Rust 프로그래밍 언어의 보안 구조에 대한 개선 사항은 Rust Foundation 에 의해 강조되었습니다. 최근 보안 이니셔티브 보고서에서 조직은 보안 연구를 기반으로 새로운 도구, 기능 및 권장 사항을 구축할 수 있다는 확신을 강조했습니다.
Rust의 진행 상황에 대한 평가는 백악관의 국가 사이버 보안 전략 구현 계획에 따른 것입니다. 이 계획은 Rust와 같은 보안 프로그래밍 언어의 발전에 상당한 시민 투자를 제시합니다. 기존의 대중적인 언어는 '안전'하다고 빠르게 인정받고 있지만, 폭넓은 수용이 급증하는 단계에서 보안 허점을 해결하기 위해 신속하게 움직여야 합니다.
이 전략의 주요 목표 중 하나는 오픈 소스 소프트웨어의 보안을 강화하면서 '메모리에 안전한 프로그래밍 언어'의 채택을 높이는 것입니다. 이러한 언어 중에서 Rust는 빠르게 입지를 다져 왔으며 널리 선호되는 메모리 안전 대안이 되었습니다.
Rust Foundation은 Rust 생태계 내 보안에 대한 포괄적인 검토를 시작했습니다. 이 검사는 Rust Foundation 과 전체 프로젝트가 잠재적인 위험을 보다 효과적으로 예측하는 동시에 장기간에 걸쳐 보안을 비용 효율적으로 유지할 수 있는 방법을 결정하도록 설계되었습니다.
올해 Rust 팀은 크레이트 보안에 대한 통찰력을 확대하고 관련 정보를 강조하는 데 초점을 맞췄습니다. 그들의 현재 스포트라이트는 Rust Foundation 및 crates.io 팀과 협력하여 소프트웨어 공급망 보안에 있습니다. 그들의 노력에는 유출된 비밀 평가, 악성 크레이트 감지, 보안 모범 사례 점수 모델 설정을 포함하여 개별 크레이트 보안 데이터 공개가 수반됩니다.
지금까지 팀은 적극적으로 유해한 상자와의 만남을 피했습니다. 그러나 그들은 보고서에 명시된 바와 같이 문제를 해결하기 위해 영향을 받는 상자 소유자와 연결하기 위한 사전 조치를 촉구하는 여러 자격 증명 유출 사례를 발굴했습니다.
Rust Foundation 과 Rust 프로젝트는 보안 감사에서 노출된 위험을 더 깊이 파고들기 위해 위협 모델링 연습도 수행했습니다. 4개의 개별 위협 모델 생성에는 crates.io 팀, 인프라 팀, 보안 대응 작업 그룹 및 보안 코드 작업 그룹과 같은 다양한 내부 팀과의 협력이 포함되었습니다. 외부 이해 관계자도 이 이니셔티브의 일부였습니다. 이러한 모든 위협 모델의 세부 사항은 곧 커뮤니티에 공개될 예정입니다.
