摘要:眾所周知,Rust 基金會是一個致力於支持和維持 Rust 程式語言的非營利組織。近日,Rust 基金會宣佈建立一個專門的安全團隊。安全團隊的成立,能讓專業的安全人才來支持 Rust 社區,能確保每個人使用 Rust 都是可靠的。
整理 | 朱珂欣
(圖片來自 Rust Foundation 官網截圖)
2022 年 9 月 13 日,Rust 基金會宣佈建立一個專門的安全團隊。該團隊得到了開源安全基金會 (OpenSSF) 推出 Alpha-Omega 項目和 Rust 基金會最新的白金會員 JFrog 的支持。
一直以來,人們對 Rust 都存在誤解。因為 Rust 能確保記憶體安全,所以認為它是 100% 安全的。Rust 基金會執行董事 Bec Rumbul 表示,其實 Rust 也會像其他語言一樣受到攻擊,因此需要採取相應的措施。隨著 Rust 基金會安全團隊的成立,將專業的安全人才來支持 Rust 社區,能確保每個人使用 Rust 都是可靠的。
安全團隊中來自 Alpha-Omega 和 JFrog 的人力支持,能促使 Rust 在安全方面獲得最佳實踐。新團隊的第一項舉措,便是進行安全審計和威脅建模工作,以此確定未來更經濟型的安全維護方式。團隊還將倡導整個 Rust 領域的安全實踐,包括 Cargo 和 Crates.io,並將其成為維護者社區的資源。
在今年發佈的 10-Point Open Source Security Mobilization Plan 中,OpenSSF 建議業界應通過用 Rust 和 Go 等語言替換 C 和 C++ 等非記憶體安全語言,以此消除漏洞的根源。
因此,OpenSSF 的 Alpha-Omega 計劃向 Rust 基金會捐款,支持一名專門的安全工程師加強Rust安全。Alpha-Omega 由 Google 和 Microsoft 資助,其使命是直接參與並提高 OSS 項目的安全性。該項目的聯合主任 Michael Winser 和Michael Scovetta 也表示,他們正在學習如何將資金轉化為安全。
未來,Rust 程式語言會為更安全的全球供應鏈提供希望,而 Rust 基金會是這項工作的家園,Rust 基金會的安全團隊將合作開展這項重要工作,OpenSSF 總經理 Brian Behlendorf 說道。
JFrog 開發人員關係副總裁 Stephen Chin 也表示,Rust 基金會為所有 Rust 利益相關者之間的協作提供了論壇,是安全團隊的天然家園,他們相信使用 Rust 為社區的更大利益貢獻資源是所有人的責任,為 JFrog 安全團隊提供世界一流的研究人員是他們支持 Rust 生態系統的方式之一。
參考連結:https://foundation.rust-lang.org/news/2022-09-13-rust-foundation-establishes-security-team/