Förra året publicerade tre amerikanska myndigheter tillsammans med cybersäkerhetsmyndigheterna i Australien, Kanada, Nya Zeeland och Storbritannien en uppmaning till världens programmerare att så långt det är möjligt övergå till så kallade minnessäkra språk. Det är programmeringsspråk som är designade så att det inte går att komma åt fel delar av minnet, varken av misstag eller i försök att kringgå säkerhetsspärrar.
Nu är myndigheterna tillbaka med en uppföljningsrapport där de har undersökt användningen av minnessäkra och ej minnessäkra språk i 172 öppna källkod-projekt. Listan över projekt kommer från Open Source Security Foundation och har identifierats som särskilt viktiga. En del är kodbibliotek som används i väldigt många andra projekt, andra är program som används av många.
Resultaten visar att mer än hälften av den totala koden i projekten fortfarande är skriven i språk utan minnessäkerhet, med en större andel i de största projekten räknat i antal rader kod. Stora och viktiga projekt som openssh, sqlite och tor har stor andel kod utan minnessäkerhet. Bland projekten som knappt har någon kod i ej minnessäkra språk återfinns bland annat VS Code, Wordpress och Home Assistant.
Fokuset på minnessäkerhet beror på att en stor andel av alla säkerhetsbrister som upptäcks och som har utnyttjats av hackare och i skadeprogram ligger i osäker minneshantering, till exempel buffertöverflöden och funktioner som inte kontrollerar inmatningsvärden. Exempel på minnessäkra språk är C#, Go, Java, Python, Rust och Swift. Typexemplen på ej minnessäkra språk är C och C++.
