Comment Rust améliore la sécurité de son écosystème : la Rust Foundation publie un rapport

Sur ce que leur initiative de sécurité a accompli au cours des six derniers mois de 2023

Comment Rust améliore la sécurité de son écosystème : la Rust Foundation publie un rapport sur ce que leur initiative de sécurité a accompli au cours des six derniers mois de 2023.

La fondation à but non lucratif Rust Foundation a annoncé la publication d'un rapport sur les réalisations de son initiative de sécurité au cours des six derniers mois de l'année 2023. "Il y a déjà beaucoup à montrer pour cette initiative", déclare le directeur exécutif de la fondation, "de plusieurs nouveaux projets de sécurité open source à plusieurs modèles de menaces de sécurité achevés et accessibles au public."

Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. À mesure que l'écosystème d'un langage de programmation s'enrichit de bibliothèques, de paquets et de cadres, la surface d'attaque augmente.

Le langage Rust n'est pas différent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust a la responsabilité de fournir une gamme de ressources à la communauté Rust en pleine croissance. Cette responsabilité signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs à participer de manière sécurisée et évolutive, éliminer les charges de sécurité pour les mainteneurs de Rust, et éduquer le public sur la sécurité au sein de l'écosystème Rust.


Les principales réalisations récentes de l'initiative de sécurité sont les suivantes :

• L'achèvement et la publication des modèles de menace de l'infrastructure Rust et de l'écosystème Crates
• Poursuite du développement du projet de sécurité open source Painter de la Fondation Rust [pour la construction d'une base de données graphique des dépendances/invocations entre crates] et publication d'un nouveau projet de sécurité, Typomania [une boîte à outils pour vérifier le typosquattage dans les registres de paquets].
• Utilisation de nouveaux outils et de meilleures pratiques pour identifier et traiter les crates malveillants.
• Aider à réduire la dette technique au sein du projet Rust, produire/contribuer à la documentation axée sur la sécurité, et élever les priorités de sécurité pour la discussion au sein du projet Rust.

Au cours des prochains mois, les ingénieurs de l'initiative de sécurité se concentreront principalement sur :

• Compléter les quatre modèles de menaces de sécurité de Rust et prendre des mesures pour répondre aux menaces englobées.
• Mettre en place une infrastructure supplémentaire pour soutenir la redondance, les sauvegardes et la mise en miroir des actifs critiques de Rust.
• Collaborer avec le projet Rust sur la conception et la mise en œuvre potentielle de solutions de signature et de PKI pour crates.io afin d'atteindre la parité de sécurité avec d'autres écosystèmes populaires.
• Continuer à créer et à développer des outils pour soutenir l'écosystème Rust, y compris la fonctionnalité d'administration de crates.io, Painter, Typomania et Sandpit

Source : "Securtity Retrospective Report - February 2024" (Rust Foundation)

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

Il est urgent de renforcer la sécurité de la mémoire dans les produits logiciels, selon la CISA. L'utilisation d'un langage de programmation à sécurité mémoire comme Rust serait une solution

La version 1.76.0 de Rust, le langage de programmation compilé multi-paradigme, est disponible, et apporte une nouvelle documentation sur la compatibilité ABI, ainsi que d'autres améliorations

Les mainteneurs et les contributeurs du projet Rust seraient confrontés à un problème d'épuisement professionnel, selon une ancienne contributrice au projet Rust