Comment Rust am�liore la s�curit� de son �cosyst�me

**Jade Emy** · 19/02/2024, 11h31

Comment Rust am�liore la s�curit� de son �cosyst�me : la Rust Foundation publie un rapport sur ce que leur initiative de s�curit� a accompli au cours des six derniers mois de 2023.

La fondation � but non lucratif Rust Foundation a annonc� la publication d'un rapport sur les r�alisations de son initiative de s�curit� au cours des six derniers mois de l'ann�e 2023. "Il y a d�j� beaucoup � montrer pour cette initiative", d�clare le directeur ex�cutif de la fondation, "de plusieurs nouveaux projets de s�curit� open source � plusieurs mod�les de menaces de s�curit� achev�s et accessibles au public."

Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. � mesure que l'�cosyst�me d'un langage de programmation s'enrichit de biblioth�ques, de paquets et de cadres, la surface d'attaque augmente.

Le langage Rust n'est pas diff�rent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust a la responsabilit� de fournir une gamme de ressources � la communaut� Rust en pleine croissance. Cette responsabilit� signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs � participer de mani�re s�curis�e et �volutive, �liminer les charges de s�curit� pour les mainteneurs de Rust, et �duquer le public sur la s�curit� au sein de l'�cosyst�me Rust.

Nom : 0.png
Affichages : 11304
Taille : 50,6 Ko

Les principales r�alisations r�centes de l'initiative de s�curit� sont les suivantes :

L'ach�vement et la publication des mod�les de menace de l'infrastructure Rust et de l'�cosyst�me Crates
Poursuite du d�veloppement du projet de s�curit� open source Painter de la Fondation Rust [pour la construction d'une base de donn�es graphique des d�pendances/invocations entre crates] et publication d'un nouveau projet de s�curit�, Typomania [une bo�te � outils pour v�rifier le typosquattage dans les registres de paquets].
Utilisation de nouveaux outils et de meilleures pratiques pour identifier et traiter les crates malveillants.
Aider � r�duire la dette technique au sein du projet Rust, produire/contribuer � la documentation ax�e sur la s�curit�, et �lever les priorit�s de s�curit� pour la discussion au sein du projet Rust.

Au cours des prochains mois, les ing�nieurs de l'initiative de s�curit� se concentreront principalement sur :

Compl�ter les quatre mod�les de menaces de s�curit� de Rust et prendre des mesures pour r�pondre aux menaces englob�es.
Mettre en place une infrastructure suppl�mentaire pour soutenir la redondance, les sauvegardes et la mise en miroir des actifs critiques de Rust.
Collaborer avec le projet Rust sur la conception et la mise en �uvre potentielle de solutions de signature et de PKI pour crates.io afin d'atteindre la parit� de s�curit� avec d'autres �cosyst�mes populaires.
Continuer � cr�er et � d�velopper des outils pour soutenir l'�cosyst�me Rust, y compris la fonctionnalit� d'administration de crates.io, Painter, Typomania et Sandpit

Source : "Securtity Retrospective Report - February 2024" (Rust Foundation)

Et vous ?

Pensez-vous que ce rapport est cr�dible ou pertinent ?

Quel est votre avis sur le sujet ?

Voir aussi :

Il est urgent de renforcer la s�curit� de la m�moire dans les produits logiciels, selon la CISA. L'utilisation d'un langage de programmation � s�curit� m�moire comme Rust serait une solution

La version 1.76.0 de Rust, le langage de programmation compil� multi-paradigme, est disponible, et apporte une nouvelle documentation sur la compatibilit� ABI, ainsi que d'autres am�liorations

Les mainteneurs et les contributeurs du projet Rust seraient confront�s � un probl�me d'�puisement professionnel, selon une ancienne contributrice au projet Rust

**Jade Emy** · 16/09/2024, 10h29

La fondation Rust examine et am�liore la s�curit� de Rust : la fondation Rust �tudie le d�veloppement d'un mod�le d'infrastructure � cl� publique (PKI) pour le langage Rust, selon son dernier rapport.

Le dernier rapport de la Fondation Rust d�taille les r�alisations techniques et mises � jour sur de multiples initiatives de s�curit� du langage Rust. Le rapport r�v�le notamment l'�tude du d�veloppement d'un mod�le d'infrastructure � cl� publique (PKI) pour le langage Rust. Deux outils de s�curit� open source, Painter et Typomania, ont �t� d�velopp�s et publi�s.

Rust est un langage de programmation g�n�raliste qui met l'accent sur les performances, la s�curit� des types et la concurrence. Il assure la s�curit� de la m�moire, ce qui signifie que toutes les r�f�rences pointent vers une m�moire valide. Il n'utilise pas de ramasse-miettes traditionnel ; au lieu de cela, les erreurs de s�curit� de la m�moire et les courses aux donn�es (data race) sont �vit�es par le "v�rificateur d'emprunts", qui suit la dur�e de vie des objets des r�f�rences au moment de la compilation. De ce fait, Rust a connu une adoption rapide et il est populaire pour la programmation de syst�mes.

Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. � mesure que l'�cosyst�me d'un langage de programmation s'enrichit de biblioth�ques, de paquets et de cadres, la surface d'attaque augmente. Le langage Rust n'est pas diff�rent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust avait publi� un rapport en f�vrier 2024 sur les r�alisations de son initiative de s�curit� au cours des six derniers mois de l'ann�e 2023.

Un r�cent rapport de la fondation Rust montre les mises � jour de ces initiatives de s�curit�. Le rapport r�v�le que la fondation �tudierait le d�veloppement d'un mod�le d'infrastructure � cl� publique (PKI) pour le langage Rust, y compris la conception et la mise en �uvre d'un CA PKI et d'un mod�le de Quorum r�silient pour le projet � mettre en �uvre. La fondation Rust aurait �galement fait des "progr�s consid�rables" sur un audit de s�curit� complet de l'�cosyst�me Rust, et que des mises � jour du langage sugg�r�es par les membres du projet sont presque pr�tes � �tre mises en �uvre.

Nom : 1.jpg
Affichages : 9894
Taille : 30,2 Ko

Pour rappel, la Fondation Rust a la responsabilit� de fournir une gamme de ressources � la communaut� Rust en pleine croissance. Cette responsabilit� signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs � participer de mani�re s�curis�e et �volutive, �liminer les charges de s�curit� pour les mainteneurs de Rust, et �duquer le public sur la s�curit� au sein de l'�cosyst�me Rust.

� la suite de la vuln�rabilit� de la porte d�rob�e XZ, l'initiative de s�curit� s'est concentr�e sur la s�curit� de la cha�ne d'approvisionnement, notamment sur le suivi de la provenance, en v�rifiant qu'une crate donn�e est effectivement associ�e au d�p�t qu'elle pr�tend �tre. Les 5 000 premiers crates par nombre de t�l�chargements ont �t� contr�l�s et v�rifi�s. La mod�lisation des menaces a �t� achev�e pour l'�cosyst�me Crates : l'infrastructure Rust, crates.io et le projet Rust.

Deux outils de s�curit� open source, Painter et Typomania, ont �t� d�velopp�s et publi�s. Painter peut �tre utilis� pour construire une base de donn�es de graphes de d�pendances et d'invocations entre tous les crates de l'�cosyst�me crates.io, y compris la capacit� d'obtenir des statistiques "non s�res", un meilleur �lagage des graphes d'appels et une cartographie des fronti�res FFI. Typomania porte typogard en Rust, et peut �tre utilis� pour d�tecter le typosquatting potentiel en tant que biblioth�que r�utilisable qui peut �tre adapt�e � n'importe quel registre.

Ils ont �galement renforc� les privil�ges d'administration pour le registre de paquets de Rust, selon le rapport. Et "en plus du travail sur l'initiative de s�curit�, la fondation a �galement travaill� sur l'am�lioration de l'interop�rabilit� entre Rust et C++, soutenue par une contribution d'un million de dollars de Google".

Selon le directeur technologique de la fondation Rust, des progr�s techniques impressionnants ont �t� r�alis�s et de nouvelles strat�gies ont �t� d�velopp�es pour renforcer la s�curit� et la long�vit� du langage de programmation Rust. Le directeur explique que le nouveau rapport "brosse un tableau clair de l'impact de nos projets techniques tels que l'initiative de s�curit�, le consortium Safety-Critical Rust, l'infrastructure et le soutien de crates.io, l'initiative Interop, et bien d'autres choses encore".

Voici l'annonce de la Fondation Rust de son dernier rapport :

La Fondation Rust, une organisation ind�pendante � but non lucratif d�di�e � la gestion et � l'avancement du langage de programmation Rust, a publi� aujourd'hui un nouveau rapport d�taillant les r�centes r�alisations techniques effectu�es entre f�vrier et ao�t 2024 en collaboration avec diverses organisations, �quipes et individus au sein de la communaut� Rust.

Le rapport sert de catalogue des �tapes r�centes et des nouveaux paquets de travail g�r�s par l'�quipe technologique de la Fondation Rust, y compris :

L'embauche de nouveaux talents en ing�nierie pour aider � soutenir le d�veloppement et la croissance de l'infrastructure Rust et de l'interop�rabilit� Rust-C++.
Mod�les de menaces pour la s�curit� du langage Rust, y compris des rapports d�di�s � l'infrastructure Rust et � l'�cosyst�me crates.
Dons en faveur d'initiatives techniques de la part des membres Platine (Google, Microsoft et autres).
R�duction de la dette technique de crates.io et am�lioration des fonctionnalit�s.
Poursuite du d�veloppement des projets open source Painter et Typomania de la Fondation Rust.

... et bien d'autres choses encore.

"Depuis la cr�ation de la Rust Foundation en 2021, il a �t� passionnant de voir l'�cosyst�me Rust continuer � s'�tendre et � �voluer gr�ce � un large int�r�t pour les nombreux avantages que Rust a � offrir - et au travail acharn� des principaux mainteneurs", a d�clar� Joel Marcey, directeur de la technologie de la Rust Foundation. "Au cours des derniers mois, la Fondation Rust a fait des progr�s techniques impressionnants et a d�velopp� de nouvelles strat�gies pour renforcer la s�ret�, la s�curit� et la long�vit� du langage de programmation Rust afin de r�pondre � cette demande croissante. Le contenu de notre dernier rapport dresse un tableau clair de l'impact de nos projets techniques tels que l'Initiative de S�curit�, le Consortium Safety-Critical Rust, l'infrastructure et le support de crates.io, l'Initiative Interop, et bien d'autres encore. Nous sommes reconnaissants aux nombreux leaders du projet Rust, ainsi qu'� nos membres et donateurs, pour leur collaboration et leur soutien dans ces domaines au cours des six derniers mois."

Source : Annonce du rapport technologique de la Fondation Rust

Et vous ?

Pensez-vous que ce rapport est cr�dible ou pertinent ?

Quel est votre avis sur le sujet ?

Voir aussi :

La fondation Rust annonce la cr�ation d'un nouveau Consortium Rust pour les syst�mes critiques, afin de soutenir l'utilisation responsable de Rust dans la s�curit� des logiciels critiques

La version 1.76.0 de Rust, le langage de programmation compil� multi-paradigme, est disponible et apporte une nouvelle documentation sur la compatibilit� ABI, ainsi que d'autres am�liorations

Le C++ devient plus populaire que le C sur l'indice Tiobe et prend la deuxi�me place au mois de juin, malgr� l'avertissement de la Maison Blanche qui invite les d�veloppeurs � abandonner C/C++ pour Rust