差距还很大！大多数关键开源项目未使用内存安全代码

文章预览

美国网络安全和基础设施安全局(CISA)发布了一项研究，调查了172个关键开源项目是否容易受到内存漏洞的影响。该报告由CISA、联邦调查局以及澳大利亚和加拿大组织共同签署，是对2023年12月发布的“内存安全路线图案例”的后续行动，旨在提高人们对内存安全代码重要性的认识。内存安全语言是旨在防止常见内存相关错误（如缓冲区溢出、释放后使用和其他类型的内存损坏）的编程语言。比如Golang、Java、C#和Python通过垃圾收集来管理内存，自动回收释放的内存以防止被利用。CISA报告中称，观察到许多关键开源项目部分是用内存不安全的语言编写的，有限的依赖性分析表明项目通过依赖关系继承了用内存不安全的语言编写的代码。最后，CISA建议软件开发人员使用内存安全的语言（例如Rust、Java和GO）编写新代码，并将现有项目（尤其是关键组件）转 ………………………………