Rust 编程语言的非营利组织 Rust 基金会宣布,将建立一个专门的安全团队;由 OpenSSF 的 Alpha-Omega Initiative (一个专注于开源软件供应链安全的 Linux 基金会项目) 以及该基金会的最新白金会员、Devops 平台供应商 JFrog 提供支持。
Alpha-Omega 和 JFrog 的投资还包括专门的员工资源,“这将使 Rust 基金会能够创建和实施安全最佳实践”。作为公司对 Rust 基金会和生态系统投资的一部分,JFrog 已经承诺其安全研究团队的成员将在 Rust 基金会安全团队工作。
Rust 基金会执行董事 Bec Rumbul 称,经常有一种误解,即因为 Rust 确保内存安全,所以大家就误认为它就是 100% 安全的。但 Rust 和其他语言一样,也有可能受到攻击,因此需要采取积极的措施来保护和维持它和社区。“随着 Rust 基金会安全团队的成立,我们将能够以最高水平的安全人才支持更广泛的 Rust 社区,并帮助确保 Rust 对每个人的可靠性。当然,这只是一个开始。我们希望在未来几个月和几年内继续建立这个团队”。
根据介绍,新安全团队的第一项举措将是进行安全审计和威胁建模练习,以确定未来如何以经济的方式维护安全。该团队还将帮助倡导整个 Rust 领域的安全实践,包括 Cargo 和 Crates.io,并将成为维护者社区的资源。
OpenSSF 曾在其今年早些时候发布的 10-Point Open Source Security Mobilization Plan 中建议,业界应该努力消除许多漏洞的根源,方法是用 Rust 和 Go 等语言替换 C 和 C++ 等非内存安全语言。
因此,OpenSSF 的 Alpha-Omega Initiative 目前已向 Rust 基金会提供了一笔资金,以支持一名专门的安全工程师。Alpha-Omega 由谷歌和微软资助,其使命是直接参与提高 OSS 项目的安全性。“我们正在学习如何把钱变成安全”。