评Stroustrup评NSA说C++不是内存安全语言

最新推荐文章于 2024-06-09 05:00:00 发布
最新推荐文章于 2024-06-09 05:00:00 发布
阅读量568 收藏
点赞数 4
分类专栏: Rust C/C++ 文章标签: 安全 C++ NSA Stroustrup Rust
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/liigo/article/details/129367550
版权
文章讨论了BjarneStroustrup对于C++语言内存安全问题的态度,以及批评者对其立场的反驳。Stroustrup被认为对静态检查工具有不同意见,而Rust语言在提升内存安全性方面的显著成就被提及。多个科技巨头的数据表明,内存安全问题是软件漏洞的主要来源,而Stroustrup的观点被指未能聚焦这一关键问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

针对上月初(2023年2月初)的新闻(内容见标题),当时我在头条上随手写下一条评论:

Stroustrup这家伙快成杠精了,对抗全世界,估计过几年他自己先崩溃。他嘴里的静态检查工具是一个混沌体,游离于编译系统之外,鱼龙混杂,质量好点的还收费。他们对现代C++语言的改进仅限于增加新功能,并不填历史坑,该坑人的地方还是坑人,除非旧代码用新语言重写——那是人干的事吗。谷歌微软火狐等多个统计源数据显示内存安全占所有漏洞的三分之二,他过来给你扯“安全有很多种不止内存安全”,咱能不能先抓重点不要扯蛋。反观Rust对内存安全的提升是让人看得见的,无论是理论还是实践。

由于是随看随评,只写了简单的几句话,并没有深入展开,也没打算深入展开。

但是后来我看到 Jimmy Hartzell 对同一事件的评论,深感英雄所见略同,而他又论述的很详细,因而转载如下:

https://www.thecodedmessage.com/posts/stroustrup-response/

补充:

针对我评论中“谷歌微软火狐等多个统计源数据显示内存安全占所有漏洞的三分之二”的数据来源:

  • 微软估计,在过去十年中,其产品中70%的漏洞都是由缺乏内存安全性引起的。
  • 谷歌发现,Chrome的严重安全漏洞中有70%是内存安全问题。
  • Android团队报告说,他们90%的漏洞都是内存安全问题。
  • Mozilla指出,火狐在其风格组件中74%的安全漏洞是内存安全漏洞。
  • 最近的一项研究表明,60-70%的iOS和macOS漏洞与内存安全有关。
  • 零号工程的一项分析发现,在野外被利用的0天中,超过80%是由于缺乏记忆安全性。
C++程序设计语言(中文版)pdf格式【Bjarne Stroustrup(本贾尼·斯特劳斯特卢普)博士】
06-27
C++程序设计语言(中文版)pdf格式 Bjarne Stroustrup(本贾尼·斯特劳斯特卢普)博士的经典之作 C++之父的重要著作
c++程序设计语言特别版(Bjarne Stroustrup著 裘宗燕译)
03-26
C++程序设计语言特别版》是Bjarne Stroustrup所著,裘宗燕翻译的一本关于C++编程的经典著作。这本书详细介绍了C++语言的各个方面,是学习和掌握C++的重要参考资料。 C++是一种静态类型、编译式、通用的、大小写...
为了避免内存攻击,美国国家安全局提倡Rust、C#等语言
farway000的博客
12-27 1016
本文翻译自两篇文章,第一篇是对美国国家安全局在“软件内存安全”网络安全信息表的解读,第二篇是普及什么是内存安全,为什么它很重要?第一篇 为了避免内存攻击,美国国家安全局提倡Rust、C#、Go、Java、Ruby 和 Swift,但将 C 和 C++ 置于一边本文来自翻译(谷歌翻译加持)。原文作者:Liam Tung原文标题:NSA to developers: Think about switc...
您是否优先考虑内存安全的编程语言
u012516914的专栏
04-06 124
来自五个不同国家政府的网络安全机构去年 12 月呼吁开发人员使用内存安全的编程语言。你准备好了吗?去年 12 月,来自多个国家(美国、英国、加拿大、澳大利亚、新西兰)的网络安全机构共同发布了一份名为“内存安全路线图案例”的文件。虽然内存安全编程语言不是讨论主题,但它是一个重要的安全问题,应该被理解。首先,快速解释内存安全与内存不安全编程语言。在内存不安全语言中,开发人员负责手动分配和释放内存,这可...
[技术讨论]编写内存安全C++代码的几个技巧
ic2121的博客
02-09 410
如果开发人员注意他们正在做的事情并遵循行业最佳实践和流程,那么使用C/C++也可以避免内存安全语言帮助开发人员避免的许多错误。导致内存问题的一个重要问题是使用原始指针。内存安全编程语言可以帮助解决特定问题,并降低与内存相关的错误的可能性,但它们并万能。当然可以使用它们,在编写测试代码时完全可以.但使用它们有机会引入与内存相关的错误,如内存泄漏、碎片和其他潜在问题。虽然许多开发人员看到了一个新的时尚的开发语言和一些技巧来刷新简历为他们的下一份工作做准备,但对于许多团队来,立即改用内存安全语言是不必要的!
C++ 之父:Rust内存安全语言安全性并不优于C++
轻松学C语言
02-28 507
点击蓝字关注我们因公众号更改推送规则,请点“在看”并加“星标”第一时间获取精彩技术分享来源于网络,侵删在美国国家安全局 (NSA) 建议组织从 C/C++ 切换到内存安全语言(如C#、Rust、Go、Java、Ruby 或 Swift) 之后。C++ 之父 Bjarne Stroustrup回应称,在他看来,NSA 报告中提到的 “安全” 编程语言在重要应用程序中实际上并不优于 C++。Bj...
美国白宫、C++ 之父……深入解析这场关于 C++ 内存安全的全球辩论
优快云资讯
04-01 968
从历史来看,这场关于 C++内存安全的各方辩论。原文链接:https://johnfarrier.com/looking-for-pointers-the-c-memory-safety-debate/作者 | John E. Farrier翻译 | 郑丽媛随着权威机构最近的估,围绕 C++内存安全的讨论变得更加激烈。不久前白宫发出强烈呼吁,建议开发者转向内存安全的编程语言。总体来,这一...
美国国家安全局为何鼓励弃用 C/C+,使用更安全Rust、C#等!
farway000的博客
11-16 599
如果此前 Kotlin、Dart、Julia、Carbon等后起之秀向老牌编程语言发起挑战进攻都是小打小闹,那么这一次C、C++ 这几种常青藤编程语言则是真实地陷入了尴尬的境地。  近日,美国国家安全局(NSA)发布了最新的指南,鼓励多个组织将编程语言从 C/C++转为使用内存安全语言,如 C#、Rust、Go、Java、Ruby 和 Swift,主要原因是这样可以帮助软件开发者和使用者...
编程语言概述
一个梦想(I Have a dream)
03-07 2313
收集编程语言的发展历程,谈谈现状。
C++ 会变成像 Rust 一样的安全语言
weixin_49376454的博客
06-09 1368
C++ 会变成像 Rust 一样的安全语言
“放弃 C/C++,它太不安全了”,美国 CISA 等多家机构联合警告!
优快云资讯
12-08 1064
整理 | 屠敏出品 | 优快云(ID:优快云news)在编程语言界,每当提及「安全」一词时,很多人无形之中便将 C、C++ 划在围城之外。继去年美国国家安全局(NSA)发出预警之后,12 月 6 日,美国网络安全和基础设施局 (CISA)也开始联合 NSA、美国联邦调查局 (FBI) 以及澳大利亚、加拿大、英国和新西兰的网络安全机构发布了一份 23 页的《内存安全路线图指南》,呼吁软件开发商需...
基于C++语言的Bjarne Stroustrup设计思想核心的源码分析
最新发布
02-12
Stroustrup的设计思想强调高效性、灵活性和安全性,他试图让C++成为能够覆盖尽可能多编程范式的通用语言。在C++的核心源码中,这种设计理念得到了充分的体现。C++语言能够支持过程化编程、面向对象编程、泛型编程等...
C++程序设计语言(特别版) Bjarne Stroustrup著 习题详解(含目录)
03-27
C++程序设计语言(特别版) Bjarne Stroustrup著 习题详解(含目录)
C++程序设计语言[Bjarne.Stroustrup]英文原版.pdf
05-02
### C++程序设计语言 ...通过阅读《C++程序设计语言》,读者不仅能够学到扎实的语言基础,还能了解到先进的编程理念和技术趋势,对于想要深入研究或使用C++进行开发的人员来,是一本不可或缺的好书。
Linux 软件看门狗 watchdog
热门推荐
Liigo's blog
07-02 6万+
Linux 自带了一个 watchdog 的实现,用于监视系统的运行,包括一个内核 watchdog module 和一个用户空间的 watchdog 程序。内核 watchdog 模块通过 /dev/watchdog 这个字符设备与用户空间通信。用户空间程序一旦打开 /dev/watchdog 设备(俗称“开门放狗”),就会导致在内核中启动一个1分钟的定时器(系统默认时间),此后,用户空间程序需
基本的HTML文本解析器的设计和实现(C/C++源码),图文并茂
Liigo's blog
01-19 3万+
作者:庄晓立 (liigo) 日期:2011-1-19 原创链接:http://blog.youkuaiyun.com/liigo/archive/2011/01/19/6153829.aspx 转载请保持本文完整性,并注明出处:http://blog.youkuaiyun.com/liigo 关键字:HTML,解析器(Parser),节点(Node),标签(Tag)   这是进入2011年以来,本人(lii
修改Go语言(golang)编译器源代码让它支持UTF-8 BOM
Liigo's blog
04-16 3万+
Go语言(golang)第一个正式版Go1发布了,但是这个新兴的编程语言还是常不完善。这不,我(Liigo)又发现它的编译器竟然不支持编译带BOM的UTF-8编码的.go源文件。这就很奇怪,该语言明明要求源代码文件.go必须是UTF-8编码,但有不允许带UTF-8 BOM。要知道,这个世界上带BOM的文件太多了,很多文本编辑器/代码编辑器/IDE支持生成、甚至默认生成带有BOM的UTF-8文件。
Microsoft Visual C++ 与 MinGW,附图
Liigo's blog
03-26 3万+
2008.12.23补记:我对mingw的了解确实不多,本文是我(liigo)“对mingw的初步印象和感性认识”(而“对mingw的盖棺定论式的价”),文中有错误之处在所难免,敬请批指正;如果有读者受我误导,深表歉意。不想因为此文浪费某些读者的宝贵时间,特此明。这几天试用wxWidgets,分别用VC6和MinGW5编译通过,下面是一些记录。MinGW:根据我的理解,它是一个Wind
tinyweb: C语言 + libuv 开发的最精简的WebServer (附源码)
Liigo's blog
06-22 2万+
libuv 是一个高性能事件驱动网络库,是 Node.js 的底层实现。经过我(Liigo)在实际项目中的深度应用,发现 libuv 在代码质量、运行效率、网络吞吐量、稳定性、跨平台等多方面都相当优秀,是一款不可多得的开源产品,可以从质量到名气都不差。libuv 的缺点是易用性太差,文档严重不足,入手门槛较高。在这些方面它跟陈硕的muduo 库差距很大,muduo的易用性太棒了,还有一本
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值