La fondation Rust met en avant les mesures de sécurité améliorées pour le langage Rust

Les améliorations apportées à la structure sécurisée du langage de programmation Rust ont été accentuées par l'organisation Rust Foundation. Dans son récent rapport sur l'initiative de sécurité, l'organisation a souligné son assurance de créer de nouveaux outils, de nouvelles fonctionnalités et de nouvelles recommandations fondées sur la recherche en matière de sécurité.

L'évaluation de la progression de Rust intervient dans le sillage du plan de mise en œuvre de la stratégie nationale de cybersécurité de la Maison Blanche. Ce plan prévoit un investissement civique important dans l'avancement des langages de programmation sécurisés tels que Rust. Les langages existants et populaires sont rapidement reconnus comme "sûrs", mais ils doivent rapidement combler les lacunes en matière de sécurité dans la phase naissante d'une acceptation plus large.

L'un des principaux objectifs de cette stratégie est de favoriser l'adoption de "langages de programmation sans risque pour la mémoire" tout en encourageant la sécurité des logiciels libres. Parmi ces langages, Rust a rapidement gagné du terrain et est devenu une alternative largement préférée pour la sécurité de la mémoire.

La fondation Rust a lancé un examen complet de la sécurité au sein de l'écosystème Rust. Cet examen vise à permettre à Rust Foundation et à l'ensemble du projet de prévoir plus efficacement les risques potentiels tout en déterminant comment la sécurité peut être maintenue de manière rentable sur une longue période.

Cette année, l'équipe Rust s'est fixé pour objectif d'approfondir les connaissances sur la sécurité des caisses et d'accentuer les informations qui s'y rapportent. Elle se concentre actuellement sur la sécurité de la chaîne d'approvisionnement des logiciels, pour laquelle elle travaille en tandem avec les équipes de Rust Foundation et de crates.io. Leurs efforts consistent à dévoiler des données individuelles sur la sécurité des caisses, y compris des évaluations des fuites de secrets, à détecter les caisses malveillantes et à établir des modèles d'évaluation des meilleures pratiques en matière de sécurité.

Jusqu'à présent, l'équipe n'a pas rencontré de crates activement nuisibles. Toutefois, elle a découvert de nombreux cas de fuites d'informations d'identification, ce qui l'a incitée à prendre des mesures proactives pour entrer en contact avec les propriétaires des caisses concernées afin de rectifier les problèmes, comme l'indique le rapport.

Le site Rust Foundation et le projet Rust ont également procédé à des exercices de modélisation des menaces afin d'approfondir les risques mis en évidence par l'audit de sécurité. La création de quatre modèles de menace distincts a nécessité la coopération de différentes équipes internes, telles que l'équipe crates.io, l'équipe Infrastructure, le groupe de travail sur la réponse à la sécurité et le groupe de travail sur le code sécurisé. Des parties prenantes externes ont également participé à cette initiative. Les spécificités de tous ces modèles de menace devraient bientôt être communiquées à la communauté.