on
ทีมวิจัยความปลอดภัยไซเบอร์ของกูเกิล ออกมาเรียกร้องให้วงการไอทีสร้างมาตรฐานความปลอดภัยของหน่วยความจำ (memory safety standards)
กูเกิลบอกว่าตอนนี้เราเห็นการสร้างภาษาโปรแกรมที่เป็น memory-safety มากขึ้นเรื่อยๆ ทั้งภาษาใหม่แบบ Kotlin, Rust หรือซับเซ็ตของภาษาเก่า เช่น Safe Buffers for C++ ซึ่งพิสูจน์แล้วว่าช่วยลดช่องโหว่ด้านหน่วยความจำลงได้มาก
ในฝั่งฮาร์ดแวร์ก็มีเทคนิคใหม่ๆ อย่าง Memory Tagging Extension (MTE) ของ ARM และ Capability Hardware Enhanced RISC Instructions (CHERI) ของชิปตระกูล RISC (เช่น RISC-V)
ปัญหาคือตอนนี้ต่างคนต่างทำ กูเกิลจึงเรียกร้องให้อุตสาหกรรมไอทีมาร่วมกันสร้างกรอบมาตรฐานกว้างๆ เพื่อให้เทคนิคเหล่านี้ทำงานร่วมกันได้ดีขึ้น โดยตอนนี้กูเกิลไปร่วมมือกับสมาคมวิชาชีพด้านคอมพิวเตอร์ Association for Computing Machinery (ACM) และออกบทความ It Is Time to Standardize Principles and Practices for Software Memory Safety เผยแพร่ผ่านช่องทางวารสาร ACM แล้ว และจะเดินหน้าผลักดันเรื่องนี้ต่อไปในระยะยาว
ที่มา - Google Online Security
ไม่อ่าน/เขียน memory
rattananen Mon, 17/03/2025 - 10:33
etc
ถ้า program ใช้งาน thread เมื่อไร มีแต่ข้อสุดท้ายที่ยังพอให้ compiler check ได้
จะให้ทำ runtime check ก็ไม่ work กับ low level program
มันอยู่ที่ ฝีมือ/จรรยาบรรณของ programmer แล้ว
ถ้าจะให้ทุกภาษาเหมือนกันหมด ยกเลิกภาษาที่ไม่ memory safety ไปเลยง่ายกว่า
ดูจากการขยับตัวในช่วงนี้
btoy Mon, 17/03/2025 - 11:45
ดูจากการขยับตัวในช่วงนี้ น่าจะเห็นความร่วมมือในเรื่องนี้กันอย่างจริงจังภายในปีหรือสองปีนี้ค่อนข้างแน่ ภาษาอย่าง C++ อาจจะต้องออก core guideline ในการ implement ที่ชัดเจน รวมถึงชุดเครื่องมือตรวจสอบฯเบื้องต้น
อันนี้ขอถามเซียน Rust หน่อยครับว่าภาษา Rust น่าจะมีเครื่องมือตรวจสอบการใช้งาน unsafe ด้วยใช่มั้ยครับ กรณีที่ไหนที่จะรับรองได้ว่า การใช้งาน unsafe แบบไหนที่ถือว่าปลอดภัย 😅
safety unsafe 🤔
hisoft Mon, 17/03/2025 - 14:54
In reply to ดูจากการขยับตัวในช่วงนี้ by btoy
safety unsafe 🤔
เข้าใจว่ามีออกมาแล้ว
PH41 Mon, 17/03/2025 - 23:04
In reply to ดูจากการขยับตัวในช่วงนี้ by btoy
เข้าใจว่ามีออกมาแล้ว แต่ไม่นิยม
พรี่ไลนัสจะถูกใจสิ่งนี้เหรอคร
darkleonic Mon, 17/03/2025 - 15:04
พรี่ไลนัสจะถูกใจสิ่งนี้เหรอครับ