国家安全局发布软件内存安全新建议

关键要点

国家安全局NSA近日发布了一系列新建议，旨在对抗普遍存在的软件内存安全隐患。这些隐患主要包括逻辑错误、错误的操作顺序、未初始化变量的使用以及不当的内存管理，这些都会导致远程代码执行。根据SecurityWeek的报道，组织可以通过采用内存安全的编程语言，例如Go、C#、Rust、Java、Ruby和Swift，来减轻软件内存安全问题。然而，NSA指出，这些语言仍可能会因使用非内存安全的库或执行不当操作而面临风险。

进一步加强非内存安全语言的安全性可以通过使用静态和动态应用程序安全测试来实现。这些措施有助于避免如内存泄漏、缓冲区溢出、用户在使用后的释放useafterfree和竞争条件等问题。此外，NSA还建议采用地址空间布局随机化ASLR、控制流保护CFG和数据执行防护DEP等编译和执行环境技术。

“通过使用内存安全语言和现有的代码增强防御手段，许多内存漏洞可以得到预防、减轻，或者使网络攻击者非常难以利用。”国家安全局表示。