец, я считаю, — но если требованием сертификата соответствия продукта станет минимизация количества нативного кода- то компаниям ничего не остаётся делать.
Давно пора. У вас были десятилетия на исправление языка или переход на другие языки. А вы чем занимались, бизнесовали? Бизнес-велью ковали куем?
Здравствуйте, velkin, Вы писали:
V>Я уже даже представил, как владельцы сайтов живущие в России шкерятся в глубоком вебе.
V>Россиянин. V>- А я не написал политику конфиденциальности на сайте.
А можно тут поподробнее, а то не очень понятно, о чем речь
Здравствуйте, Артём, Вы писали:
Аё>Американское агентство по кибербезопасности и инфраструктуре (оказывается, и такое бывает) требует явного запрета на C/C++ там, где существует "memory-safe" альтернатива. Запрет в новых продуктах, и требует роадмап на переписывание существующих продуктов.
А на каком основании оно хочет что либо требовать?
Аё>Американское агентство по кибербезопасности и инфраструктуре (оказывается, и такое бывает) Founded: November 16, 2018
Небойсь специально его основали, чтобы С++ изгнать.
Как много веселых ребят, и все делают велосипед...
Аё>Американское агентство по кибербезопасности и инфраструктуре (оказывается, и такое бывает) требует явного запрета на C/C++ там, где существует "memory-safe" альтернатива. Запрет в новых продуктах, и требует роадмап на переписывание существующих продуктов.
Использование memory safe languages (MSL) лишь один из путей повышения безопасности.
Там даже написано:
MSLs, whether they use a garbage collection model or not, will almost certainly need to rely on libraries written in languages such as C and C++.
Although there are efforts to re-write widely used libraries in MSLs, no such effort will be able to re-write them all anytime soon. For the foreseeable future, most developers will need to work in a hybrid model of safe and unsafe programming languages.
Developers who start writing in an MSL will need to call C and C++ libraries that are not memory safe.
Здравствуйте, m2user, Вы писали:
M>Как регулятор. Введут в обязательный набор требований ТЗ для гос.заказа и т.п.
Так это автономное федеральное агентство США. К остальным какое это отношение имеет. Всем кто против санкции?
Более того помимо небезопасных языков, есть небезопасные оси и небезопасное железо, и даже не безопасные производители и не безопасные поставщики. Короче кругом враги.
Здравствуйте, m2user, Вы писали:
_>>Так это автономное федеральное агентство США. К остальным какое это отношение имеет. Всем кто против санкции?
M>Очевидно же, вендоры, которые захотят продавать софт американским (гос.) организациям обязаны будут выполнять.
А кто отчитывается вендорам, чем собран бинарник?
M>По железу см. раздел "Potential Future Mitigations: Using Hardware". M>Производителей, их поставщиков и (суб)подрядчиков постепенно обяжут соответствовать новым требованиям.
M>>Очевидно же, вендоры, которые захотят продавать софт американским (гос.) организациям обязаны будут выполнять. _>А кто отчитывается вендорам, чем собран бинарник?
Вендор (ISV) это и есть производитель софта. Т.е. он будет отчитываться, а не ему.
Как я понимаю, выполнение требований — под честное слово.
Там же куча всего, что со стороны не проверишь: например по автотестированию и использованию статических анализвторов кода.
Даже если проведен сторонний аудит процесса разработки.
Но если при обнаружении очередной уязвимости всплывёт факт обмана, то это немалые репутационные издержки.
Да в контрактах на этот случай вероятно что-то прописано будет.
_>Нас ждёт новый прекрасный безопасный мир
Приличные ISV, заинтересованные в безопасности кода, многое из предложенных мер и так предпринимают на добровольной основе.
Тот же периодический аудит кода сторонней организацией.
Здравствуйте, m2user, Вы писали:
M>Вендор (ISV) это и есть производитель софта. Т.е. он будет отчитываться, а не ему. M>Как я понимаю, выполнение требований — под честное слово. M>Там же куча всего, что со стороны не проверишь: например по автотестированию и использованию статических анализвторов кода. M>Даже если проведен сторонний аудит процесса разработки.
А сторонние модули, драйвера и ось.
M>Но если при обнаружении очередной уязвимости всплывёт факт обмана, то это немалые репутационные издержки. M>Да в контрактах на этот случай вероятно что-то прописано будет.
M>Приличные ISV, заинтересованные в безопасности кода, многое из предложенных мер и так предпринимают на добровольной основе. M>Тот же периодический аудит кода сторонней организацией.
Это только для critical infrastructure and NCFs. Для всех остальных они требовать не могут. А если могут то на каком основании?
S>Очень дорого и долго
Нет, вполне посильная задача.
Я сам таким занимался.
S>Так yyy могут стоить дешевле
До повышения спроса на программистов ууу да, после повышения уже нет, а то и дороже окажется когда всё кинуться переписывать на ууу.
Здравствуйте, Shmj, Вы писали:
M>>Ручками переписать все не так-то и долго.
S>Очень дорого и долго, особенно когда языки плохо совместимы. Парадигмы C++ компил-таймовые — фактически не воспроизвести на поп. языках.
Здравствуйте, Stanislaw K, Вы писали:
V>>Самое тупое, что под персональные данные подводят не только фио и адрес проживания, но и адрес электронной почты, то есть выдуманный логин от почты на левом сайте, или статический ip адрес пользователя, или куки, которые хранит даже не сервер. SK>Ты, как и большинство ведущих экспертов диванного интернета, о персональных данных рассуждаешь где-то с середины. То есть пропустил вводную с определением что такое собственно персональные данные. SK>По этому у тебя 1+1 не складывается и дичь получается.
Это потому, что лично ты можешь ориентироваться лишь на мои слова. Вот тебе и кажется, что это дичь. А были приговоры суда, опять же найденные веб поиском. Догадайся, что произошло.
А произошло буквально следующее. Судьи оказалось ни ухом ни рылом в компьютерных технологиях. Тебе по наивности может показаться, что в суде сидят суперэксперты, а законы прописаны до мелочей, только бери и пользуйся.
Но судьи выносящие приговоры вообще не в курсе компьютерных терминов или что и как работает. Странно да? Нет, не странно. В итоге судьи принимают решения на основе собственных суждений, заметь абсолютно нубских.
То есть всё по произволу. И твоя ошибка в том, что ты воспринимаешь российские суды как хорошо отлаженную программу. Цель же государственной системы наказать.
Думаешь власти России что-ли не понимают, что делают, когда дают Роскомнадзору штрафовать владельцев сайтов без суда. Да это я говорил о суде, а оказалось что и этого не требуется.
Можешь удивиться, но в России кучу штрафов выписывают без суда. Просто деньги очень нужны. Государственнаая система давно уже сгнила с головы, настолько, что даже её описание кажется чушью.
Но у всего есть причины. Задайся вопросом зачем российским властям гнобить российский интернет. А потому что потому. Был бы человек, а статья найдётся.
Конечно, если брать за основу китайский интернет, то в российском интернете не произошло ничего особенного. Это только если сравнивать старый рунет и современный происходят изменения.
Если уж начинать с самого начала, то для российских властей интернет и любой сайт это средство массовой информации. Сами же власти привыкли скрывать или искажать информацию, режим КТО.
Соответственно им проще убить весь научный и развлекательный контент, нежели разбираться, что там и к чему. Но ты продолжай верить в то, что государство это идеально отлаженая программа, а не просто сиюминутная хотелка власть имущих.
Да, удивительно, а мужики то не знали, что законы в России пишут под ситуацию, когда власть имущим что-то надо от народа. Смешно, но огромная часть народа думает, что российские законы это что-то вроде законов физики или на худой конец грамотно продуманы для улучшения жизни населения.
Здравствуйте, velkin, Вы писали:
SK>>По этому у тебя 1+1 не складывается и дичь получается.
V>Это потому, что лично ты можешь ориентироваться лишь на мои слова. Вот тебе и кажется, что это дичь. А были приговоры суда, опять же найденные веб поиском. Догадайся, что произошло.
Произошло то, что ты неправильно их интерпретировал или доверился неправильной интерпретации других "ведущих экспертов" интернета.
V>А произошло буквально следующее. Судьи оказалось ни ухом ни рылом в компьютерных технологиях.
V> принимают решения на основе собственных суждений, заметь абсолютно нубских.
Суды не имеют собственных суждений. Суды выносят приговоры на основании соответствия обвинения, представленных доказательств и заключений сделанных профильными экспертами, будь то убийства, экономические или компьютерные преступления.
V>То есть всё по произволу. И твоя ошибка в том, что ты воспринимаешь российские суды как
воспринимаю как есть. И практический опыт показывает правильность моего восприятия.
Твоя ошибка в том, что ты думаешь за других (без малейшей попытки выяснить как они думают на самом деле). По этому ты ошибаешься в отношении меня, ты ошибаешься в отношении судов, ты ошибаешься в подавляющем большинстве таких попыток (я бы сказал во всех, но иногда у тебя получается угадать, по незначительным вопросам, например "будет ли человек выходить на следующей остановке").
Здравствуйте, Stanislaw K, Вы писали:
SK>Твоя ошибка в том, что ты думаешь за других (без малейшей попытки выяснить как они думают на самом деле). По этому ты ошибаешься в отношении меня, ты ошибаешься в отношении судов, ты ошибаешься в подавляющем большинстве таких попыток (я бы сказал во всех, но иногда у тебя получается угадать, по незначительным вопросам, например "будет ли человек выходить на следующей остановке").
Дело не в том что я, ты или суды думают, а что штрафы реальны и уже выписаны. А теперь в России разрешили сажать людей в тюрьму за факт наличия сайта.
Остальное это просто балабольство ни о чём чтобы доказать я лично не знаю что. Тебе виднее о чём у тебя речь.
Кстати, по закону сайты ещё должны находиться в России. И если сайтовладелец россиянин, то он попал на российскую карательную систему.
Забавно даже, санкции позволяют импортозаместить хостинг, но российским властям снова хочется всё запретить и не пущать.
Здравствуйте, Stanislaw K, Вы писали:
SK>А ты будешь выпускать две версии, безопасную для гос. и "как повезет" для всех остальных?
Вы пишите для американских военных и сепецслужб? Разве там нет требования отсутствия знания русского языка?
Для ракет будет realtime софт на web
SK>Так делать cd-ejector, наверное, можно, но что-то более серьезное?
Всё перепишут на flutter, dart и typescript
Здравствуйте, velkin, Вы писали:
SK>>Твоя ошибка в том, что ты думаешь за других (без малейшей попытки выяснить как они думают на самом деле). По этому ты ошибаешься в отношении меня, ты ошибаешься в отношении судов, ты ошибаешься в подавляющем большинстве таких попыток (я бы сказал во всех, но иногда у тебя получается угадать, по незначительным вопросам, например "будет ли человек выходить на следующей остановке").
V>Дело не в том что я, ты или суды думают, а что штрафы реальны и уже выписаны.
Ознакомься с материалами дел. К сожалению сайты те уже не доступны (хотя некоторые можно посмотреть в вебархиве) но там штрафы заработаны честным целенаправленным трудом, а вовсе не по мотивам политического преследования и не ради "палок".
V>А теперь в России разрешили сажать людей в тюрьму за факт наличия сайта.
V>Кстати, по закону сайты ещё должны находиться в России.
нет.
V> И если сайтовладелец россиянин, то он попал на российскую карательную систему.
V>Забавно даже, санкции позволяют импортозаместить хостинг, но российским властям снова хочется всё запретить и не пущать.
ты что там, аэрозольным навальным надышался? из твоих слов рисуется страшная картина пубертатно-протестного "хлебушка в голове".
SK>условные американские военные, кроме rocket scince с удовольствием покупают сопутствующий софт: офис, мессенджеры, PIM, notepad, charts, tools, more..
А кто это будет проверять для массового софта?
Здравствуйте, TheBeginner, Вы писали:
SK>>условные американские военные, кроме rocket scince с удовольствием покупают сопутствующий софт: офис, мессенджеры, PIM, notepad, charts, tools, more.. TB>А кто это будет проверять для массового софта?
Аудиторы, бухгалтеры, юристы, секретчики и безопасники. Мало что-ли там работает служит дармоедов?
Здравствуйте, Stanislaw K, Вы писали:
V>>Кстати, по закону сайты ещё должны находиться в России. SK>нет.
Да, если говорить о персональных данных россиян. Просто ты не знаешь новое законодательство включая то, которому уже несколько лет. Никогда не читал про то как российские власти пытались "приземлить" иностранные сервисы.
Это кстати их формулировка. Ну, а когда не получилось всё пошло по беспределу. Штрафы и всё такое, теперь уже уголовка. Главная проблема, что иностранные сервисы могут спокойно уйти из этого дурдома. А вот россияне которых и будут чморить по новым законам останутся.
Собственно только россиян и будут чморить. Одуванчики и прочие ромашки конечно не замечают как банят крупнейшие сервисы. Ах да, усё только на пользу.
Здравствуйте, Stanislaw K, Вы писали:
V>>Забавно даже, санкции позволяют импортозаместить хостинг, но российским властям снова хочется всё запретить и не пущать. SK> SK>ты что там, аэрозольным навальным надышался? из твоих слов рисуется страшная картина пубертатно-протестного "хлебушка в голове".
Здравствуйте, velkin, Вы писали:
V>>>Кстати, по закону сайты ещё должны находиться в России. SK>>нет.
V>Да, если говорить о персональных данных россиян. Просто ты не знаешь новое законодательство включая то, которому уже несколько лет. Никогда не читал про то как российские власти пытались "приземлить" иностранные сервисы.
Знаю. По этому не храню персональных данных на зарубежных хостингах.
(и не понимаю зачем это делать, без всякого закона).
Это у тебя какая-то религиозная самоцель, собрать ПД вывезти за границу там их хранить и обрабатывать?
зачем?
Здравствуйте, velkin, Вы писали:
V>>>Забавно даже, санкции позволяют импортозаместить хостинг, но российским властям снова хочется всё запретить и не пущать. SK>> SK>>ты что там, аэрозольным навальным надышался? из твоих слов рисуется страшная картина пубертатно-протестного "хлебушка в голове".
V>Закон о ЦОДах. Поздравляю с разморозкой.
Здравствуйте, Shmj, Вы писали:
S>GPT вполне сносно может переводить простые языки. А вот плюсы с компил-таймом — часто спотыкается. Теряется контроль — люди как бы становятся незаменимыми.
А простые языки — это какие?
Вот если попадётся чатгпт софтина полувековой давности, написанная на Фортране 4 или Коболе, он справится?
Я не сочиняю, такой софт работает. Кобол — в банках и прочих финансовых конторах. Фортран до сих пор считает матан. Я видел и то и другое.
Здравствуйте, Shmj, Вы писали:
S>Не пробовал. C++ -компилтаймовый — плохо понимает, путается, дает неверные решения. Чел. проверял даже версию за $200.
Значит, нет у гпт ни малейшего шанса понять ни Фортран 4, ни Кобол.
Здравствуйте, Shmj, Вы писали:
S>Не пробовал. C++ -компилтаймовый — плохо понимает, путается, дает неверные решения. Чел. проверял даже версию за $200.
Чат ЖПТ уже в курсе про два С++?
--
Справедливость выше закона. А человечность выше справедливости.
Здравствуйте, Stanislaw K, Вы писали:
SK>условные американские военные, кроме rocket scince с удовольствием покупают сопутствующий софт: офис, мессенджеры, PIM, notepad, charts, tools, more.. SK>Закупают много и часто. Соответственно хочешь им продать — изволь соответствовать запросам покупателя.
Хочешь е6&нутые требования получи *100 к цене. Так?
Здравствуйте, m2user, Вы писали:
M>Где ты там увидел запрет? Требуется roadmap на повышение безопасности.
Эта тема как бы добровольная, но строится на peer pressure. Уже сейчас существуют добровольные "ISO сертификации на секьюрность", а работает это так- компания-заказчик в B2B говорит "мы прошли сертификацию", потом таких заказчиков становится 70% и они хором спрашивают "мы ISO- certified, а вы? Вот ваш конкурент сертифицируется".
Теперь тема с CISA это то де самое, но они сдвигают окно овертона дальше, и уже целятся в C/C++.