Rust est un langage de programmation généraliste qui met l'accent sur les performances, la sécurité des types et la concurrence. Il assure la sécurité de la mémoire, ce qui signifie que toutes les références pointent vers une mémoire valide. Il n'utilise pas de ramasse-miettes traditionnel ; au lieu de cela, les erreurs de sécurité de la mémoire et les courses aux données (data race) sont évitées par le "vérificateur d'emprunts", qui suit la durée de vie des objets des références au moment de la compilation. De ce fait, Rust a connu une adoption rapide et il est populaire pour la programmation de systèmes.
Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. À mesure que l'écosystème d'un langage de programmation s'enrichit de bibliothèques, de paquets et de cadres, la surface d'attaque augmente. Le langage Rust n'est pas différent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust avait publié un rapport en février 2024 sur les réalisations de son initiative de sécurité au cours des six derniers mois de l'année 2023.
Un récent rapport de la fondation Rust montre les mises à jour de ces initiatives de sécurité. Le rapport révèle que la fondation étudierait le développement d'un modèle d'infrastructure à clé publique (PKI) pour le langage Rust, y compris la conception et la mise en œuvre d'un CA PKI et d'un modèle de Quorum résilient pour le projet à mettre en œuvre. La fondation Rust aurait également fait des "progrès considérables" sur un audit de sécurité complet de l'écosystème Rust, et que des mises à jour du langage suggérées par les membres du projet sont presque prêtes à être mises en œuvre.
Pour rappel, la Fondation Rust a la responsabilité de fournir une gamme de ressources à la communauté Rust en pleine croissance. Cette responsabilité signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs à participer de manière sécurisée et évolutive, éliminer les charges de sécurité pour les mainteneurs de Rust, et éduquer le public sur la sécurité au sein de l'écosystème Rust.
À la suite de la vulnérabilité de la porte dérobée XZ, l'initiative de sécurité s'est concentrée sur la sécurité de la chaîne d'approvisionnement, notamment sur le suivi de la provenance, en vérifiant qu'une crate donnée est effectivement associée au dépôt qu'elle prétend être. Les 5 000 premiers crates par nombre de téléchargements ont été contrôlés et vérifiés. La modélisation des menaces a été achevée pour l'écosystème Crates : l'infrastructure Rust, crates.io et le projet Rust.
Deux outils de sécurité open source, Painter et Typomania, ont été développés et publiés. Painter peut être utilisé pour construire une base de données de graphes de dépendances et d'invocations entre tous les crates de l'écosystème crates.io, y compris la capacité d'obtenir des statistiques "non sûres", un meilleur élagage des graphes d'appels et une cartographie des frontières FFI. Typomania porte typogard en Rust, et peut être utilisé pour détecter le typosquatting potentiel en tant que bibliothèque réutilisable qui peut être adaptée à n'importe quel registre.
Ils ont également renforcé les privilèges d'administration pour le registre de paquets de Rust, selon le rapport. Et "en plus du travail sur l'initiative de sécurité, la fondation a également travaillé sur l'amélioration de l'interopérabilité entre Rust et C++, soutenue par une contribution d'un million de dollars de Google".
Selon le directeur technologique de la fondation Rust, des progrès techniques impressionnants ont été réalisés et de nouvelles stratégies ont été développées pour renforcer la sécurité et la longévité du langage de programmation Rust. Le directeur explique que le nouveau rapport "brosse un tableau clair de l'impact de nos projets techniques tels que l'initiative de sécurité, le consortium Safety-Critical Rust, l'infrastructure et le soutien de crates.io, l'initiative Interop, et bien d'autres choses encore".
Voici l'annonce de la Fondation Rust de son dernier rapport :
La Fondation Rust, une organisation indépendante à but non lucratif dédiée à la gestion et à l'avancement du langage de programmation Rust, a publié aujourd'hui un nouveau rapport détaillant les récentes réalisations techniques effectuées entre février et août 2024 en collaboration avec diverses organisations, équipes et individus au sein de la communauté Rust.
Le rapport sert de catalogue des étapes récentes et des nouveaux paquets de travail gérés par l'équipe technologique de la Fondation Rust, y compris :
- L'embauche de nouveaux talents en ingénierie pour aider à soutenir le développement et la croissance de l'infrastructure Rust et de l'interopérabilité Rust-C++.
- Modèles de menaces pour la sécurité du langage Rust, y compris des rapports dédiés à l'infrastructure Rust et à l'écosystème crates.
- Dons en faveur d'initiatives techniques de la part des membres Platine (Google, Microsoft et autres).
- Réduction de la dette technique de crates.io et amélioration des fonctionnalités.
- Poursuite du développement des projets open source Painter et Typomania de la Fondation Rust.
... et bien d'autres choses encore.
"Depuis la création de la Rust Foundation en 2021, il a été passionnant de voir l'écosystème Rust continuer à s'étendre et à évoluer grâce à un large intérêt pour les nombreux avantages que Rust a à offrir - et au travail acharné des principaux mainteneurs", a déclaré Joel Marcey, directeur de la technologie de la Rust Foundation. "Au cours des derniers mois, la Fondation Rust a fait des progrès techniques impressionnants et a développé de nouvelles stratégies pour renforcer la sûreté, la sécurité et la longévité du langage de programmation Rust afin de répondre à cette demande croissante. Le contenu de notre dernier rapport dresse un tableau clair de l'impact de nos projets techniques tels que l'Initiative de Sécurité, le Consortium Safety-Critical Rust, l'infrastructure et le support de crates.io, l'Initiative Interop, et bien d'autres encore. Nous sommes reconnaissants aux nombreux leaders du projet Rust, ainsi qu'à nos membres et donateurs, pour leur collaboration et leur soutien dans ces domaines au cours des six derniers mois."
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :
La fondation Rust annonce la création d'un nouveau Consortium Rust pour les systèmes critiques, afin de soutenir l'utilisation responsable de Rust dans la sécurité des logiciels critiques
La version 1.76.0 de Rust, le langage de programmation compilé multi-paradigme, est disponible et apporte une nouvelle documentation sur la compatibilité ABI, ainsi que d'autres améliorations
Le C++ devient plus populaire que le C sur l'indice Tiobe et prend la deuxième place au mois de juin, malgré l'avertissement de la Maison Blanche qui invite les développeurs à abandonner C/C++ pour Rust