摘要:众所周知,Rust 基金会是一个致力于支持和维持 Rust 编程语言的非营利组织。近日,Rust 基金会宣布建立一个专门的安全团队。安全团队的成立,能让专业的安全人才来支持 Rust 社区,能确保每个人使用 Rust 都是可靠的。
(图片来自 Rust Foundation 官网截图)
2022 年 9 月 13 日,Rust 基金会宣布建立一个专门的安全团队。该团队得到了开源安全基金会 (OpenSSF) 推出 Alpha-Omega 项目和 Rust 基金会最新的白金会员 JFrog 的支持。
一直以来,人们对 Rust 都存在误解。因为 Rust 能确保内存安全,所以认为它是 100% 安全的。Rust 基金会执行董事 Bec Rumbul 表示,其实 Rust 也会像其他语言一样受到攻击,因此需要采取相应的措施。随着 Rust 基金会安全团队的成立,将专业的安全人才来支持 Rust 社区,能确保每个人使用 Rust 都是可靠的。
安全团队中来自 Alpha-Omega 和 JFrog 的人力支持,能促使 Rust 在安全方面获得最佳实践。新团队的第一项举措,便是进行安全审计和威胁建模工作,以此确定未来更经济型的安全维护方式。团队还将倡导整个 Rust 领域的安全实践,包括 Cargo 和 Crates.io,并将其成为维护者社区的资源。
在今年发布的 10-Point Open Source Security Mobilization Plan 中,OpenSSF 建议业界应通过用 Rust 和 Go 等语言替换 C 和 C++ 等非内存安全语言,以此消除漏洞的根源。
因此,OpenSSF 的 Alpha-Omega 计划向 Rust 基金会捐款,支持一名专门的安全工程师加强Rust安全。Alpha-Omega 由 Google 和 Microsoft 资助,其使命是直接参与并提高 OSS 项目的安全性。该项目的联合主任 Michael Winser 和Michael Scovetta 也表示,他们正在学习如何将资金转化为安全。
未来,Rust 编程语言会为更安全的全球供应链提供希望,而 Rust 基金会是这项工作的家园,Rust 基金会的安全团队将合作开展这项重要工作,OpenSSF 总经理 Brian Behlendorf 说道。
JFrog 开发人员关系副总裁 Stephen Chin 也表示,Rust 基金会为所有 Rust 利益相关者之间的协作提供了论坛,是安全团队的天然家园,他们相信使用 Rust 为社区的更大利益贡献资源是所有人的责任,为 JFrog 安全团队提供世界一流的研究人员是他们支持 Rust 生态系统的方式之一。
参考链接:https://foundation.rust-lang.org/news/2022-09-13-rust-foundation-establishes-security-team/