la fondation Rust tudie le dveloppement d’un modle d’infrastructure cl publique (PKI) pour le langage Rust, selon son dernier rapport

Rust peut faciliter l'arrive de nouveaux contributeurs dans les projets open source tout en rduisant les vulnrabilits Sans eux, le projet finira par devenir inactif, d'aprs un sujet de recherche



Le dernier rapport de la Fondation Rust dtaille les ralisations techniques et mises jour sur de multiples initiatives de scurit du langage Rust. Le rapport rvle notamment l’tude du dveloppement d’un modle d’infrastructure cl publique (PKI) pour le langage Rust. Deux outils de scurit open source, Painter et Typomania, ont t dvelopps et publis.

Rust est un langage de programmation gnraliste qui met l’accent sur les performances, la scurit des types et la concurrence. Il assure la scurit de la mmoire, ce qui signifie que toutes les rfrences pointent vers une mmoire valide. Il n’utilise pas de ramasse-miettes traditionnel ; au lieu de cela, les erreurs de scurit de la mmoire et les courses aux donnes (data race) sont vites par le « vrificateur d’emprunts », qui suit la dure de vie des objets des rfrences au moment de la compilation. De ce fait, Rust a connu une adoption rapide et il est populaire pour la programmation de systmes.

Lorsque la base d’utilisateurs d’un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. mesure que l’cosystme d’un langage de programmation s’enrichit de bibliothques, de paquets et de cadres, la surface d’attaque augmente. Le langage Rust n’est pas diffrent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust avait publi un rapport en fvrier 2024 sur les ralisations de son initiative de scurit au cours des six derniers mois de l’anne 2023.

Un rcent rapport de la fondation Rust montre les mises jour de ces initiatives de scurit. Le rapport rvle que la fondation tudierait le dveloppement d’un modle d’infrastructure cl publique (PKI) pour le langage Rust, y compris la conception et la mise en uvre d’un CA PKI et d’un modle de Quorum rsilient pour le projet mettre en uvre. La fondation Rust aurait galement fait des « progrs considrables » sur un audit de scurit complet de l’cosystme Rust, et que des mises jour du langage suggres par les membres du projet sont presque prtes tre mises en uvre.

Pour rappel, la Fondation Rust a la responsabilit de fournir une gamme de ressources la communaut Rust en pleine croissance. Cette responsabilit signifie qu’ils doivent travailler avec le projet Rust pour aider les contributeurs participer de manire scurise et volutive, liminer les charges de scurit pour les mainteneurs de Rust, et duquer le public sur la scurit au sein de l’cosystme Rust.

la suite de la vulnrabilit de la porte drobe XZ, l’initiative de scurit s’est concentre sur la scurit de la chane d’approvisionnement, notamment sur le suivi de la provenance, en vrifiant qu’une crate donne est effectivement associe au dpt qu’elle prtend tre. Les 5 000 premiers crates par nombre de tlchargements ont t contrls et vrifis. La modlisation des menaces a t acheve pour l’cosystme Crates : l’infrastructure Rust, crates.io et le projet Rust.

Deux outils de scurit open source, Painter et Typomania, ont t dvelopps et publis. Painter peut tre utilis pour construire une base de donnes de graphes de dpendances et d’invocations entre tous les crates de l’cosystme crates.io, y compris la capacit d’obtenir des statistiques « non sres« , un meilleur lagage des graphes d’appels et une cartographie des frontires FFI. Typomania porte typogard en Rust, et peut tre utilis pour dtecter le typosquatting potentiel en tant que bibliothque rutilisable qui peut tre adapte n’importe quel registre.

Ils ont galement renforc les privilges d’administration pour le registre de paquets de Rust, selon le rapport. Et « en plus du travail sur l’initiative de scurit, la fondation a galement travaill sur l’amlioration de l’interoprabilit entre Rust et C++, soutenue par une contribution d’un million de dollars de Google« .

Selon le directeur technologique de la fondation Rust, des progrs techniques impressionnants ont t raliss et de nouvelles stratgies ont t dveloppes pour renforcer la scurit et la longvit du langage de programmation Rust. Le directeur explique que le nouveau rapport « brosse un tableau clair de l’impact de nos projets techniques tels que l’initiative de scurit, le consortium Safety-Critical Rust, l’infrastructure et le soutien de crates.io, l’initiative Interop, et bien d’autres choses encore« .

Voici l’annonce de la Fondation Rust de son dernier rapport :

La Fondation Rust, une organisation indpendante but non lucratif ddie la gestion et l’avancement du langage de programmation Rust, a publi aujourd’hui un nouveau rapport dtaillant les rcentes ralisations techniques effectues entre fvrier et aot 2024 en collaboration avec diverses organisations, quipes et individus au sein de la communaut Rust.

Le rapport sert de catalogue des tapes rcentes et des nouveaux paquets de travail grs par l’quipe technologique de la Fondation Rust, y compris :

  • L’embauche de nouveaux talents en ingnierie pour aider soutenir le dveloppement et la croissance de l’infrastructure Rust et de l’interoprabilit Rust-C++.
  • Modles de menaces pour la scurit du langage Rust, y compris des rapports ddis l’infrastructure Rust et l’cosystme crates.
  • Dons en faveur d’initiatives techniques de la part des membres Platine (Google, Microsoft et autres).
  • Rduction de la dette technique de crates.io et amlioration des fonctionnalits.
  • Poursuite du dveloppement des projets open source Painter et Typomania de la Fondation Rust.

… et bien d’autres choses encore.

« Depuis la cration de la Rust Foundation en 2021, il a t passionnant de voir l’cosystme Rust continuer s’tendre et voluer grce un large intrt pour les nombreux avantages que Rust a offrir – et au travail acharn des principaux mainteneurs« , a dclar Joel Marcey, directeur de la technologie de la Rust Foundation. « Au cours des derniers mois, la Fondation Rust a fait des progrs techniques impressionnants et a dvelopp de nouvelles stratgies pour renforcer la sret, la scurit et la longvit du langage de programmation Rust afin de rpondre cette demande croissante. Le contenu de notre dernier rapport dresse un tableau clair de l’impact de nos projets techniques tels que l’Initiative de Scurit, le Consortium Safety-Critical Rust, l’infrastructure et le support de crates.io, l’Initiative Interop, et bien d’autres encore. Nous sommes reconnaissants aux nombreux leaders du projet Rust, ainsi qu’ nos membres et donateurs, pour leur collaboration et leur soutien dans ces domaines au cours des six derniers mois.« 

Source : Annonce du rapport technologique de la Fondation Rust

Et vous ?

Pensez-vous que ce rapport est crdible ou pertinent ?

Quel est votre avis sur le sujet ?

Voir aussi :

La fondation Rust annonce la cration d’un nouveau Consortium Rust pour les systmes critiques, afin de soutenir l’utilisation responsable de Rust dans la scurit des logiciels critiques

La version 1.76.0 de Rust, le langage de programmation compil multi-paradigme, est disponible et apporte une nouvelle documentation sur la compatibilit ABI, ainsi que d’autres amliorations

Le C++ devient plus populaire que le C sur l’indice Tiobe et prend la deuxime place au mois de juin, malgr l’avertissement de la Maison Blanche qui invite les dveloppeurs abandonner C/C++ pour Rust



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.