rust-foundation-report-security-initiative-progress
Rust 基金会发布了首份安全计划报告,详细介绍了最近的 Rust 安全重点领域、里程碑和即将推出的计划。Rust 基金会的安全计划于 2022 年 9 月创建,旨在支持和推进 Rust 编程语言生态系统内的安全状态。
公告指出,截至目前该安全计划所取得的成就包括有:
在 Rust 生态系统的完整安全审计方面取得了重大进展
完成多个威胁模型,使 Rust 基金会和 Rust 项目能够更好地了解安全审计发现的风险
开发了多种新工具来增强 Rust 维护人员的安全工作流程并更深入地了解漏洞,包括 Painter。
crates.io 技术债务减少和 API token 改进
Rust 团队今年的目标是增强对 crate 安全性的洞察,并强调与之相关的信息。他们当下的重点是软件供应链安全,并且正在与 Rust 基金会和 crates.io 团队合作。工作内容涉及披露单个 crate 安全信息,包括泄密评估、识别恶意 crate 以及创建安全最佳实践评分模型。
目前为止,该团队还没有遇到任何主动恶意的 crate。不过据报告称,他们已经发现了几起凭据泄露案例,并已采取积极措施联系受影响的 crate 所有者以解决问题。
此外,Rust 基金会和 Rust 项目还开展了威胁建模工作,以更深入地了解安全审计中强调的风险。四种不同威胁模型的开发涉及与各个内部团队以及外部利益相关者的协作,包括 crates.io 团队、基础设施团队、安全响应工作组和安全代码工作组。所有这些威胁模型的详细信息预计将在不久的将来与社区共享。
更多详情可查看完整报告。