Các cải tiến đối với cấu trúc an toàn của ngôn ngữ lập trình Rust đã được Rust Foundation nhấn mạnh. Trong Báo cáo Sáng kiến Bảo mật gần đây, tổ chức này đã nhấn mạnh sự đảm bảo của họ trong việc tạo ra các công cụ, tính năng và đề xuất mới dựa trên nghiên cứu bảo mật.
Đánh giá về sự tiến triển của Rust được đưa ra sau Kế hoạch Thực hiện Chiến lược An ninh mạng Quốc gia của Nhà Trắng. Kế hoạch này đưa ra một khoản đầu tư dân sự đáng kể vào sự tiến bộ của các ngôn ngữ lập trình an toàn như Rust. Các ngôn ngữ phổ biến, hiện có đang nhanh chóng được công nhận là 'an toàn', nhưng cần phải nhanh chóng giải quyết các lỗ hổng bảo mật trong giai đoạn phát triển của sự chấp nhận rộng rãi hơn.
Một trong những mục tiêu chính của chiến lược này là nâng cao việc áp dụng 'ngôn ngữ lập trình an toàn cho bộ nhớ' trong khi thúc đẩy tính bảo mật của phần mềm nguồn mở. Trong số các ngôn ngữ này, Rust đã phát triển nhanh chóng và trở thành một giải pháp thay thế an toàn cho bộ nhớ được ưa chuộng rộng rãi.
Rust Foundation đã đưa ra một đánh giá toàn diện về bảo mật trong hệ sinh thái Rust. Bài kiểm tra được thiết kế để cho phép Rust Foundation và toàn bộ dự án dự đoán các rủi ro tiềm ẩn hiệu quả hơn đồng thời xác định cách bảo mật có thể được duy trì một cách hiệu quả về mặt chi phí trong một thời gian dài.
Năm nay, nhóm Rust đặt mục tiêu tăng cường hiểu biết sâu sắc về bảo mật thùng và làm nổi bật thông tin liên quan. Điểm nổi bật hiện tại của họ là về bảo mật chuỗi cung ứng phần mềm mà họ đang làm việc song song với các nhóm Rust Foundation và crates.io. Nỗ lực của họ đòi hỏi phải tiết lộ dữ liệu bảo mật thùng riêng lẻ, bao gồm đánh giá các bí mật bị rò rỉ, phát hiện các thùng độc hại và thiết lập các mô hình chấm điểm thực hành bảo mật tốt nhất.
Cho đến nay, nhóm đã tránh được mọi cuộc chạm trán với những chiếc thùng có hại tích cực. Tuy nhiên, họ đã phát hiện ra nhiều trường hợp rò rỉ thông tin xác thực, thúc đẩy các bước chủ động kết nối với chủ sở hữu thùng bị ảnh hưởng để khắc phục sự cố, như đã nêu trong báo cáo.
Rust Foundation và Dự án Rust cũng đã thực hiện các bài tập lập mô hình mối đe dọa để tìm hiểu sâu hơn về các rủi ro có thể gặp phải trong Kiểm tra bảo mật. Việc tạo ra bốn mô hình mối đe dọa riêng biệt liên quan đến sự hợp tác với các nhóm nội bộ khác nhau, chẳng hạn như Nhóm crates.io, Nhóm cơ sở hạ tầng, Nhóm làm việc phản hồi bảo mật và Nhóm làm việc mã bảo mật. Các bên liên quan bên ngoài cũng là một phần của sáng kiến này. Các chi tiết cụ thể của tất cả các mô hình mối đe dọa này dự kiến sẽ sớm được phát hành cho cộng đồng.
