La fondation but non lucratif Rust Foundation a annonc la publication d'un rapport sur les ralisations de son initiative de scurit au cours des six derniers mois de l'anne 2023. "Il y a dj beaucoup montrer pour cette initiative", dclare le directeur excutif de la fondation, "de plusieurs nouveaux projets de scurit open source plusieurs modles de menaces de scurit achevs et accessibles au public."Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. mesure que l'cosystme d'un langage de programmation s'enrichit de bibliothques, de paquets et de cadres, la surface d'attaque augmente.
Le langage Rust n'est pas diffrent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust a la responsabilit de fournir une gamme de ressources la communaut Rust en pleine croissance. Cette responsabilit signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs participer de manire scurise et volutive, liminer les charges de scurit pour les mainteneurs de Rust, et duquer le public sur la scurit au sein de l'cosystme Rust.
Les principales ralisations rcentes de l'initiative de scurit sont les suivantes :
- L'achvement et la publication des modles de menace de l'infrastructure Rust et de l'cosystme Crates
- Poursuite du dveloppement du projet de scurit open source Painter de la Fondation Rust [pour la construction d'une base de donnes graphique des dpendances/invocations entre crates] et publication d'un nouveau projet de scurit, Typomania [une bote outils pour vrifier le typosquattage dans les registres de paquets].
- Utilisation de nouveaux outils et de meilleures pratiques pour identifier et traiter les crates malveillants.
- Aider rduire la dette technique au sein du projet Rust, produire/contribuer la documentation axe sur la scurit, et lever les priorits de scurit pour la discussion au sein du projet Rust.
Au cours des prochains mois, les ingnieurs de l'initiative de scurit se concentreront principalement sur :
- Complter les quatre modles de menaces de scurit de Rust et prendre des mesures pour rpondre aux menaces englobes.
- Mettre en place une infrastructure supplmentaire pour soutenir la redondance, les sauvegardes et la mise en miroir des actifs critiques de Rust.
- Collaborer avec le projet Rust sur la conception et la mise en uvre potentielle de solutions de signature et de PKI pour crates.io afin d'atteindre la parit de scurit avec d'autres cosystmes populaires.
- Continuer crer et dvelopper des outils pour soutenir l'cosystme Rust, y compris la fonctionnalit d'administration de crates.io, Painter, Typomania et Sandpit
Source : "Securtity Retrospective Report - February 2024" (Rust Foundation)
Et vous ?
Pensez-vous que ce rapport est crdible ou pertinent ?
Quel est votre avis sur le sujet ?
Voir aussi :
