Rust 如何提高生態系統的安全性

本週,非營利組織 Rust 基金會(Rust Foundation)發佈一份報告,介紹其安全計劃在2023年最後六個月取得的成果。

最近更新時間 2024-02-19 11:51:36

該基金會的執行董事表示:從幾個新的開源安全項目到幾個已完成並公開的安全威脅模型,這項計劃已經取得了很多成果。

當任何編程語言的用户羣擴大時,它對惡意行為者的吸引力就會增加。任何編程語言的生態系統都會隨着庫、軟件包和框架的增加而擴大,攻擊的範圍也會隨之增加。Rust 也不例外。作為 Rust 編程語言的管理者,Rust 基金會有責任為不斷壯大的 Rust 社區提供一系列資源。這一責任意味着我們必須與 Rust 項目合作,幫助貢獻者以安全、可擴展的方式參與其中,消除 Rust 維護者的安全負擔,並向公眾宣傳 Rust 生態系統中的安全知識。

安全倡議最近取得的成就包括:

- 完成併發布 Rust 基礎設施和 Crates 生態系統威脅模型
- 進一步開發 Rust 基金會開源安全項目 Painter [用於構建 crates 依賴關係/引用關係的圖數據庫],併發布新的安全項目 Typomania [用於檢查軟件包註冊表中錯別字的工具箱]。
- 利用新工具和最佳實踐來識別和處理惡意 crates。
- 幫助減少 Rust 項目中的技術債務,製作/貢獻以安全為重點的文檔,並在 Rust 項目中提高安全優先級的討論。

在接下來的幾個月裏,安全倡議工程師將主要關注以下幾個方面:

- 完成所有四個 Rust 安全威脅模型,並採取行動應對所包含的威脅
- 建立額外的基礎設施,以支持關鍵 Rust 資產的冗餘、備份和鏡像
- 與 Rust 項目合作,為 crates.io 設計和實施潛在的簽名和 PKI 解決方案,以實現與其他流行生態系統的安全性平等
- 繼續創建和進一步開發支持 Rust 生態系統的工具,包括 crates.io 管理功能、Painter、Typomania 和 Sandpit。

rss_feed