By: mk 
on 17 March 2025 - 09:36
Tags:
Topics:
ทีมวิจัยความปลอดภัยไซเบอร์ของกูเกิล ออกมาเรียกร้องให้วงการไอทีสร้างมาตรฐานความปลอดภัยของหน่วยความจำ (memory safety standards)
กูเกิลบอกว่าตอนนี้เราเห็นการสร้างภาษาโปรแกรมที่เป็น memory-safety มากขึ้นเรื่อยๆ ทั้งภาษาใหม่แบบ Kotlin, Rust หรือซับเซ็ตของภาษาเก่า เช่น Safe Buffers for C++ ซึ่งพิสูจน์แล้วว่าช่วยลดช่องโหว่ด้านหน่วยความจำลงได้มาก
ในฝั่งฮาร์ดแวร์ก็มีเทคนิคใหม่ๆ อย่าง Memory Tagging Extension (MTE) ของ ARM และ Capability Hardware Enhanced RISC Instructions (CHERI) ของชิปตระกูล RISC (เช่น RISC-V)
ปัญหาคือตอนนี้ต่างคนต่างทำ กูเกิลจึงเรียกร้องให้อุตสาหกรรมไอทีมาร่วมกันสร้างกรอบมาตรฐานกว้างๆ เพื่อให้เทคนิคเหล่านี้ทำงานร่วมกันได้ดีขึ้น โดยตอนนี้กูเกิลไปร่วมมือกับสมาคมวิชาชีพด้านคอมพิวเตอร์ Association for Computing Machinery (ACM) และออกบทความ It Is Time to Standardize Principles and Practices for Software Memory Safety เผยแพร่ผ่านช่องทางวารสาร ACM แล้ว และจะเดินหน้าผลักดันเรื่องนี้ต่อไปในระยะยาว
ที่มา - Google Online Security
Get latest news from Blognone
Follow @twitterapi
Comments
etc
ถ้า program ใช้งาน thread เมื่อไร มีแต่ข้อสุดท้ายที่ยังพอให้ compiler check ได้
จะให้ทำ runtime check ก็ไม่ work กับ low level program
มันอยู่ที่ ฝีมือ/จรรยาบรรณของ programmer แล้ว
ถ้าจะให้ทุกภาษาเหมือนกันหมด ยกเลิกภาษาที่ไม่ memory safety ไปเลยง่ายกว่า
ดูจากการขยับตัวในช่วงนี้ น่าจะเห็นความร่วมมือในเรื่องนี้กันอย่างจริงจังภายในปีหรือสองปีนี้ค่อนข้างแน่ ภาษาอย่าง C++ อาจจะต้องออก core guideline ในการ implement ที่ชัดเจน รวมถึงชุดเครื่องมือตรวจสอบฯเบื้องต้น
อันนี้ขอถามเซียน Rust หน่อยครับว่าภาษา Rust น่าจะมีเครื่องมือตรวจสอบการใช้งาน unsafe ด้วยใช่มั้ยครับ กรณีที่ไหนที่จะรับรองได้ว่า การใช้งาน unsafe แบบไหนที่ถือว่าปลอดภัย 😅
..: เรื่อยไป
safety unsafe 🤔
เข้าใจว่ามีออกมาแล้ว แต่ไม่นิยม
พรี่ไลนัสจะถูกใจสิ่งนี้เหรอครับ
I need healing.