Die US-Bundesregierung drängt die Softwarehersteller, bis zum 1. Januar 2026 auf die Verwendung von C/C++ zu verzichten.
Diese Empfehlung geht aus einem gemeinsamen Bericht der CISA und des FBI hervor, in dem speicherunsichere Sprachen als gefährlich für die nationale Sicherheit bezeichnet werden.
Die Behörden argumentieren, dass C/C++ zu viele Freiheiten bei der Speicherverwaltung bietet, so dass es den Programmierern überlassen bleibt, potenzielle Schwachstellen zu erkennen. Bedrohungsakteure können diese Probleme ausnutzen, um Angriffe auf kritische Infrastrukturen zu starten.
Der Bericht sagt zwar nicht ausdrücklich, dass die Verwendung “unsicherer” Sprachen die Hersteller von Regierungsprojekten disqualifizieren würde, und er ist auch nicht bindend, aber die Botschaft ist klar: Diese Praktiken sind für Arbeiten im Zusammenhang mit der nationalen Sicherheit inakzeptabel.
Richtlinien und Empfehlungen
Den Softwareherstellern wird empfohlen, bis 2026 eine Roadmap zur Verbesserung der Speichersicherheit zu erstellen oder auf sicherere Sprachen wie Python oder Rust umzusteigen.
Der Bericht hebt weitere besonders riskante Praktiken hervor, darunter Standardpasswörter und Schwachstellen bei Benutzereingaben. Um diese Gefahren einzudämmen, empfehlen die Behörden stärkere Sicherheitsmaßnahmen wie eindeutige Passwörter und eine mehrstufige Authentifizierung.
Als Alternative haben Entwickler von D-Programmiersprachen Wege gefunden, C++-Code mit verschiedenen Methoden zu verknüpfen, darunter die mühsame Konstruktion eines C-Wrappers oder die Verwendung automatisierter Tools wie SWIG.
Manche Hersteller entscheiden sich für eine Neuimplementierung ihres C++-Codes in einer anderen Sprache.
Bewährte Verfahren für die Schnittstelle zu C++
Die Syntax von D ermöglicht es Entwicklern, C++-Funktionen direkt zu deklarieren und aufzurufen, sofern sie die korrekten Aufrufkonventionen einhalten. Dieser Ansatz ermöglicht eine nahtlose Integration mit bestehenden Bibliotheken und Frameworks.
Indem sie sicherere Sprachen und bewährte Verfahren einsetzen, können Softwarehersteller das Risiko für ihre Kunden verringern und die Sicherheit insgesamt erhöhen.
Die Frist für die Einhaltung der empfohlenen Richtlinien ist der 1. Januar 2026. Den Softwareherstellern wird jedoch dringend empfohlen, diese Maßnahmen so schnell wie möglich umzusetzen, um einen reibungslosen Übergang zu gewährleisten.
Durch die Einführung von sichereren Codierungsstandards und -sprachen können sie die nationale Sicherheit erhöhen und gleichzeitig einen positiven Wandel in der gesamten Softwarebranche bewirken.