L'achèvement et la publication des modèles de menace de l'infrastructure Rust et de l'écosystème Crates





Poursuite du développement du projet de sécurité open source Painter de la Fondation Rust [pour la construction d'une base de données graphique des dépendances/invocations entre crates] et publication d'un nouveau projet de sécurité, Typomania [une boîte à outils pour vérifier le typosquattage dans les registres de paquets].





Utilisation de nouveaux outils et de meilleures pratiques pour identifier et traiter les crates malveillants.





Aider à réduire la dette technique au sein du projet Rust, produire/contribuer à la documentation axée sur la sécurité, et élever les priorités de sécurité pour la discussion au sein du projet Rust.

Compléter les quatre modèles de menaces de sécurité de Rust et prendre des mesures pour répondre aux menaces englobées.





Mettre en place une infrastructure supplémentaire pour soutenir la redondance, les sauvegardes et la mise en miroir des actifs critiques de Rust.





Collaborer avec le projet Rust sur la conception et la mise en œuvre potentielle de solutions de signature et de PKI pour crates.io afin d'atteindre la parité de sécurité avec d'autres écosystèmes populaires.





Continuer à créer et à développer des outils pour soutenir l'écosystème Rust, y compris la fonctionnalité d'administration de crates.io, Painter, Typomania et Sandpit

Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. À mesure que l'écosystème d'un langage de programmation s'enrichit de bibliothèques, de paquets et de cadres, la surface d'attaque augmente.Le langage Rust n'est pas différent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust a la responsabilité de fournir une gamme de ressources à la communauté Rust en pleine croissance. Cette responsabilité signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs à participer de manière sécurisée et évolutive, éliminer les charges de sécurité pour les mainteneurs de Rust, et éduquer le public sur la sécurité au sein de l'écosystème Rust.Les principales réalisations récentes de l'initiative de sécurité sont les suivantes :Au cours des prochains mois, les ingénieurs de l'initiative de sécurité se concentreront principalement sur :Pensez-vous que ce rapport est crédible ou pertinent ?Quel est votre avis sur le sujet ?