Un nuevo informe de la Casa Blanca se centra en proteger la informática en la raíz de los ciberataques; en este caso, reduciendo la superficie de ataque con lenguajes de programación seguros para la memoria como Python, Java y C# y promoviendo la creación de medidas estandarizadas para la seguridad del software. El informe insta a los profesionales de la tecnología a: Implementar lenguajes de programación seguros para la memoria. Desarrollar y respaldar nuevas métricas para medir la seguridad del hardware. Este informe, titulado Regreso a los componentes básicos: un camino hacia un software seguro y medible, pretende transmitir a los profesionales de TI y líderes empresariales algunas de las prioridades del gobierno de EE. UU. cuando se trata de proteger el hardware y el software en la fase de diseño. El informe es un llamado a la acción sugerida, con consejos y pautas flexibles. «Incluso si se solucionaran todas las vulnerabilidades conocidas, la prevalencia de vulnerabilidades no descubiertas en todo el ecosistema de software aún presentaría un riesgo adicional», afirma el informe. «Un enfoque proactivo que se centra en eliminar clases enteras de vulnerabilidades reduce la superficie de ataque potencial y da como resultado un código más confiable, menos tiempo de inactividad y sistemas más predecibles». Las vulnerabilidades de seguridad de la memoria son una preocupación en los lenguajes de programación Las vulnerabilidades de seguridad de la memoria existen desde hace más de 35 años, señala el informe, sin que aparezca ninguna solución. Los autores del informe afirman que no existe una solución milagrosa para todos los problemas de ciberseguridad, aunque el uso de lenguajes de programación con seguridad de memoria incorporada puede reducir una gran cantidad de posibles tipos de ataques cibernéticos. La ONCD señala que C y C++ son lenguajes de programación muy populares utilizados en sistemas críticos pero no son seguros para la memoria. Rust es un lenguaje de programación seguro para la memoria, pero no ha sido probado en el tipo de sistemas aeroespaciales que el gobierno desea proteger particularmente. Los creadores de software y hardware son las partes interesadas más relevantes para hacerse cargo de la creación de hardware seguro para la memoria, dijo la ONCD. Esas partes interesadas podrían trabajar en la creación de nuevos productos en lenguajes de programación seguros para la memoria o en la reescritura de funciones o bibliotecas críticas. ¿Qué lenguajes de programación son seguros para la memoria? Python, Java, C#, Go, Delphi/Object Pascal, Swift, Ruby, Rust y Ada son algunos lenguajes de programación seguros para la memoria, según un informe de la NSA de abril de 2023. Nuevas métricas para medir la seguridad del software El informe afirma que «es fundamental desarrollar métricas empíricas que midan la calidad de la ciberseguridad del software». Este es un esfuerzo más difícil que cambiar a lenguajes de programación seguros para la memoria; después de todo, los desafíos y beneficios de crear métricas o herramientas generales para medir y evaluar la seguridad del software se han discutido durante décadas. Desarrollar métricas para medir la seguridad del software es difícil por tres razones principales: la ingeniería de software puede ser tanto un arte como una ciencia, y la mayor parte del software no es uniforme. El comportamiento del software puede ser muy impredecible. El desarrollo de software avanza muy rápidamente. Para superar estos desafíos, la ONCD señala que cualquier métrica desarrollada para evaluar la seguridad del software debería ser monitoreada y abierta a cambios constantemente, y el software debería medirse de forma dinámica, no estática. Cobertura de seguridad de lectura obligada Respuesta de la industria a las prioridades del informe El vicepresidente y analista de Gartner, Paul Furtado, dijo a TechRepublic por correo electrónico que «en última instancia, todo lo que podemos hacer para minimizar el potencial de un incidente de seguridad es beneficioso para el mercado». Señaló que las empresas pueden tener un largo camino por recorrer para reducir su superficie de ataque utilizando métodos como los sugeridos en el informe de la ONCD. “Incluso dentro de las aplicaciones desarrolladas internamente se depende de bibliotecas de códigos subyacentes. Todos estos entornos y aplicaciones tienen algún nivel de deuda tecnológica”, dijo Furtado. “Hasta que la deuda tecnológica se aborde en toda la cadena, el riesgo subyacente persiste, aunque se comience a reducir la superficie de ataque. El informe proporciona un camino a seguir para centrarse en nuevos desarrollos, pero la realidad es que faltarán muchos años para abordar toda la deuda tecnológica residual que aún puede dejar a las organizaciones susceptibles de ser explotadas”. VER: Prepárese para el panorama de ciberseguridad del futuro en los principales eventos tecnológicos de 2024. (TechRepublic) Algunas grandes organizaciones tecnológicas ya están de acuerdo con las recomendaciones del informe. «Creemos que la adopción de lenguajes seguros para la memoria presenta una oportunidad para mejorar la seguridad del software y proteger aún más la infraestructura crítica de las amenazas a la ciberseguridad», dijo Juergen Mueller, director de tecnología de SAP, en una declaración a la ONCD. «Felicito a la Oficina del Director Cibernético Nacional por dar el importante primer paso más allá de la política de alto nivel, traduciendo estas ideas en llamados a la acción que las comunidades técnicas y empresariales puedan entender», dijo Jeff Moss, presidente de DEFCON y Black Hat. , en declaraciones a la ONCD. «Apoyo la recomendación de adoptar lenguajes de programación seguros para la memoria en todo el ecosistema porque hacerlo puede eliminar categorías enteras de vulnerabilidades que hemos estado curando durante los últimos treinta años». Conclusiones para la alta dirección sobre áreas de interés para la ciberseguridad El informe señala que la seguridad no está solo en manos del director de seguridad de la información de una empresa que utiliza el software afectado; en cambio, los directores de información, que tomarán la iniciativa en la compra de software, y los directores de tecnología de las empresas que fabrican software en particular deberían compartir la responsabilidad de los esfuerzos de ciberseguridad entre sí y con el CISO. Según el informe, estos líderes deberían fomentar la ciberseguridad en tres áreas principales: Desarrollo de software: de mayor interés para los CTO y CIO. El análisis de productos de software es de mayor interés para los CTO y CIO. Un entorno de ejecución resiliente, de mayor interés para los CISO.
Etiqueta: ir
Los lenguajes de programación de Google hicieron dos movimientos notables en el índice TIOBE entre enero y febrero de 2024: Go alcanzó el puesto 8 (su posición más alta en estas clasificaciones) y Carbon entró en el top 100. El índice de la comunidad de programación TIOBE muestra las tendencias año tras año en Lenguajes de programación basados en el volumen de los motores de búsqueda. Go brilla en el octavo lugar en el índice de la comunidad de programación de TIOBE «Gracias a su creciente adopción en la industria, Go parece ser un lenguaje que tiene la capacidad de permanecer en el top 10 del índice TIOBE durante mucho tiempo», escribió el CEO de TIOBE Software, Paul Jansen. la publicación del Índice TIOBE de febrero. VER: La lista completa de los diez primeros de febrero muestra Python, C y C++ en sus primeros lugares habituales. (TechRepublic) Cobertura de lectura obligada para desarrolladores Go se lanzó en noviembre de 2009, apenas unos años después del lanzamiento del conjunto de software empaquetado como Google Workspace, que incluye Gmail y Google Docs. Ganó el premio TIOBE al idioma del año 2009, lo que indica que ganó la mayor popularidad durante todo el año. Go descendió gradualmente hasta la posición 122 en 2015. En 2015, comenzó un agresivo ciclo de lanzamiento de medio año y poco a poco volvió a la prominencia. «Con cada nuevo lanzamiento, Go mejoró», escribió Jansen. «Paralelamente, Docker y Kubernetes (ambos escritos en Go) comenzaron a volverse muy populares a partir de 2016. Esto ayudó a recuperar la confianza en Go». Go se usa ampliamente, particularmente para programación back-end, servicios web y API. “Tiene la misma curva de aprendizaje baja [as Python]pero es más fácil de distribuir (también entre plataformas)”, dijo Jansen a TechRepublic en un correo electrónico. «Es más rápido y escalable». VER: Curso intensivo de Python (Academia TechRepublic) Carbon ingresa al top 100 del índice de la comunidad de programación TIOBE El lenguaje experimental de código abierto Carbon ingresa al top 100 de TIOBE por primera vez. Carbon es un lenguaje de programación muy joven desarrollado por el ingeniero de Google Chandler Carruth en 2022. Desarrolló Carbon para trabajar con código C++ y sistemas de compilación C++ existentes. Carbon está destinado a proporcionar los beneficios de C++ al tiempo que agrega una sintaxis más simple, un sistema genérico moderno y una organización de código modular. Carbon se utiliza a menudo para programación back-end, servicios web y API. Jansen dijo a TechRepublic que es notable que Carbon haya tardado “tanto” en llegar al top 100. “El otro idioma de Google, Go, entró en el top 20 del índice TIOBE dos meses después de su nacimiento. El carbono tiene ahora más de un año y medio y las cosas están cambiando más rápido hoy en día”, afirmó. «Entonces, si realmente hubiera sido un éxito, ya debería haber estado cerca del top 10 en lugar de estar entre los 100 primeros». Tendencias de TIOBE de febrero de 2023 a febrero de 2024 En febrero de 2024, los tres lenguajes de programación principales son Python, C y C++. Sin embargo, todos perdieron popularidad a lo largo de 2023 en el sistema de clasificación patentado de TIOBE. Otros cambios importantes entre febrero de 2023 y febrero de 2024 son: C# tuvo el mayor crecimiento año tras año con un +1,15 %. JavaScript ganó popularidad del séptimo al sexto lugar. SQL ganó popularidad del octavo al séptimo lugar. Visual Basic cayó del 6º al 9º lugar. Fortran subió dramáticamente del puesto 24 al 11.