近日，美国网络安全与基础设施安全局（CISA）和联邦调查局（FBI）发布了一份关于软件开发安全问题的报告，明确指出到2026年1月1日前，关键基础设施软件必须开始全面去C。这一消息引起了广泛的关注和讨论。那么，为什么C/C++会成为被重点提及的对象？这背后又有着怎样的历史背景和技术演变呢？

　　在计算机编程语言的发展历程中，C语言自1972年由丹尼斯·里奇和肯·汤普逊在贝尔实验室发明以来，凭借其简洁高效的特点迅速风靡全球。随后，C++作为C语言的一种扩展，由本贾尼·斯特劳斯特鲁普于1983年推出，进一步增强了面向对象编程的支持，成为了许多大型系统和应用的基础。然而，随着互联网技术的飞速发展，网络安全问题日益凸显，特别是内存安全漏洞成为了黑客攻击的主要突破口之一。

　　历史上，由于C/C++语言本身的设计特性，如直接访问内存的能力，使得开发者可以编写出运行效率极高的代码，但也为潜在的安全隐患埋下了伏笔。例如，着名的Heartbleed漏洞就是因OpenSSL库中的一个缓冲区溢出问题而引发的重大安全事件。类似的案例不胜枚举，每一次都给企业和个人带来了巨大的损失。

　　面对这样的挑战，业界逐渐意识到单纯依靠程序员的自觉性和技术水平难以从根本上解决问题，需要从更高层次进行规范和引导。因此，近年来越来越多的声音呼吁采用更加安全的编程语言来替代C/C++。Rust作为一种新兴的语言，在设计之初就将内存安全性作为核心原则之一，并通过编译时检查等机制有效避免了许多常见的错误。此外，还有Python、Java等高级语言也在各自的领域内展现出了良好的安全性表现。

　　但是，彻底抛弃已经广泛应用了几十年的技术并非易事。正如C++之父斯特劳斯特鲁普所言，简单地更换语言并不能解决所有问题，反而可能带来新的复杂性。更重要的是，很多现有的关键基础设施和服务都是基于C/C++构建起来的，要对其进行大规模改造不仅成本高昂，还存在极大的风险。因此，他认为更合理的做法是在现有基础上逐步改进，比如通过引入新的工具和技术来提升原有系统的安全性。

　　总之，美国政府此次提出的“去C”计划虽然态度强硬，但其实也反映了整个行业对于提高软件安全性的共同追求。如何平衡创新与稳定、成本与效益之间的关系，将是未来几年内所有相关方都需要认真思考的问题。返回搜狐，查看更多