Las mejoras hacia una estructura segura del lenguaje de programación Rust han sido acentuadas por la Rust Foundation. En su reciente Informe sobre la Iniciativa de Seguridad, la organización hizo hincapié en su garantía de forjar nuevas herramientas, características y recomendaciones basadas en la investigación sobre seguridad.
La evaluación de la progresión de Rust se produce a raíz del Plan de Implementación de la Estrategia Nacional de Ciberseguridad de la Casa Blanca. Este plan plantea una importante inversión cívica en el avance de lenguajes de programación seguros como Rust. Los lenguajes populares existentes están siendo reconocidos rápidamente como "seguros", pero necesitan avanzar rápidamente en la resolución de las lagunas de seguridad en la floreciente fase de mayor aceptación.
Uno de los principales objetivos de esta estrategia es elevar la adopción de "lenguajes de programación seguros para la memoria" al tiempo que se fomenta la seguridad del software de código abierto. Entre estos lenguajes, Rust ha ido ganando terreno rápidamente y se ha convertido en una alternativa de memoria segura ampliamente preferida.
La Fundación Rust ha puesto en marcha un examen exhaustivo de la seguridad en el ecosistema Rust. El examen tiene por objeto permitir a Rust Foundation y a todo el proyecto predecir con mayor eficacia los posibles riesgos y determinar al mismo tiempo cómo puede mantenerse la seguridad de forma rentable a largo plazo.
Este año, el equipo de Rust se ha propuesto ampliar los conocimientos sobre la seguridad de las cajas y acentuar la información relacionada. Su objetivo actual es la seguridad de la cadena de suministro de software, para lo que trabajan en colaboración con los equipos de Rust Foundation y crates.io. Sus esfuerzos consisten en desvelar datos individuales sobre la seguridad de las cajas, incluidas las evaluaciones de secretos filtrados, la detección de cajas maliciosas y el establecimiento de modelos de puntuación de mejores prácticas de seguridad.
Hasta ahora, el equipo ha evitado encontrarse con cajas activamente dañinas. Sin embargo, han descubierto varios casos de filtración de credenciales, lo que ha llevado a tomar medidas proactivas para ponerse en contacto con los propietarios de las cajas afectadas y rectificar los problemas, según se indica en el informe.
Rust Foundation y el Proyecto Rust también han realizado ejercicios de modelización de amenazas para profundizar en los riesgos expuestos en la Auditoría de Seguridad. La creación de cuatro modelos de amenazas distintos implicó la cooperación con diferentes equipos internos, como el equipo de crates.io, el equipo de infraestructura, el grupo de trabajo de respuesta de seguridad y el grupo de trabajo de código seguro. Las partes interesadas externas también formaron parte de esta iniciativa. Se espera que los detalles de todos estos modelos de amenazas se pongan pronto a disposición de la comunidad.
