De Amerikaanse overheid heeft softwarebedrijven en -ontwikkelaaars gewezen op 'bad practices' bij het ontwikkelen van producten, waaronder het gebruik van programmeertalen C en C++ als er alternatieve 'memory-safe' programmeertalen beschikbaar zijn. Begin dit jaar riep het Witte Huis programmeurs ook al op om 'memory-safe' programmeertalen te gebruiken. De nu verschenen adviezen van de FBI en het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zijn niet bindend.

Met de publicatie 'Product Security Bad Practices' geven de FBI en het CISA naar eigen zeggen een overzicht van risicovolle methodes en werkwijzes, met name voor softwarebedrijven die software voor de vitale infrastructuur en nationale veiligheid ontwikkelen. Er wordt specifiek gekeken naar producteigenschappen, beveiligingsfuncties en organisatorische processen en beleid die beschrijven hoe een softwarebedrijf met security omgaat.

Geen C en C++

Concreet wordt geadviseerd geen 'memory-unsafe' programmeertalen zoals C en C++ te gebruiken als er alternatieve 'memory-safe' programmeertalen beschikbaar zijn. Het gebruik van 'memory-unsafe' programmeertalen wordt door de FBI en het CISA omschreven als gevaarlijk en vergroot de risico voor de nationale veiligheid, nationale economische veiligheid, volksgezondheid en publieke veiligheid 'aanzienlijk'.

Voor bestaande software die in een 'memory-unsafe' programmeertaal is gemaakt zou uiterlijk 1 januari 2026 een roadmap beschikbaar moeten zijn waarin de ontwikkelaar beschrijft hoe er naar een 'memory-safe' programmeertaal wordt overgestapt of hardwaremogelijkheden worden gebruikt om memory safety kwetsbaarheden te voorkomen. Het gaat dan bijvoorbeeld om buffer overflows, waardoor een aanvaller in het ergste gevalle willekeurige code op systemen kan uitvoeren.

Andere zaken waarvoor de Amerikaanse overheid waarschuwt is gebruikersinvoer in SQL query strings, aangezien dit tot SQL Injection kan leiden, de aanwezigheid van standaard wachtwoorden, de aanwezigheid van bekende misbruikte kwetsbaarheden, de aanwezigheid van opensourcesoftware met bekende te misbruiken kwetsbaarheden, een gebrek aan multifactorauthenticatie (MFA), het niet tijdig publiceren van CVE-nummers voor gevonden kwetsbaarheden en het niet publiceren van vulnerability disclosure beleid voor het melden van kwetsbaarheden.