Rust 如何提高生态系统的安全性

该基金会的执行董事表示：从几个新的开源安全项目到几个已完成并公开的安全威胁模型，这项计划已经取得了很多成果。

当任何编程语言的用户群扩大时，它对恶意行为者的吸引力就会增加。任何编程语言的生态系统都会随着库、软件包和框架的增加而扩大，攻击的范围也会随之增加。Rust 也不例外。作为 Rust 编程语言的管理者，Rust 基金会有责任为不断壮大的 Rust 社区提供一系列资源。这一责任意味着我们必须与 Rust 项目合作，帮助贡献者以安全、可扩展的方式参与其中，消除 Rust 维护者的安全负担，并向公众宣传 Rust 生态系统中的安全知识。

安全倡议最近取得的成就包括：

- 完成并发布 Rust 基础设施和 Crates 生态系统威胁模型
- 进一步开发 Rust 基金会开源安全项目 Painter [用于构建 crates 依赖关系/引用关系的图数据库]，并发布新的安全项目 Typomania [用于检查软件包注册表中错别字的工具箱]。
- 利用新工具和最佳实践来识别和处理恶意 crates。
- 帮助减少 Rust 项目中的技术债务，制作/贡献以安全为重点的文档，并在 Rust 项目中提高安全优先级的讨论。

在接下来的几个月里，安全倡议工程师将主要关注以下几个方面：

- 完成所有四个 Rust 安全威胁模型，并采取行动应对所包含的威胁
- 建立额外的基础设施，以支持关键 Rust 资产的冗余、备份和镜像
- 与 Rust 项目合作，为 crates.io 设计和实施潜在的签名和 PKI 解决方案，以实现与其他流行生态系统的安全性平等
- 继续创建和进一步开发支持 Rust 生态系统的工具，包括 crates.io 管理功能、Painter、Typomania 和 Sandpit。