Rust言語のセキュリティ対策が改善、Rust Foundationが強調

Rustプログラミング言語のセキュアな構造に向けた強化は、Rust Foundation によって強調されている。最近のセキュリティ・イニシアティブ・レポートで、同組織は、セキュリティ研究に基づく新しいツール、機能、推奨事項を策定する保証を強調している。

Rustの進歩に対する評価は、ホワイトハウスの国家サイバーセキュリティ戦略実施計画を受けたものである。この計画では、Rustのようなセキュアなプログラミング言語の進歩に市民が多額の投資を行うことを打ち出している。既存の一般的な言語は「セキュア」であると急速に認知されつつあるが、より広く受け入れられるようになる急成長段階において、セキュリティの抜け穴を解決するために迅速に動く必要がある。

この戦略の主な目的のひとつは、オープンソースソフトウェアのセキュリティを促進しながら、「メモリ・セーフ・プログラミング言語」の採用を促進することである。このような言語の中で、Rustは急速に台頭しており、メモリ・セーフの代替言語として広く好まれるようになっている。

Rust財団は、Rustエコシステム内のセキュリティに関する包括的なレビューを開始した。この検討は、Rust Foundation とプロジェクト全体が、潜在的なリスクをより効果的に予測できるようにするとともに、セキュリティを長期にわたってコスト効率よく維持する方法を決定することを目的としています。

今年、Rustチームは、木枠のセキュリティに関する洞察を深め、関連情報を強調することに照準を合わせた。現在、彼らが注目しているのはソフトウェアのサプライチェーンセキュリティで、Rust Foundation 、crates.ioチームと連携している。彼らの努力は、流出した秘密の評価、悪意のあるクレートの検出、セキュリティのベストプラクティス・スコアリングモデルの確立など、個々のクレート・セキュリティ・データを公開することにある。

これまでのところ、チームは積極的に有害なクレートとの遭遇を避けてきた。しかし、クレデンシャル流出の複数の事例を発見し、報告書に記載されているように、問題を修正するために影響を受けたクレートの所有者と接続するための積極的な措置を促した。

Rust Foundation とRust Projectは、セキュリティ監査で明らかになったリスクをより深く掘り下げるため、脅威モデル演習も実施した。4つの異なる脅威モデルの作成には、crates.ioチーム、インフラチーム、セキュリティ対応ワーキンググループ、セキュアコードワーキンググループなど、社内のさまざまなチームとの協力が必要でした。外部の利害関係者もこの取り組みに参加しました。これらすべての脅威モデルの詳細は、近日中にコミュニティに公開される予定です。