Ulepszone środki bezpieczeństwa dla języka Rust podkreślone przez Rust Foundation

Ulepszenia w kierunku bezpiecznej struktury języka programowania Rust zostały zaakcentowane przez organizację Rust Foundation. W swoim ostatnim raporcie na temat inicjatywy bezpieczeństwa organizacja podkreśliła swoją pewność w zakresie tworzenia nowych narzędzi, funkcji i zaleceń opartych na badaniach nad bezpieczeństwem.

Ocena postępów Rusta pojawia się w następstwie planu wdrożenia Narodowej Strategii Cyberbezpieczeństwa Białego Domu. Plan ten przewiduje znaczące inwestycje obywatelskie w rozwój bezpiecznych języków programowania, takich jak Rust. Istniejące, popularne języki są szybko uznawane za "bezpieczne", ale muszą szybko rozwiązać luki w zabezpieczeniach w rozwijającej się fazie szerszej akceptacji.

Jednym z głównych celów tej strategii jest zwiększenie popularności "języków programowania bezpiecznych dla pamięci" przy jednoczesnym wspieraniu bezpieczeństwa oprogramowania open source. Wśród tych języków, Rust szybko zyskuje na popularności i stał się powszechnie preferowaną alternatywą bezpieczną dla pamięci.

Fundacja Rust rozpoczęła kompleksowy przegląd bezpieczeństwa w ekosystemie Rust. Badanie ma na celu umożliwienie Rust Foundation i całemu projektowi skuteczniejszego przewidywania potencjalnych zagrożeń przy jednoczesnym określeniu, w jaki sposób bezpieczeństwo może być opłacalnie utrzymywane przez długi czas.

W tym roku zespół Rust postawił sobie za cel wzmocnienie wglądu w bezpieczeństwo skrzynek i zaakcentowanie powiązanych informacji. Obecnie skupiają się na bezpieczeństwie łańcucha dostaw oprogramowania, nad którym pracują wspólnie z zespołami Rust Foundation i crates.io. Ich wysiłki obejmują ujawnianie indywidualnych danych dotyczących bezpieczeństwa skrzynek, w tym oceny wyciekających tajemnic, wykrywanie złośliwych skrzynek i ustanawianie modeli punktacji najlepszych praktyk bezpieczeństwa.

Jak dotąd zespół uniknął jakichkolwiek spotkań z aktywnie szkodliwymi skrzynkami. Jednak odkryli wiele przypadków wycieków danych uwierzytelniających, co skłoniło do podjęcia proaktywnych kroków w celu nawiązania kontaktu z właścicielami skrzynek, których to dotyczy, w celu naprawienia problemów, jak stwierdzono w raporcie.

Rust Foundation i Rust Project przeprowadziły również ćwiczenia modelowania zagrożeń, aby zagłębić się w ryzyko ujawnione w audycie bezpieczeństwa. Stworzenie czterech oddzielnych modeli zagrożeń wymagało współpracy z różnymi zespołami wewnętrznymi, takimi jak zespół crates.io, zespół ds. infrastruktury, grupa robocza ds. reagowania na zagrożenia bezpieczeństwa i grupa robocza ds. bezpiecznego kodu. Zewnętrzni interesariusze również byli częścią tej inicjatywy. Oczekuje się, że szczegóły wszystkich tych modeli zagrożeń zostaną wkrótce udostępnione społeczności.