Rust 如何提高生态系统的安全性
本周,非营利组织 Rust 基金会(Rust Foundation)发布一份报告,介绍其安全计划在2023年最后六个月取得的成果。
最近更新时间 2024-02-19 11:51:36
该基金会的执行董事表示:从几个新的开源安全项目到几个已完成并公开的安全威胁模型,这项计划已经取得了很多成果。
当任何编程语言的用户群扩大时,它对恶意行为者的吸引力就会增加。任何编程语言的生态系统都会随着库、软件包和框架的增加而扩大,攻击的范围也会随之增加。Rust 也不例外。作为 Rust 编程语言的管理者,Rust 基金会有责任为不断壮大的 Rust 社区提供一系列资源。这一责任意味着我们必须与 Rust 项目合作,帮助贡献者以安全、可扩展的方式参与其中,消除 Rust 维护者的安全负担,并向公众宣传 Rust 生态系统中的安全知识。
安全倡议最近取得的成就包括:
- 完成并发布 Rust 基础设施和 Crates 生态系统威胁模型
- 进一步开发 Rust 基金会开源安全项目 Painter [用于构建 crates 依赖关系/引用关系的图数据库],并发布新的安全项目 Typomania [用于检查软件包注册表中错别字的工具箱]。
- 利用新工具和最佳实践来识别和处理恶意 crates。
- 帮助减少 Rust 项目中的技术债务,制作/贡献以安全为重点的文档,并在 Rust 项目中提高安全优先级的讨论。
在接下来的几个月里,安全倡议工程师将主要关注以下几个方面:
- 完成所有四个 Rust 安全威胁模型,并采取行动应对所包含的威胁
- 建立额外的基础设施,以支持关键 Rust 资产的冗余、备份和镜像
- 与 Rust 项目合作,为 crates.io 设计和实施潜在的签名和 PKI 解决方案,以实现与其他流行生态系统的安全性平等
- 继续创建和进一步开发支持 Rust 生态系统的工具,包括 crates.io 管理功能、Painter、Typomania 和 Sandpit。