Verbesserungen in Richtung einer sicheren Struktur der Programmiersprache Rust wurden von der Rust Foundation hervorgehoben. In ihrem jüngsten Bericht über die Sicherheitsinitiative betonte die Organisation ihre Zusicherung, neue Werkzeuge, Funktionen und Empfehlungen zu schmieden, die auf der Sicherheitsforschung basieren.
Die Bewertung der Entwicklung von Rust erfolgt im Zuge des National Cybersecurity Strategy Implementation Plan des Weißen Hauses. Dieser Plan sieht eine bedeutende zivile Investition in die Weiterentwicklung von sicheren Programmiersprachen wie Rust vor. Bestehende, populäre Sprachen werden schnell als "sicher" anerkannt, müssen aber in der aufkeimenden Phase der breiteren Akzeptanz rasch Sicherheitslücken schließen.
Eines der Hauptziele dieser Strategie ist es, die Akzeptanz von "speichersicheren Programmiersprachen" zu erhöhen und gleichzeitig die Sicherheit von Open-Source-Software zu fördern. Unter diesen Sprachen hat Rust schnell an Boden gewonnen und ist zu einer weithin bevorzugten speichersicheren Alternative geworden.
Die Rust Foundation hat eine umfassende Überprüfung der Sicherheit innerhalb des Rust-Ökosystems eingeleitet. Die Untersuchung soll es der Rust Foundation und dem gesamten Projekt ermöglichen, potenzielle Risiken besser vorherzusagen und gleichzeitig zu bestimmen, wie die Sicherheit über einen langen Zeitraum kostengünstig aufrechterhalten werden kann.
In diesem Jahr hat sich das Rust-Team zum Ziel gesetzt, die Erkenntnisse über die Sicherheit von Kisten zu erweitern und die damit verbundenen Informationen zu akzentuieren. Derzeit liegt der Schwerpunkt auf der Sicherheit der Software-Lieferkette, für die sie mit den Teams von Rust Foundation und crates.io zusammenarbeiten. Ihre Bemühungen umfassen die Enthüllung individueller Kistensicherheitsdaten, einschließlich Bewertungen von durchgesickerten Geheimnissen, die Erkennung bösartiger Kisten und die Erstellung von Bewertungsmodellen für bewährte Sicherheitspraktiken.
Bislang ist das Team noch nicht auf aktiv schädliche Kisten gestoßen. Allerdings haben sie mehrere Fälle von Lecks in Anmeldedaten aufgedeckt und proaktive Schritte eingeleitet, um mit den betroffenen Crate-Besitzern in Kontakt zu treten und die Probleme zu beheben, wie es in dem Bericht heißt.
Rust Foundation und das Rust-Projekt haben außerdem Bedrohungsmodelle erstellt, um die im Sicherheitsaudit aufgedeckten Risiken zu vertiefen. Die Erstellung von vier separaten Bedrohungsmodellen erforderte die Zusammenarbeit mit verschiedenen internen Teams, wie dem crates.io Team, dem Infrastructure Team, der Security Response Working Group und der Secure Code Working Group. Externe Stakeholder waren ebenfalls Teil dieser Initiative. Es wird erwartet, dass die Einzelheiten all dieser Bedrohungsmodelle bald für die Gemeinschaft veröffentlicht werden.
