Aggiornamenti recenti Aprile 30th, 2025 9:31 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- La RSA Conference accoglie le soluzioni italiane di cybersecurity
- Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report di Google
- Una patch di Windows introduce una nuova vulnerabilità
- Scoperto un nuovo spyware Android che colpisce l’esercito russo
- Stop alla Privacy Sandbox di Google
Più della metà dei software open-source critici non usa codice memory-safe
Il 52% dei progetti open-source più “critici” per le organizzazioni non utilizza codice memory-safe: è quanto emerge da un report redatto da CISA, FBI, dall’Australian Cyber Security Centre, dall’Australian Signal Directorate e dal Canadian Centre for Cyber Security.
La definizione di “software critico” utilizzata per analizzare i 172 progetti del report è fornita dal NIST e sta a indicare tutti quei software che vengono eseguiti con privilegi elevati, che hanno accesso diretto o privilegiato alle risorse di rete o di computazione, che vengono usati per gestire l’accesso ai dati o a tecnologie operativi, che eseguono funzioni critiche per il business o che operano al di fuori dei normali confini di controllo con privilegi elevati.
Pixabay
L’analisi prosegue il lavoro svolto per “The case for Memory -Safe Roadmaps”, una pubblicazione che analizzava le vulnerabilità di memory-safety indicandole come la classe più diffusa di vulnerabilità software, in grado di pesare notevolmente sulle finanze aziendali.
In seguito a questo primo report, l’Office of the National Cyber Director della Casa Bianca ha richiesto ai programmatori di usare solo linguaggi di programmazione memory-safe, ovvero quei linguaggi che impediscono di utilizzare in maniera errata la memoria e introdurre bug legati a questo problema.
Un linguaggio memory-safe gestire la memoria al posto del programmatore per evitare che si verifichino allocazioni o utilizzi errati; un esempio classico è l’accesso all’n-esimo elemento di un array che contiene n-1 elementi. Linguaggi di programmazione memory-safe comprendono Rust, Go, C#, Java, Swift, Python e JavaScript; al contrario, linguaggi quali assembly, C, C++, Cython e D non sono memory-safe.
Dall’analisi è emerso non solo che più della metà dei progetti open source critici è scritta in linguaggi non memory-safe, ma anche che i progetti più estesi sono scritti in “maniera sproporzionata” con linguaggi unsafe: dei 10 progetti più grandi, in base al numero di linee di codice, tutti hanno una porzione di codice memory-unsafe che supera il 26%; per 4 di questi la percentuale supera il 94%.
Il problema non riguarda solo i progetti in sé, ma anche le loro dipendenze: di tre progetti memory-safe analizzati, ognuno di essi dipendeva da componenti terze scritte con linguaggi memory-unsafe.
Pixabay
Il report evidenzia che questi linguaggi vengono usati principalmente nei progetti in cui le performance e le limitazioni alle risorse sono fattori critici, come nei kernel e nei driver dei sistemi operativi, in software per la crittografia e in programmi di networking. “Può essere un investimento utile per la sicurezza aggiornare questi tipi di progetti con linguaggi memory-safe, e anche i nuovi progetti dovrebbero prendere in considerazione l’uso di linguaggi memory-safe. I recenti progressi consentono ai linguaggi di programmazione memory-safe, come Rust, di raggiungere le prestazioni dei linguaggi memory-unsafe” si legge nell’analisi.
Gli esperti di sicurezza ribadiscono l’importanza di usare linguaggi sicuri dal punto di vista della memoria e applicare i principi di sicurezza in fase di progettazione del software e scrittura di codice.
Condividi l'articolo
TeamViewer conferma: spie russe hanno hackerato la rete aziendale
Nuova vulnerabilità di MOVEit Transfer usata in tentativi di attacco
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat... -
XorDDoS, il DDoS contro Linux evolve e continua a mietere... I ricercatori di Cisco Talos hanno pubblicato una nuova... -
Slopsquatting: quando l’IA consiglia pacchetti che... La diffusione dell’IA e il progressivo miglioramento... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
La RSA Conference accoglie le soluzioni italiane di... Quest’anno la RSA Conference, il più grande evento... -
Oltre 70 vulnerabilità 0-day sfruttate nel 2024: il report... Secondo una recente analisi pubblicata dal Threat...
-
Una patch di Windows introduce una nuova vulnerabilità Una delle ultime patch di Windows, rilasciata per risolvere... -
Scoperto un nuovo spyware Android che colpisce... I ricercatori di Dr. Web, fornitore russo di software... -
Stop alla Privacy Sandbox di Google A sei anni dal primo annuncio, Google ha deciso di...
Ransomware: la serie
No posts found.
