O governo dos EUA alertou empresas e desenvolvedores de software sobre “más práticas” no desenvolvimento de produtos, incluindo o uso de linguagens de programação C e C++. Com a publicação ‘ Práticas ruins de segurança de produtos ‘, o FBI e a CISA fornecem uma visão geral de métodos arriscados e métodos de trabalho, especialmente para empresas de software que desenvolvem software para infraestrutura vital e segurança nacional. O documento analisa especificamente os recursos do produto, recursos de segurança e processos e políticas organizacionais que descrevem como uma empresa de software aborda a segurança.
O uso de linguagens de programação sem memória é descrito pelo FBI e pela CISA como perigoso e aumenta “significativamente” o risco para a segurança nacional, segurança econômica nacional, saúde pública e segurança pública.
Para software existente criado em uma linguagem de programação “não segura para memória”, um roteiro deve estar disponível até 1º de janeiro de 2026, no qual o desenvolvedor descreve como alternar para uma linguagem de programação “segura para memória” ou usar opções de hardware para evitar vulnerabilidades de segurança. Isso diz respeito, por exemplo, a estouros de buffer, que no pior dos casos podem permitir que um invasor execute código arbitrário em sistemas.
Outras coisas sobre as quais o governo dos EUA alerta são a entrada do usuário em sequências de consulta SQL, pois isso pode levar à injeção de SQL, a presença de senhas padrão, a presença de vulnerabilidades exploráveis conhecidas, a presença de software de código aberto com vulnerabilidades exploráveis conhecidas, a falta de autenticação multifator (MFA), falha em publicar números CVE em tempo hábil para vulnerabilidades encontradas e falha em publicar políticas de divulgação de vulnerabilidades para relatar vulnerabilidades.
Veja o post original em: CisoAdvisor
