Neue Sicherheitsanforderungen des Weißen Hauses und des Office of the National Cyber Director
Im Hinblick auf die Veröffentlichung eines Berichts des US-amerikanischen Office of the National Cyber Director (ONCD) mit der Empfehlung, dass „zukünftige Software speichersicher sein sollte“, hat das Weiße Haus gestern eine Pressemitteilung herausgegeben. Das klingt wie Musik für unsere Ohren! Denn dieses Ziel verfolgen wir mit unserer Plattform Fastly Compute schon lange. Aber genug mit dem Lob für das ONCD. In diesem Blogpost möchten wir Ihnen zeigen, wie die Tech-Community ihre Pläne noch schneller umsetzen kann, indem sie sich auch auf bestehende Software konzentriert. Werfen wir also zunächst einen Blick auf die Erklärung des Weißen Hauses und erläutern anschließend, wie wir auch bestehenden Code speichersicherer machen können. Seitens des Weißen Hauses heißt es:
„Technologiehersteller können das Auftreten ganzer Klassen von Sicherheitslücken im digitalen Ökosystem verhindern, indem sie speichersichere Programmiersprachen nutzen.“ (Source)
Wir freuen uns über diese Ankündigung, denn sie ist ein großer Meilenstein auf dem Weg zu einem deutlich sichereren Internet, bei dem ganze Fehlerklassen, die sich über Jahrzehnte hinweg in Softwareprogramme eingeschlichen haben, für Millionen oder sogar Milliarden von Nutzern effektiv behoben werden. Das ONCD nennt in seinem Bericht die Programmiersprache als den wichtigsten Baustein:
„Dieser Bericht konzentriert sich auf die Programmiersprache als primärer Baustein und untersucht die Hardware-Architektur und formale Methoden als ergänzende Ansätze, um ähnliche Ergebnisse zu erzielen.“ (Source)
So weit, so gut! Aber das ist gerade einmal der Anfang. Der nächste notwendige Schritt besteht darin, auch bei Sprachen ohne Speichersicherheit für mehr Sicherheit zu sorgen. Neue, speichersichere Programmiersprachen wie Rust sind großartig und grundlegend für diese Revolution. Aber wir können nicht einfach darauf hoffen, dass alles im Internet mithilfe von spannenden neuen Sprachen neu geschrieben wird – besonders dann nicht, wenn wir auch die Sicherheit bestehender, „unsicherer“ Sprachen verbessern können.
Wir können zum Beispiel Plattformen wie Fastly Compute ins Leben rufen, die von Haus aus sicher sind. Plattformen, die Ihnen eine Programmierumgebung mit speichersicheren Sprachen bieten und formale Verifizierungstechniken verwenden, um die Sicherheit der Plattform zu gewährleisten.
Wir pflichten der Auffassung des ONCD im Hinblick auf sichere Sprachen bei. Deshalb nutzen wir für die Entwicklung der Fastly Plattform Rust und bieten SDKs in mehreren sicheren Sprachen wie Rust, JavaScript und Go an. Und weil wir auch, was den Einsatz formaler Methoden angeht, mit dem ONCD übereinstimmen, verwenden wir sie an wichtigen Stellen unserer Plattform – zum Beispiel CraneLift. Aber was ist mit den Milliarden von Codezeilen, die bereits in speicherunsicheren Sprachen geschrieben und bereitgestellt wurden und aktiv genutzt werden? Der ganzen Welt zu sagen, sie solle alles stehen und liegen lassen und in Rust neu zu schreiben beginnen, ist einfach nicht praktikabel. Es gibt kein Patentrezept, aber wir arbeiten an einer Technologie, die die Gefahr deutlich mindert: WebAssembly.
Und das funktioniert so: Erstens sorgt der geschützte Stack von WebAssembly für Kontrollflussintegrität. Zweitens lässt sich mit der granularen Isolierung (zum Beispiel von Anfragen untereinander und von der Fastly Plattform) das schlanke Sandboxing von WebAssembly nutzen. Und drittens arbeiten wir an dem Komponentenmodell, das es ermöglicht, verschiedene Teile einer einzigen Anwendung voneinander zu trennen und das Prinzip des geringsten Privilegs anzuwenden.
Das Fastly Team ist ein Vorreiter in Sachen sichere Zukunft des Internets – von der Entwicklung der Programmiersprache Rust über die Entwicklung und das Wachstum von WebAssembly bis hin zu neuen und sichereren Protokollen. Und wir bleiben am Ball, weil wir an eine Zukunft glauben, in der Onlineerlebnisse nicht nur schneller, sondern auch sicherer und attraktiver für alle Beteiligten sind.
Das Beste an der Sache ist, dass das Warten ein Ende hat. Dank Fastly Compute, der leistungsstarken Plattform, auf die Sie sofort auf der ganzen Welt zugreifen können, können Sie nämlich direkt loslegen. Es sind zwar noch nicht alle Probleme im Bereich der Speichersicherheit und des sicheren Computings gelöst, aber das Ökosystem ist inzwischen weit genug entwickelt, um den Sprung zu wagen und damit anzufangen.
Wenn Sie mehr darüber erfahren möchten, wie schnell Ihr Unternehmen mithilfe der Erkenntnisse aus dem ONCD Bericht zu mehr Sicherheit und Richtlinienkonformität gelangen kann, setzen Sie sich mit uns in Verbindung. Wir unterhalten uns gerne mit Ihnen darüber, wie Sie Ihre Anwendungen und Workloads von Haus aus sicher machen können.
Wir pflichten dem Weißen Haus und dem ONCD bei, aber Sie sollten diesen Schritt nicht nur in Angriff nehmen, weil er in einer Pressemitteilung steht. Ziel sollte sein, Ihre Anwendungen sicherer zu machen, Ihr Unternehmen vor all den Bugs zu schützen, die durch ungeschützten Speicher entstehen, und vor allem, Ihren Endnutzern bessere und sicherere Erlebnisse zu bieten.
Wir bei Fastly schmieden laufend Pläne, um das Internet zu einem besseren Ort zu machen. Und insbesondere die Nutzung sichererer Software im Internet kann einen großen Beitrag zur Erreichung dieses Ziels leisten. Wenn Sie unsere Vision in puncto Sicherheit teilen oder selbst einen Beitrag dazu leisten möchten, freuen wir uns, von Ihnen zu hören.