Rust 基金會發(fā)布首份安全計劃報告

(資料圖片僅供參考)

rust-foundation-report-security-initiative-progress

Rust 基金會發(fā)布了首份安全計劃報告，詳細(xì)介紹了最近的 Rust 安全重點(diǎn)領(lǐng)域、里程碑和即將推出的計劃。Rust 基金會的安全計劃于 2022 年 9 月創(chuàng)建，旨在支持和推進(jìn) Rust 編程語言生態(tài)系統(tǒng)內(nèi)的安全狀態(tài)。

公告指出，截至目前該安全計劃所取得的成就包括有：

在 Rust 生態(tài)系統(tǒng)的完整安全審計方面取得了重大進(jìn)展 完成多個威脅模型，使 Rust 基金會和 Rust 項(xiàng)目能夠更好地了解安全審計發(fā)現(xiàn)的風(fēng)險 開發(fā)了多種新工具來增強(qiáng) Rust 維護(hù)人員的安全工作流程并更深入地了解漏洞，包括 Painter。 crates.io 技術(shù)債務(wù)減少和 API token 改進(jìn)

Rust 團(tuán)隊今年的目標(biāo)是增強(qiáng)對 crate 安全性的洞察，并強(qiáng)調(diào)與之相關(guān)的信息。他們當(dāng)下的重點(diǎn)是軟件供應(yīng)鏈安全，并且正在與 Rust 基金會和 crates.io 團(tuán)隊合作。工作內(nèi)容涉及披露單個 crate 安全信息，包括泄密評估、識別惡意 crate 以及創(chuàng)建安全最佳實(shí)踐評分模型。

目前為止，該團(tuán)隊還沒有遇到任何主動惡意的 crate。不過據(jù)報告稱，他們已經(jīng)發(fā)現(xiàn)了幾起憑據(jù)泄露案例，并已采取積極措施聯(lián)系受影響的 crate 所有者以解決問題。

此外，Rust 基金會和 Rust 項(xiàng)目還開展了威脅建模工作，以更深入地了解安全審計中強(qiáng)調(diào)的風(fēng)險。四種不同威脅模型的開發(fā)涉及與各個內(nèi)部團(tuán)隊以及外部利益相關(guān)者的協(xié)作，包括 crates.io 團(tuán)隊、基礎(chǔ)設(shè)施團(tuán)隊、安全響應(yīng)工作組和安全代碼工作組。所有這些威脅模型的詳細(xì)信息預(yù)計將在不久的將來與社區(qū)共享。

更多詳情可查看完整報告。

關(guān)鍵詞：