Rust Foundation 强调了 Rust 编程语言在安全结构方面的改进。该组织在最近的《安全倡议报告》中强调,他们保证在安全研究的基础上开发新的工具、功能和建议。
对 Rust 发展的评估是在白宫发布《国家网络安全战略实施计划》之后进行的。该计划提出了对 Rust 等安全编程语言的发展进行重大的公民投资。现有的流行语言很快就被公认为 "安全 "的,但在被更广泛接受的新兴阶段,需要迅速解决安全漏洞问题。
这一战略的主要目标之一就是在促进开源软件安全的同时,提高 "内存安全编程语言 "的采用率。在这些语言中,Rust 已迅速崛起,成为内存安全语言的首选。
Rust 基金会对 Rust 生态系统内的安全性进行了全面审查。审查的目的是让Rust Foundation 和整个项目能够更有效地预测潜在风险,同时确定如何以具有成本效益的方式长期保持安全性。
今年,Rust 团队将目光投向了扩大对板条箱安全性的洞察力和强调相关信息。他们与Rust Foundation 和 crates.io 团队通力合作,目前的重点是软件供应链安全。他们的工作包括公布单个板条箱的安全数据,包括对泄露机密的评估、检测恶意板条箱以及建立安全最佳实践评分模型。
到目前为止,该团队还没有遇到任何主动有害板条箱。不过,正如报告所述,他们已经发现了多起凭证泄露事件,促使他们采取积极措施与受影响的板条箱所有者联系,以纠正这些问题。
Rust Foundation 和 Rust 项目还开展了威胁建模工作,以深入研究安全审计中暴露的风险。在创建四个独立的威胁模型时,需要与不同的内部团队合作,如 crates.io 团队、基础设施团队、安全响应工作组和安全代码工作组。外部利益相关者也参与了这项工作。所有这些威胁模型的具体内容预计将很快向社区发布。
