美国 CISA 和 NSA 上周发布报告，督促程序员使用内存安全语言。报告称，内存安全的重要性怎样强调都不过分。大型软件项目曝出的大部分漏洞都属于内存安全漏洞，以 Google Android 系统为例，2018 年九成的高危漏洞是内存安全漏洞；Google 另一个开源浏览器项目 Chromium 在 2017 年逾七成的严重漏洞是内存安全漏洞。OpenSSL 著名的 Heartbleed 漏洞就是 C 代码内存安全错误（越界读取）导致的。本月中旬发生的 Google Cloud 宕机事故也被归因于缺乏对空指针的正确错误处理。CISA/NSA 的报告承认，内存安全语言不是解决所有问题的良药，而大型代码库要过渡到内存安全语言如 Rust 面临很多挑战。但其优势是提高可靠性、减少攻击面以及降低长期成本。以 Google 为例，通过采用内存安全语言 2024 年 Android 内存安全漏洞数量减少到总数的 24%。

www.theregister.com/2025/06/27/cisa_nsa_call_formemory_safe_languages/
https://media.defense.gov/2025/Jun/23/2003742198/-1/-1/0/CSI_MEMORY_SAFE_LANGUAGES_REDUCING_VULNERABILITIES_IN_MODERN_SOFTWARE_DEVELOPMENT.PDF