Rust 如何提高生態系統的安全性

該基金會的執行董事表示：從幾個新的開源安全項目到幾個已完成並公開的安全威脅模型，這項計劃已經取得了很多成果。

當任何編程語言的用戶群擴大時，它對惡意行為者的吸引力就會增加。任何編程語言的生態系統都會隨著庫、軟件包和框架的增加而擴大，攻擊的範圍也會隨之增加。Rust 也不例外。作為 Rust 編程語言的管理者，Rust 基金會有責任為不斷壯大的 Rust 社區提供一系列資源。這一責任意味著我們必須與 Rust 項目合作，幫助貢獻者以安全、可擴展的方式參與其中，消除 Rust 維護者的安全負擔，並向公眾宣傳 Rust 生態系統中的安全知識。

安全倡議最近取得的成就包括：

- 完成併發布 Rust 基礎設施和 Crates 生態系統威脅模型
- 進一步開發 Rust 基金會開源安全項目 Painter [用於構建 crates 依賴關係/引用關係的圖數據庫]，併發布新的安全項目 Typomania [用於檢查軟件包註冊表中錯別字的工具箱]。
- 利用新工具和最佳實踐來識別和處理惡意 crates。
- 幫助減少 Rust 項目中的技術債務，製作/貢獻以安全為重點的文檔，並在 Rust 項目中提高安全優先級的討論。

在接下來的幾個月裡，安全倡議工程師將主要關注以下幾個方面：

- 完成所有四個 Rust 安全威脅模型，並採取行動應對所包含的威脅
- 建立額外的基礎設施，以支持關鍵 Rust 資產的冗餘、備份和鏡像
- 與 Rust 項目合作，為 crates.io 設計和實施潛在的簽名和 PKI 解決方案，以實現與其他流行生態系統的安全性平等
- 繼續創建和進一步開發支持 Rust 生態系統的工具，包括 crates.io 管理功能、Painter、Typomania 和 Sandpit。