Os melhoramentos no sentido de uma estrutura segura da linguagem de programação Rust foram acentuados pela Rust Foundation. No seu recente Relatório da Iniciativa de Segurança, a organização sublinhou a sua garantia de criar novas ferramentas, funcionalidades e recomendações baseadas na investigação sobre segurança.
A avaliação da progressão da Rust surge na sequência do Plano de Implementação da Estratégia Nacional de Cibersegurança da Casa Branca. Este plano apresenta um investimento cívico significativo no desenvolvimento de linguagens de programação seguras, como o Rust. As linguagens existentes e populares estão a ser rapidamente reconhecidas como "seguras", mas precisam de avançar rapidamente na resolução de lacunas de segurança na fase de crescimento de uma aceitação mais ampla.
Um dos principais objectivos desta estratégia é elevar a adoção de "linguagens de programação seguras em termos de memória", promovendo simultaneamente a segurança do software de código aberto. Entre estas linguagens, a Rust tem vindo a ganhar terreno rapidamente e tornou-se uma alternativa à memória segura amplamente preferida.
A Fundação Rust lançou uma análise exaustiva da segurança no ecossistema Rust. O exame foi concebido para permitir que o Rust Foundation e todo o projeto prevejam riscos potenciais de forma mais eficaz, ao mesmo tempo que determinam como a segurança pode ser sustentada de forma rentável durante um longo período de tempo.
Este ano, a equipa do Rust pretende ampliar os conhecimentos sobre a segurança da caixa e acentuar a informação relacionada. O seu foco atual é a segurança da cadeia de fornecimento de software, para a qual estão a trabalhar em conjunto com as equipas Rust Foundation e crates.io. Os seus esforços implicam a revelação de dados de segurança de caixotes individuais, incluindo avaliações de segredos divulgados, a deteção de caixotes maliciosos e o estabelecimento de modelos de pontuação de melhores práticas de segurança.
Até agora, a equipa evitou qualquer encontro com crates ativamente prejudiciais. No entanto, eles descobriram vários casos de vazamento de credenciais, levando a medidas proativas para se conectar com os proprietários das caixas afetadas para corrigir os problemas, conforme declarado no relatório.
O Rust Foundation e o projeto Rust também realizaram exercícios de modelação de ameaças para aprofundar os riscos expostos na auditoria de segurança. A criação de quatro modelos de ameaças distintos envolveu a cooperação com diferentes equipas internas, como a equipa crates.io, a equipa de infra-estruturas, o grupo de trabalho de resposta de segurança e o grupo de trabalho de código seguro. As partes interessadas externas também fizeram parte desta iniciativa. Espera-se que as especificidades de todos estes modelos de ameaças sejam divulgadas à comunidade em breve.
