I miglioramenti verso una struttura sicura del linguaggio di programmazione Rust sono stati accentuati da Rust Foundation. Nel suo recente Security Initiative Report, l'organizzazione ha sottolineato la sua garanzia di creare nuovi strumenti, funzionalità e raccomandazioni basate sulla ricerca in materia di sicurezza.
La valutazione della progressione di Rust arriva sulla scia del Piano di implementazione della strategia nazionale per la sicurezza informatica della Casa Bianca. Questo piano prevede un significativo investimento civico nel progresso di linguaggi di programmazione sicuri come Rust. I linguaggi esistenti e popolari sono stati rapidamente riconosciuti come "sicuri", ma devono muoversi rapidamente per risolvere le lacune di sicurezza nella fase nascente di una più ampia accettazione.
Uno degli obiettivi principali di questa strategia è quello di aumentare l'adozione di "linguaggi di programmazione sicuri per la memoria", promuovendo al contempo la sicurezza del software open-source. Tra questi linguaggi, Rust sta guadagnando rapidamente terreno ed è diventato un'alternativa memory-safe ampiamente preferita.
La Rust Foundation ha lanciato un'analisi completa della sicurezza all'interno dell'ecosistema Rust. L'esame è stato progettato per consentire a Rust Foundation e all'intero progetto di prevedere in modo più efficace i rischi potenziali, determinando al contempo come la sicurezza possa essere sostenuta in modo economicamente vantaggioso per un lungo periodo di tempo.
Quest'anno, il team di Rust ha puntato ad ampliare le conoscenze sulla sicurezza delle casse e ad accentuare le informazioni correlate. Attualmente i riflettori sono puntati sulla sicurezza della catena di fornitura del software, per la quale stanno lavorando in tandem con i team di Rust Foundation e crates.io. I loro sforzi consistono nello svelare i dati sulla sicurezza delle singole casse, comprese le valutazioni dei segreti trapelati, nell'individuare le casse dannose e nello stabilire modelli di punteggio per le migliori pratiche di sicurezza.
Finora il team ha evitato di imbattersi in casse attivamente dannose. Tuttavia, ha portato alla luce diversi casi di fuga di credenziali, inducendo ad adottare misure proattive per entrare in contatto con i proprietari delle casse interessate e correggere i problemi, come si legge nel rapporto.
Il sito Rust Foundation e il Progetto Rust hanno anche eseguito esercizi di modellazione delle minacce per approfondire i rischi emersi dall'audit di sicurezza. La creazione di quattro modelli di minaccia distinti ha richiesto la collaborazione di diversi team interni, come il team di crates.io, il team dell'infrastruttura, il gruppo di lavoro sulla risposta alla sicurezza e il gruppo di lavoro sul codice sicuro. Anche gli stakeholder esterni hanno preso parte a questa iniziativa. Si prevede che le specifiche di tutti questi modelli di minaccia saranno presto rese note alla comunità.
