C++ programlama dilinin yaratıcısı Bjarne Stroustrup, dilin geleceğini tehdit eden gelişmelere karşı topluluğu harekete geçmeye çağırıyor. Son yıllarda, siber güvenlik uzmanları ve devlet kurumları C ve C++ dillerini bellek güvenliği açısından yetersiz bulduklarını belirterek Rust, Go, C#, Java ve Swift gibi daha güvenli dillere yönelmeye başladı. Bu durum, C++’ın teknoloji dünyasındaki konumunu giderek zayıflatıyor.
C++ topluluğu bellek güvenliği eleştirilerine yanıt vermekte zorlanıyor
C ve C++, manuel bellek yönetimine dayanıyor ve bu durum bellek taşmaları gibi güvenlik açıklarına yol açabiliyor. Son yıllarda yaşanan büyük ölçekli siber saldırılar ve güvenlik açıkları nedeniyle, hem endüstri hem de hükümetler C ve C++’ın kullanımını azaltmaya yönelik politikalar geliştiriyor. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 2026’ya kadar bellek güvenliği sağlayamayan dillerin kademeli olarak terk edilmesi gerektiğini belirten bir rapor yayımladı.
C++ topluluğu bu eleştirilere yanıt olarak TrapC, Safe C++, Mini-C gibi çeşitli girişimlerle bellek güvenliğini artırmayı amaçlayan çözümler önerdi. Ancak Stroustrup, bu girişimlerin yetersiz kaldığını ve C++’ın Rust gibi modern dillere karşı güçlü bir duruş sergileyemediğini düşünüyor. Columbia Üniversitesi’nde profesör olarak görev yapan Stroustrup, C++ Standartlar Komitesi’ne gönderdiği mesajında, topluluğun hızla harekete geçmesi gerektiğini vurguladı.
“Bu teknik bir öneriden ziyade, acil bir eylem çağrısıdır. C++’a yönelik benzeri görülmemiş saldırılar karşısında, Standartlar Komitesi’nin etkili bir şekilde yanıt verdiğini göstermesi gerekiyor” diyen Stroustrup, C++’ın başından beri güvenliğe odaklandığını ancak bu yönünün yeterince vurgulanmadığını ifade etti.
Microsoft Azure CTO’su Mark Russinovich, 2022 yılında Rust gibi dillerin benimsenmesini önererek C ve C++ dillerinin artık yeni projelerde kullanılmaması gerektiğini savundu. Stroustrup ise, C++’ın tamamen terk edilmesinden ziyade, mevcut kodların daha güvenli hale getirilmesi için evrimsel bir yaklaşımın benimsenmesi gerektiğini düşünüyor. Google gibi şirketler de C++’ın uzun yıllar daha varlığını sürdüreceğini kabul ediyor ve bu dili daha güvenli hale getirme çalışmalarını destekliyor.
Ancak Google’ın en son duyurusunda, bellek güvenliğinin sağlanması için radikal değişikliklerin gerektiği ve mevcut C/C++ kodlarının modern alternatiflere taşınmasının daha mantıklı olduğu belirtildi.
Stroustrup’un önerdiği “Profiles” adlı framework, C++ kodunun belirli güvenlik kurallarına uyum sağlamasını amaçlıyor. Ancak bazı uzmanlar, bu sistemin uygulanmasının uzun zaman alacağını ve 2026 hedeflerine yetişmeyeceğini düşünüyor.
C++’ın daha güvenli hale getirilmesi için önerilen çözümler arasında TrapC gibi yeni derleyiciler de bulunuyor. TrapC, bellek taşmalarını önleyerek daha güvenli bir programlama deneyimi sunmayı hedefliyor. Ancak bu gibi çözümler henüz yaygın olarak benimsenmiş değil.
Cambridge Üniversitesi’nden araştırmacı David Chisnall, sadece bir programlama dilini değiştirmenin yeterli olmayacağını ve yazılım ekosisteminde kapsamlı güvenlik çözümlerinin geliştirilmesi gerektiğini savunuyor. Rust gibi dillerin “unsafe” anahtar kelimesiyle hala bellek güvenliği açıkları oluşturabildiğine dikkat çeken Chisnall, C ve C++’ın güvenli hale getirilerek adım adım dönüşüm sürecine girmesi gerektiğini düşünüyor.
C++’ın geleceği, topluluğun bellek güvenliği eleştirilerine nasıl yanıt vereceğine bağlı. Eğer Stroustrup’un çağrısı karşılık bulmazsa, Rust ve benzeri dillerin C++’ın yerini alması kaçınılmaz hale gelebilir.
