Rust 基金会发布首份安全计划报告


rust-foundation-report-security-initiative-progress

Rust 基金会发布了首份安全计划报告,详细介绍了最近的 Rust 安全重点领域、里程碑和即将推出的计划。Rust 基金会的安全计划于 2022 年 9 月创建,旨在支持和推进 Rust 编程语言生态系统内的安全状态。

公告指出,截至目前该安全计划所取得的成就包括有:

  • 在 Rust 生态系统的完整安全审计方面取得了重大进展
  • 完成多个威胁模型,使 Rust 基金会和 Rust 项目能够更好地了解安全审计发现的风险
  • 开发了多种新工具来增强 Rust 维护人员的安全工作流程并更深入地了解漏洞,包括 Painter。
  • crates.io 技术债务减少和 API token 改进

Rust 团队今年的目标是增强对 crate 安全性的洞察,并强调与之相关的信息。他们当下的重点是软件供应链安全,并且正在与 Rust 基金会和 crates.io 团队合作。工作内容涉及披露单个 crate 安全信息,包括泄密评估、识别恶意 crate 以及创建安全最佳实践评分模型。

目前为止,该团队还没有遇到任何主动恶意的 crate。不过据报告称,他们已经发现了几起凭据泄露案例,并已采取积极措施联系受影响的 crate 所有者以解决问题。

此外,Rust 基金会和 Rust 项目还开展了威胁建模工作,以更深入地了解安全审计中强调的风险。四种不同威胁模型的开发涉及与各个内部团队以及外部利益相关者的协作,包括 crates.io 团队、基础设施团队、安全响应工作组和安全代码工作组。所有这些威胁模型的详细信息预计将在不久的将来与社区共享。

更多详情可查看完整报告。


相關推薦

2023-02-17

JFrog 最新发布了首份年度 Software Artifact State of the Union 报告,基于来自全球 7000+ 不同规模企业的数据;揭露了当今企业开发人员在将软件从设计到生产过程中最常用的软件包和二进制文件。报告评估的 Top 10 顶级软件技术(2021

2024-07-19

GNOME 基金会宣布进行执行董事换届,刚上任不满一年的执行董事 Holly Million 卸任,新的临时执行董事 Richard Littauer 加入基金会进行工作接替。 GNOME 基金会在去年 10 月宣布聘请了 Holly Million。基金会主席 Robert McQueen 曾指出,董事

2023-04-19

o 的开发此后陷入了停滞。后来,Servo 项目后来找到 Linux 基金会托管,寻求为其它项目提供一个高性能的、安全的、可嵌入的模块化渲染引擎。 过去几个月,Servo 项目的开发再次活跃。其官方博客表示正在考虑采用新的布局

2022-05-21

常用于实现 AR/VR 应用程序的低层核心逻辑。 对此,Rust 基金会执行董事 Rebecca Rumbul 评论称,“Rust 的安全性和内存安全使人们能够以很大的信心进行创作。维护者和贡献者社区具有包容性和支持性。随着对 Rust 开发人员的需求

2022-04-03

Rust 基金会推出一个 2022 年社区资助项目,对 Rust 社区现有资金生态系统的补充;此次预算共 62.5 万美元,由 AWS、华为和谷歌捐赠。 该计划的目标在于: 支持 Rust 的维护者。“我们知道,许多人在志愿的基础上奉献了大量的

2022-04-01

谢他们对 Rust 项目和生态所作出的贡献。 Google 作为 Rust 基金会的创始成

2022-12-17

采用 Rust 用于系统编程的原因。 Shopify 目前已加入 Rust 基金会,对 Shopify 而言 ,他们正处于 Rust 之旅的开端。目前需要努力开发教育资源和内部工具,并学习如何最好地参与 Rust 社区和生态,让每个人都能构建可持续的、

2023-11-18

ust Reference 的维护者)、Felix(Rust 语言团队)、Joel(Rust 基金会)和 Mara(RFC 的作者)来共同推动这项工作的进行。 截至今日,Eric 四人代表规范团队发文介绍了这项工作的最新进展,以及后续的一些其他规划。 Editor 第一步

2021-11-18

致力于支持 Rust 项目的独立非营利组织 Rust 基金会宣布,正式任命 Rebecca Rumbul 为该组织的执行董事兼 CEO。公告指出,这是该组织为支持 Rust 编程语言的快速创新和采用而努力迈出的重要一步。在 Rumbul 的领导下,他们将继

2023-11-04

OpenJS 基金会公布了一项基于 IDC 调查的最终用户审计结果显示,十亿个网站中有四分之三的网站正在使用过时的软件,并且其中大多数网站都会收集个人和财务信息。超过三分之一的受访者证实,在过去 24 个月中曾经历过安全

2022-09-15

Rust 编程语言的非营利组织 Rust 基金会宣布,将建立一个专门的安全团队;由 OpenSSF 的 Alpha-Omega Initiative (一个专注于开源软件供应链安全的 Linux 基金会项目) 以及该基金会的最新白金会员、Devops 平台供应商 JFrog 提供支持。

2023-03-21

XCP-ng 是由 Linux 基金会主办的 Xen Project 孵化项目,近日,其团队发博客称将要将 Rust 引入 Xen 项目,使用 Rust 重写一些 Xen 组件。 Xen 是由剑桥大学开发的 x86 开源虚拟机监控器 (VMM),支持在单个机器上高性能地虚拟化多个操作

2023-02-03

在美国国家安全局 (NSA) 建议组织从 C/C++ 切换到内存安全语言 (如 C#、Rust、Go、Java、Ruby 或 Swift) 之后。C++ 之父 Bjarne Stroustrup 回应称,在他看来,NSA 报告中提到的“安全”编程语言在重要应用程序中实际上并不优于 C++。

2023-05-30

5 月 28 日,由上海浦东软件园、开放原子开源基金会、Linux 基金会亚太区与开源PHP联合主办的“全球开源技术峰会 GOTC 2023”圆满落幕。   3 亿曝光量 本次峰会总共吸引了超过 1500 人到现场参会,线上直播观看量超过 540