Усовершенствование безопасной структуры языка программирования Rust было подчеркнуто организацией Rust Foundation. В своем недавнем отчете Security Initiative Report организация подчеркнула, что она гарантирует создание новых инструментов, функций и рекомендаций, основанных на исследованиях в области безопасности.
Оценка развития языка Rust дана в связи с принятием Белым домом плана реализации Национальной стратегии кибербезопасности. Этот план предусматривает значительные гражданские инвестиции в развитие безопасных языков программирования, таких как Rust. Существующие популярные языки быстро признаются "безопасными", но им необходимо быстро устранять пробелы в защите на этапе их широкого признания.
Одной из основных целей данной стратегии является распространение "безопасных для памяти языков программирования" и повышение уровня безопасности программного обеспечения с открытым исходным кодом. Среди таких языков быстро набирает популярность язык Rust, который стал наиболее предпочтительной альтернативой безопасному для памяти языку.
Фонд Rust Foundation начал всесторонний обзор безопасности в экосистеме Rust. Экспертиза призвана позволить Rust Foundation и всему проекту более эффективно прогнозировать потенциальные риски и определить, как можно экономически эффективно поддерживать безопасность в течение длительного времени.
В этом году команда Rust поставила перед собой задачу расширить представления о безопасности ящиков и акцентировать внимание на соответствующей информации. В настоящее время в центре их внимания находится безопасность цепочек поставок программного обеспечения, над чем они работают в тандеме с командами Rust Foundation и crates.io. Их усилия направлены на раскрытие индивидуальных данных о безопасности ящиков, включая оценку утечки секретов, выявление вредоносных ящиков и создание моделей оценки лучших практик безопасности.
До сих пор команде удавалось избегать встреч с активно вредоносными критами. Однако они обнаружили несколько случаев утечки учетных данных, что побудило их предпринять упреждающие шаги по установлению контактов с владельцами вредоносных ящиков для устранения проблем, говорится в отчете.
Для более глубокого изучения рисков, выявленных в ходе аудита безопасности, Rust Foundation и Rust Project также провели моделирование угроз. Создание четырех отдельных моделей угроз предполагало сотрудничество с различными внутренними командами, такими как команда crates.io, команда инфраструктуры, рабочая группа по реагированию на угрозы безопасности и рабочая группа по безопасному коду. Внешние заинтересованные стороны также принимали участие в этой инициативе. Ожидается, что в ближайшее время сообщество получит подробную информацию о всех этих моделях угроз.
