BASE掀起ONCHAINSUMMER热潮_社会视角_美政府再发警告：关键软件勿用C/CBASE掀起ONCHAINSUMMER热潮++，2026年前给迁移方案，否则非常危险！

美政府再发警告：关键软件勿用C/CBASE掀起ONCHAINSUMMER热潮++，2026年前给迁移方案，否则非常危险！_ZAKER新闻

证券时报记者统计范围内的中小银行中，有三成净利润下滑。贵州兴义农商行今年上半年净利润仅为0.145亿元，降幅达84.83%；山西长子农商行、湖北荆州农商行、长春农商行、浙江温州洞头农商行等净利润同比降幅均超50%。

"C/C++" 被视为内存不安全的编程语言由来已久，很多开发者似乎也见怪不怪了，然而近日外媒 TheNewStack 最新发表了一篇《联邦政府：关键软件必须在 2026 年之前放弃 C/C++，否则将面临风险》文章，让人警铃大作。因为过往包括美国网络安全和基础设施安全局（CISA）、联邦调查局（FBI）、国防高级研究计划局（DARPA）等多个机构虽然发起多个指南、甚至想尽办法开发 AI 工具旨在一键将旧的 C 代码转为 Rust，但终归没有采取过于强硬的手段或者是给 " 去 C、C++ 加上一个时间限制 "。如今外媒报道中赫然出现了一个「2026 年」的期限到底是怎么一回事？倘若在软件中继续使用 C/C++ 语言最终又会带来哪些影响？CISA 和 FBI 最新发布《产品安全不良实践》指南进一步来看，这篇报道的来源依据的是美国 CISA、FBI 最近联合发布的一份关于《产品安全不良实践》的报告。在报告中，CISA 表示，软件制造商应确保从软件开发之初就将安全性作为核心考虑因素。基于此，CISA 和 FBI 希望能够敦促软件制造商通过在整个产品开发过程中优先考虑安全性来降低客户风险。不过，值得注意的是，虽然 CISA、FBI 想要尽可能地让开发用于支持关键基础设施或 NCF 的软件产品和服务（包括本地软件、云服务和软件即服务 ( SaaS ) ）的软件制造商去避免产品安全不良做法，但是其在发布这份报告时说得也很明确——并未强硬地要求软件开发商们必须按照这份报告的建议去做。目前这份报告指南还正处于征求公众意见期间，收集各方的反馈意见，以指导这些产品安全不良做法的制定。倘若开发者、企业对这份报告提出的做法有意见，可以在 2024 年 12 月 16 日提交反馈意见。来源：https://www.federalregister.gov/documents/2024/10/29/2024-25078/request-for-comment-on-product-security-bad-practices-guidance话虽如此，CISA、FBI 在这份主题为《产品安全不良实践》的报告中概述了被认为极其危险的产品安全不良做法，特别是对于生产用于关键基础设施或国家关键功能 ( NCF ) 的软件的软件制造商而言，并为软件制造商提供了减轻这些风险的建议，同时还是忍不住地多次强调了「2026 年」这个时间节点。建议在 2026 年前软件开发商发布内存安全路线图CISA、FBI 将不良实践划分为三类：产品特性：描述软件产品可观察的、与安全相关的质量。安全特性：描述产品支持的安全功能。组织流程和政策：描述软件制造商为确保其安全方法的高度透明度而采取的行动。在产品特性维度上，美国两大组织首先将 " 内存不安全语言的开发 " 列为首要不良实践的做法。其指出，" 在有现成的内存安全语言可供使用的情况下，使用内存不安全的语言（如 C 或 C++）开发用于关键基础设施或（国家关键功能）NCF 的新产品线是危险的，并且会大大增加对国家安全、国家经济安全以及国家公共健康和安全的风险。"此处，这份指南特别强调了——对于使用内存不安全语言编写的现有产品，如果在 2026 年 1 月 1 日之前未发布内存安全路线图，则非常危险，会大大增加国家安全、国家经济安全和国家公共卫生与安全的风险。内存安全路线图应概述制造商消除优先代码组件（例如面向网络的代码或处理加密操作等敏感功能的代码）中的内存安全漏洞的优先方法。制造商应证明内存安全路线图将显著、优先减少制造商产品中的内存安全漏洞，并证明他们正在做出合理的努力来遵循内存安全路线图。这不适用于宣布支持终止日期在 2030 年 1 月 1 日之前的产品。至于为什么是「2026 年之前」，CISA、FBI 并未做特别的解释，仅是在「建议采取的措施」中又一次表示，当前的软件制造商应以系统性的方式构建产品，以防止引入内存安全漏洞，例如使用内存安全语言或防止内存安全漏洞的硬件功能。此外，软件制造商应在 2026 年 1 月 1 日之前发布内存安全路线图。其他建议除此之外，CISA、FBI 还列举了几种常见的产品不安全的实践，譬如：在 SQL 查询字符串中发现包含用户提供的输入。其建议产品应以系统性防止 SQL 注入漏洞引入的方式构建，例如通过始终强制使用参数化查询；在操作系统命令字符串中有包含用户提供的输入。其建议软件制造商应以系统性防止命令注入漏洞的方式构建产品，例如通过始终确保命令输入与命令本身的内容有明确的区分。关键基础设施或 NCF 使用的产品发布时带有默认密码。对此，其建议软件制造商应确保产品中不存在默认密码，例如为产品提供随机的、实例唯一的初始密码，要求安装产品的用户在安装开始时创建一个强密码等等。存在已知被利用的漏洞。对此，软件制造商应在发布前修补软件组件中所有已知被利用的漏洞。对于 CISA 目录中新发布的 KEV，制造商应及时免费向用户提供补丁（任何情况下不超过 30 天），并明确警告用户不安装补丁的相关风险。存在已知可利用漏洞的开源软件。对此，软件制造商应对他们依赖的开源软件负责任地使用并可持续地贡献。在安全功能方面，CISA 和 FBI 还发现很多软件开发商在开发中缺乏多因素身份验证、缺乏收入入侵证据的能力，其指出，2026 年 1 月 1 日之后未默认为管理员帐户启用 MFA 的产品非常危险，软件制造商应在产品中原生支持 MFA（如果产品本身处理身份验证），或在产品的基线版本中支持使用外部身份提供者，例如通过单点登录、要求管理员使用 MFA。对于云服务提供商和 SaaS 产品，软件制造商应免费保留一定时间范围内的日志（至少 6 个月）。在组织流程和政策方面，软件制造商应及时发布所有严重或高影响漏洞的完整 CVE，以及公开发布漏洞披露政策 ( VDP ) 等。不放弃 C/C++，又会带来什么样的影响？「以 2026 年为时间节点」来敦促软件开发商们想尽办法去改进，以此提升产品安全性，本意或许是好的，但是在仅有 14 个月的时间里，为产品规划内存安全路线图也不是一件小事。此前，CISA 自己也发布过一份 23 页的《内存安全路线图指南》，其指出，在 MSL 中重写现有代码可能是一个巨大的挑战，特别是如果代码已经运行良好，而组织还不具备所选 MSL 的专业知识。当时，该组织只是给出较为笼统的路线图制定建议：定义阶段，包括日期和结果。与所有软件开发工作一样，开发团队可以将较大的工作分解为具有明确结果的较小项目，以度量最新进展。具体包括 MSL 评估、测试在 MSL 中编写新组建的试点项目、找到最危险的内存不安全代码、重构内存不安全代码。确定新系统完全使用 MSL 的时间。此后，公司将会仅在 MSL 中编写新代码。内部开发者和培训和整合计划。没有 MSL 过渡是免费的，制造商需要留出时间让开发人员精通用所选语言编写软件、调试、工具、将 MSL 集成到生产环境中、全面的质量控制流程。外部依赖计划。路线图应该记录处理对用 C 和 C++ 编写的库的依赖关系的计划。透明度计划。通过定期 ( 例如，每季度或每半年 ) 更新来保持上述信息的最新性，将进一步建立组织正在认真对待内存安全漏洞的信心。CVE 支持计划。行业需要详细和正确地公开数据，以了解给客户带来风险的漏洞类别。但是综合成本与风险，很多企业无意迁移到内存更安全的编程语言上。那么不迁移到 MSL 语言又会带来什么样的影响？对此，业界的开发者们也展开了激烈的讨论，多数人认为「这些建议终究只是一个建议罢了，无伤大雅」：目前它们只是建议，这是 " 如果可以，请遵守我的规则 "，仅仅是对即将发生的事情的一个警告，但它不会在 2026 年成为法律，我 100% 确定这一点。作为一名用 C++ 为政府编写软件的人，读到这些也真的很有趣。我们的项目直到 2020 年之后才被允许使用 C++11 功能，而且显然很快就会被允许使用 C++14。而且必须是 C++，因为我们需要支持平台和供应商。即使对于我们所有的新项目也是如此！现在和可预见的未来，放弃 C 或 C++ 是完全不可能的。此外，我喜欢 Rust，它正在被采用，但让它成为新的黄金标准，未免操之过急。它仍然是一种新语言，在我们考虑真正用 Rust 重写所有内容之前，它还有一些非常大的问题需要解决。不过也有人一些开发者声称自己以及公司已经受到了一些影响：我们公司所开发的软件类别在政府认证时，已经被禁止在任何新开发中使用非内存安全的语言，并且我们必须提供源代码以供检查。当有网友究竟问及是哪一类的软件时，该开发者回应道，「它是一类必须实现 Linux 中存在的几乎所有安全层的软件。」而就国外现在呼吁放弃 C/C++ 这种内存不安全语言的做法，国内知名 C++ 专家吴咏炜此前在接受 CSDN 采访时表示：这一事件的起源重点是关注网络安全，内存安全的编程语言是其中的一小部分内容。确实建议大家避免使用内存不安全的语言。但问题是，如果不是对效率有极致追求的场景，大家本来就不会选用 C 和 C++（如在企业应用里，本来 Java 就是主流）。而用到 C 和 C++ 的，基本都是确有需要。此前报告里也提过，空间系统里仍然使用 C 和 C++，并描述了如何使用其他技术手段来规避不安全语言可能带来的问题。吴咏炜认为，对于 C 和 C++ 的安全性，也有必要做几点陈述：C 和 C++ 不是一回事。在现代 C++ 代码里，因为有很多好的语言构件（如容器和智能指针）可以用，犯内存错误的可能性要比 C 低得多。C 的固定大小数组是很多安全问题的根源。已经存在很多工具，可以帮助检查代码的安全性，如 clang-tidy、cppsafe 和 address sanitizer（ASan）。C++ 本身也在发展，像 lifetime profile（生存期规格配置）等方面的工作就是为了能提前检查出安全问题。内存安全是代码安全的一部分，不是全部。代码安全问题是个系统工程，不是靠某种银弹就能立即解决的。培训、语言、工具等等都是解决方案的一部分。那么，针对内存安全编程语言的争论，你有什么样的看法？在 Linux、Google、微软等组织纷纷开始拥抱 Rust 的情况下，你开发的项目是否有受到这波趋势的影响？欢迎留言分享你的看法。参考：https://www.cisa.gov/resources-tools/resources/product-security-bad-practiceshttps://thenewstack.io/feds-critical-software-must-drop-c-c-by-2026-or-face-risk/https://www.reddit.com/r/rust/comments/1ggt7m2/feds_critical_software_must_drop_cc_by_2026_or/

koa12jJid0DL9adK+CJ1DK2K393LKASDad

编辑:孙寿康

TOP1热点：76人独行侠交易

观察发现，白酒板块自2021年6月“触顶”以来，开启了长达两年多的宽幅震荡调整，在此期间多空双方在激烈博弈中互有胜负，并在去年10月创下阶段性低点，之后随着A股触底反弹一路走强至今年2月的高点，但在。

15：00马来西亚截至7月24日当周国际储备（亿美元），前值1118，预期值--，公布值：待发布

TOP2热点：球球爸

该趋势在迪拜开展的民调中也有所体现。据美国有线电视新闻网报道，今年6月迪拜的一项针对18至24岁阿拉伯青年的民调显示，80%的受访者认为中国是他们国家的“盟友”，该数值达4年内最高；而在阿拉伯青年心目中的友好国家中，中国排第二，美国排第七。

综上所述，基本面依然疲弱，弱现实格局继续抑制钢价走势，但国内刺激政策和粗钢压减继续带来钢市强预期，钢市运行逻辑仍是强预期与弱现实博弈，短期弱现实交易权重偏高，钢价将承压偏弱运行，但不同合约延续近弱远强格局。（作者单位：宝城期货）

TOP3热点：哪类人群易患败血症小东西几天不见水又变多怎么回事

投资策略:储能：23Q1美国储能装机778MW/2145MWh，同减19/25%，23年5月底备案量超30GW，环增4%，美国大储23年有望重回100%以上增长；国内储能22年13-15Gwh，同增150%+，今年1-6月招标超30Gwh，4月底开始需求明显好转，今年我们预计近2倍增长至40Gwh+，工商业储能市场爆发预计装机超4Gwh，同比增长300%+；欧洲户储上半年需求淡季叠加去库存出货疲软，我们预计4季度初将有所恢复；非洲因缺电光储需求尤其旺盛；全球储能三年的CAGR为60-80%，继续看好储能逆变器/PCS和储能电池龙头。电动车：国内7月淡季不淡，乘联会预估批发量75万辆，同环比+34%/-1%，其中新车销量亮眼，全年预估销量增30%至900万辆；欧洲7月主流8国电动车销量16.9万辆，同环比+36%/-26%，季末冲量后回落，但同比恢复力度亮眼，全年我们预计销量300万辆，增20%。排产端，8月龙头预示排产指引10-20%，库存消化完毕，旺季来临。Q3产业链部分环节价格虽进一步下行，但盈利基本进入底部区间，行业加速产能出清。此外新技术方面，即将进入收获期，锰铁锂、快充、复合集流体等24年有望量产，宁德8月16日新品发布，将进一步催化市场情绪。总体看，我们预计23年全球电动车销量仍可以维持30%增长，当前电动车仍为基本面、估值、预期低点，龙头地位稳固且25年估值仅10x，看好Q2-Q3盈利低点出现+需求逐步好转后锂电板块酝酿反转，首推盈利确定的电池环节、盈利趋势稳健的结构件、电解液&负极、隔膜龙头，并重点推荐新技术龙头。光伏：本周整体硅料市场继续持稳微涨，主要是因为硅料库存基本消化+下游开工好转。三部委联合推动绿证新政发布，推动绿证交易，提高新能源投资收益率。硅料带动产业链价格快速触底，叠加近期中美关系修复，海外天然气价格上涨，光伏板块见底。Topcon投产持续加速，晶科速度和效率均领先，我们预计今年Topcon的渗透率近30%，明年有望近70%，HJT近期也有些积极的进展；今年光伏供给瓶颈解决，储备项目释放，美国和中国市场确定高增，欧洲等保持稳健增长，我们预计23年全球光伏装机370GW+，同增50%以上，继续全面看好光伏板块成长，看好逆变器、电池新技术和一体化组件龙头。工控&

儿童手表作为一种较为特殊的智能手表，可以实现家长和孩子之间的多种互动，让亲子沟通更加便捷。那近些年儿童手表到底发展到什么样的水平了呢？它们不仅可以视频通话、精准定位、健康监测、还能辅助学习，运动训练等。面对如此之多眼花缭乱的功能，家长们是不是都挑花眼了呢？Hello大家好，这里是中国家电网求真实验室，我们将对市面上四款主流品牌儿童手表，分别进行防水测试、通话质量测试、定位测试、拍照测试、耗电量测试、以及应用功能测试等，究竟各品牌产品表现如何呢？快来看视频！

TOP4热点：北京多条地铁线延长运营至凌晨一两点日本REPRODUCTION OF FOUND

由于联系转账都是通过微信，除了这位雷某的微信号与发货单上的地址，刘先生对三人的其他信息一概不知，给案件侦办带来了一定的难度。

近期，江波龙还在四处

TOP5热点：柯淳好一个乖乖女青青河边草免费观看西瓜

15：00马来西亚截至7月24日当周国际储备（亿美元），前值1118，预期值--，公布值：待发布

沙特、俄罗斯延长限制供应措施推动油价继续上行

TOP6热点：开工大吉扣自己的正确手势图9个

其实选购真HDR电视是有技巧的,所谓万变不离其宗,不需要看厂商发明的各种诡异词汇,而是直指本质,看实实在在的硬件配置和参数标准,对于HDR电视来说,峰值亮度是核心,中国电子商会联合中国电子技术标准化研究院发布的《HDR显示技术认证规范》2.0版本显示,LCD(即液晶)的峰值亮度高于1000cd/㎡(即1000尼特)才达到标准,换句话说,只有峰值亮度达到1000尼特以上标准,才能称为是真HDR电视。