La falta de seguridad de C ++ es una verdadera serpiente marina. Debe decirse que Desde 2022 La agencia de inteligencia Amécine (NSA) no está tierna con el famoso lenguaje de programación, llegando a recomendar a las empresas que recurran a otras más seguras como C#, Go, Java, Ruby, Rust y Swift. El riesgo principal, según ella, está vinculado a su falta de seguridad en términos de acceso a la memoria. Después de subir al nicho varias veces - Como en marzo pasado - Para defender C ++, su creador Bjarne Strustrup ahora pide a la comunidad que establezca su nivel de seguridad.

Según el registroEl Sr. Stroustrup ha ordenado al Comité de Estandarización de C ++, WG21, que actúe rápidamente. Para esto, el creador ofrece adoptar su marco de seguridad de memoria, perfiles. "Claramente, esta no es una nota técnica tradicional que ofrece un nuevo idioma u otra característica de la biblioteca. Este es un llamado a una acción urgente, en parte en respuesta a ataques graves y sin precedentes contra C ++", dijo el creador. En otro mensaje enviado el 13 de febrero a la lista de distribución SG23 sobre seguridad, el Sr. Stroustrup ha llamado aún más la atención sobre un informe de CISA según el cual, para el 1 de enero de 2026, los proveedores deben eliminar todas las vulnerabilidades de seguridad vinculadas al acceso a la memoria, o deben adoptar un lenguaje de programación seguro en este nivel.

Se acerca a los enfoques de acceso de memoria divergente

La llamada de la CISA a depreciar C/C ++ para 2026 no deja mucho tiempo para reaccionar, aunque ciertas voces como la de Robin Rowe Behind Trapc (una iniciativa para responder a la memoria de los lenguajes C y C ++) se escuchan. Notablemente evoca el proyecto de perfiles, defendido por Bjarne Stroustrup que, según él, no sería una solución milagrosa. "Si está marcando su código para aplicar un perfil, ciertas características del lenguaje C/C ++ dejarán de funcionar", advirtió el Sr. Rowe al registro. Además de TRAPC y perfiles, hay otros proyectos como FILC, Mini-C y C ++ Safe

David Chisnall, investigador de la Universidad de Cambridge y director de Systèmes Architecture en Sci Semiconductor, también expresó su escepticismo en cuanto a soluciones de seguridad de memoria en respuesta al llamado a la acción respaldada por el Sr. Stroustrup. "Hoy en día, muy poco se escribe en un solo idioma y la seguridad de la memoria entre los idiomas es importante", escribió. "Si escribe un núcleo de óxido con un script Lua, pero LUA no respeta el modelo de propiedad de óxido único, es muy difícil interoperar con total seguridad. Es importante tener herramientas que permitan una interoperabilidad segura".