评Stroustrup评NSA说C++不是内存安全语言

针对上月初（2023年2月初）的新闻（内容见标题），当时我在头条上随手写下一条评论：

Stroustrup这家伙快成杠精了，对抗全世界，估计过几年他自己先崩溃。他嘴里的静态检查工具是一个混沌体，游离于编译系统之外，鱼龙混杂，质量好点的还收费。他们对现代C++语言的改进仅限于增加新功能，并不填历史坑，该坑人的地方还是坑人，除非旧代码用新语言重写——那是人干的事吗。谷歌微软火狐等多个统计源数据显示内存安全占所有漏洞的三分之二，他过来给你扯“安全有很多种不止内存安全”，咱能不能先抓重点不要扯蛋。反观Rust对内存安全的提升是让人看得见的，无论是理论还是实践。

由于是随看随评，只写了简单的几句话，并没有深入展开，也没打算深入展开。

但是后来我看到 Jimmy Hartzell 对同一事件的评论，深感英雄所见略同，而他又论述的很详细，因而转载如下：

https://www.thecodedmessage.com/posts/stroustrup-response/

---

补充：

针对我评论中“谷歌微软火狐等多个统计源数据显示内存安全占所有漏洞的三分之二”的数据来源：

• 微软估计，在过去十年中，其产品中70%的漏洞都是由缺乏内存安全性引起的。
• 谷歌发现，Chrome的严重安全漏洞中有70%是内存安全问题。
• Android团队报告说，他们90%的漏洞都是内存安全问题。
• Mozilla指出，火狐在其风格组件中74%的安全漏洞是内存安全漏洞。
• 最近的一项研究表明，60-70%的iOS和macOS漏洞与内存安全有关。
• 零号工程的一项分析发现，在野外被利用的0天中，超过80%是由于缺乏记忆安全性。