Agências Federais dos EUA sugerem que softwares críticos abandonem C e C++ até 2026

O documento foi emitido pela Agência de Segurança de Infraestrutura e Cibersegurança (CISA) e o FBI. Essa é a posição mais incisiva do governo norte-americano em relação à segurança de software até hoje, alertando fabricantes sobre o uso de linguagens que não garantem segurança de memória. Segundo as agências, esse fator representa um risco significativo à segurança nacional, econômica e à saúde pública, especialmente quando existem alternativas mais seguras.

O relatório é direcionado a fabricantes de software para infraestruturas críticas e Funções Críticas Nacionais (NCF, na sigla em inglês), abrangendo softwares locais, serviços em nuvem e SaaS. As empresas têm até 1º de janeiro de 2026 para estabelecer planos de segurança de memória, e o uso de senhas padrão em contas administrativas também deverá ser eliminado até essa data, indicando uma transição de recomendações para normas esperadas.

O plano de segurança de memória deve incluir estratégias para eliminar vulnerabilidades em componentes críticos, como módulos de rede e operações sensíveis, incluindo criptografia. O relatório ainda destaca outras práticas consideradas "excepcionalmente arriscadas" para infraestrutura crítica, como SQL Injection, falta de detecção de intrusão e ausência de autenticação multifator.

Para softwares de código aberto, as recomendações incluem cuidados redobrados com vulnerabilidades, além de manter listas de materiais de software (SBOMs), fazer o cache de dependências em vez de baixá-las de fontes públicas, e contribuir responsavelmente para projetos de código aberto de que dependem.

O documento exige mais transparência das empresas, incluindo políticas públicas de divulgação de vulnerabilidades, emissão de CVEs para todas as vulnerabilidades críticas, documentação clara sobre segurança e a manutenção de logs de segurança por pelo menos seis meses.