Comment Rust améliore la sécurité de son écosystème

**Jade Emy** · 19/02/2024, 12h31

Comment Rust améliore la sécurité de son écosystème : la Rust Foundation publie un rapport sur ce que leur initiative de sécurité a accompli au cours des six derniers mois de 2023.

La fondation à but non lucratif Rust Foundation a annoncé la publication d'un rapport sur les réalisations de son initiative de sécurité au cours des six derniers mois de l'année 2023. "Il y a déjà beaucoup à montrer pour cette initiative", déclare le directeur exécutif de la fondation, "de plusieurs nouveaux projets de sécurité open source à plusieurs modèles de menaces de sécurité achevés et accessibles au public."

Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. À mesure que l'écosystème d'un langage de programmation s'enrichit de bibliothèques, de paquets et de cadres, la surface d'attaque augmente.

Le langage Rust n'est pas différent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust a la responsabilité de fournir une gamme de ressources à la communauté Rust en pleine croissance. Cette responsabilité signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs à participer de manière sécurisée et évolutive, éliminer les charges de sécurité pour les mainteneurs de Rust, et éduquer le public sur la sécurité au sein de l'écosystème Rust.

Nom : 0.png
Affichages : 10409
Taille : 50,6 Ko

Les principales réalisations récentes de l'initiative de sécurité sont les suivantes :

L'achèvement et la publication des modèles de menace de l'infrastructure Rust et de l'écosystème Crates
Poursuite du développement du projet de sécurité open source Painter de la Fondation Rust [pour la construction d'une base de données graphique des dépendances/invocations entre crates] et publication d'un nouveau projet de sécurité, Typomania [une boîte à outils pour vérifier le typosquattage dans les registres de paquets].
Utilisation de nouveaux outils et de meilleures pratiques pour identifier et traiter les crates malveillants.
Aider à réduire la dette technique au sein du projet Rust, produire/contribuer à la documentation axée sur la sécurité, et élever les priorités de sécurité pour la discussion au sein du projet Rust.

Au cours des prochains mois, les ingénieurs de l'initiative de sécurité se concentreront principalement sur :

Compléter les quatre modèles de menaces de sécurité de Rust et prendre des mesures pour répondre aux menaces englobées.
Mettre en place une infrastructure supplémentaire pour soutenir la redondance, les sauvegardes et la mise en miroir des actifs critiques de Rust.
Collaborer avec le projet Rust sur la conception et la mise en œuvre potentielle de solutions de signature et de PKI pour crates.io afin d'atteindre la parité de sécurité avec d'autres écosystèmes populaires.
Continuer à créer et à développer des outils pour soutenir l'écosystème Rust, y compris la fonctionnalité d'administration de crates.io, Painter, Typomania et Sandpit

Source : "Securtity Retrospective Report - February 2024" (Rust Foundation)

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?

Quel est votre avis sur le sujet ?

Voir aussi :

Il est urgent de renforcer la sécurité de la mémoire dans les produits logiciels, selon la CISA. L'utilisation d'un langage de programmation à sécurité mémoire comme Rust serait une solution

La version 1.76.0 de Rust, le langage de programmation compilé multi-paradigme, est disponible, et apporte une nouvelle documentation sur la compatibilité ABI, ainsi que d'autres améliorations

Les mainteneurs et les contributeurs du projet Rust seraient confrontés à un problème d'épuisement professionnel, selon une ancienne contributrice au projet Rust

**Jade Emy** · 16/09/2024, 11h29

La fondation Rust examine et améliore la sécurité de Rust : la fondation Rust étudie le développement d'un modèle d'infrastructure à clé publique (PKI) pour le langage Rust, selon son dernier rapport.

Le dernier rapport de la Fondation Rust détaille les réalisations techniques et mises à jour sur de multiples initiatives de sécurité du langage Rust. Le rapport révèle notamment l'étude du développement d'un modèle d'infrastructure à clé publique (PKI) pour le langage Rust. Deux outils de sécurité open source, Painter et Typomania, ont été développés et publiés.

Rust est un langage de programmation généraliste qui met l'accent sur les performances, la sécurité des types et la concurrence. Il assure la sécurité de la mémoire, ce qui signifie que toutes les références pointent vers une mémoire valide. Il n'utilise pas de ramasse-miettes traditionnel ; au lieu de cela, les erreurs de sécurité de la mémoire et les courses aux données (data race) sont évitées par le "vérificateur d'emprunts", qui suit la durée de vie des objets des références au moment de la compilation. De ce fait, Rust a connu une adoption rapide et il est populaire pour la programmation de systèmes.

Lorsque la base d'utilisateurs d'un langage de programmation augmente, celui-ci devient plus attrayant pour les acteurs malveillants. À mesure que l'écosystème d'un langage de programmation s'enrichit de bibliothèques, de paquets et de cadres, la surface d'attaque augmente. Le langage Rust n'est pas différent. En tant que gestionnaire du langage de programmation Rust, la Fondation Rust avait publié un rapport en février 2024 sur les réalisations de son initiative de sécurité au cours des six derniers mois de l'année 2023.

Un récent rapport de la fondation Rust montre les mises à jour de ces initiatives de sécurité. Le rapport révèle que la fondation étudierait le développement d'un modèle d'infrastructure à clé publique (PKI) pour le langage Rust, y compris la conception et la mise en œuvre d'un CA PKI et d'un modèle de Quorum résilient pour le projet à mettre en œuvre. La fondation Rust aurait également fait des "progrès considérables" sur un audit de sécurité complet de l'écosystème Rust, et que des mises à jour du langage suggérées par les membres du projet sont presque prêtes à être mises en œuvre.

Nom : 1.jpg
Affichages : 5992
Taille : 30,2 Ko

Pour rappel, la Fondation Rust a la responsabilité de fournir une gamme de ressources à la communauté Rust en pleine croissance. Cette responsabilité signifie qu'ils doivent travailler avec le projet Rust pour aider les contributeurs à participer de manière sécurisée et évolutive, éliminer les charges de sécurité pour les mainteneurs de Rust, et éduquer le public sur la sécurité au sein de l'écosystème Rust.

À la suite de la vulnérabilité de la porte dérobée XZ, l'initiative de sécurité s'est concentrée sur la sécurité de la chaîne d'approvisionnement, notamment sur le suivi de la provenance, en vérifiant qu'une crate donnée est effectivement associée au dépôt qu'elle prétend être. Les 5 000 premiers crates par nombre de téléchargements ont été contrôlés et vérifiés. La modélisation des menaces a été achevée pour l'écosystème Crates : l'infrastructure Rust, crates.io et le projet Rust.

Deux outils de sécurité open source, Painter et Typomania, ont été développés et publiés. Painter peut être utilisé pour construire une base de données de graphes de dépendances et d'invocations entre tous les crates de l'écosystème crates.io, y compris la capacité d'obtenir des statistiques "non sûres", un meilleur élagage des graphes d'appels et une cartographie des frontières FFI. Typomania porte typogard en Rust, et peut être utilisé pour détecter le typosquatting potentiel en tant que bibliothèque réutilisable qui peut être adaptée à n'importe quel registre.

Ils ont également renforcé les privilèges d'administration pour le registre de paquets de Rust, selon le rapport. Et "en plus du travail sur l'initiative de sécurité, la fondation a également travaillé sur l'amélioration de l'interopérabilité entre Rust et C++, soutenue par une contribution d'un million de dollars de Google".

Selon le directeur technologique de la fondation Rust, des progrès techniques impressionnants ont été réalisés et de nouvelles stratégies ont été développées pour renforcer la sécurité et la longévité du langage de programmation Rust. Le directeur explique que le nouveau rapport "brosse un tableau clair de l'impact de nos projets techniques tels que l'initiative de sécurité, le consortium Safety-Critical Rust, l'infrastructure et le soutien de crates.io, l'initiative Interop, et bien d'autres choses encore".

Voici l'annonce de la Fondation Rust de son dernier rapport :

La Fondation Rust, une organisation indépendante à but non lucratif dédiée à la gestion et à l'avancement du langage de programmation Rust, a publié aujourd'hui un nouveau rapport détaillant les récentes réalisations techniques effectuées entre février et août 2024 en collaboration avec diverses organisations, équipes et individus au sein de la communauté Rust.

Le rapport sert de catalogue des étapes récentes et des nouveaux paquets de travail gérés par l'équipe technologique de la Fondation Rust, y compris :

L'embauche de nouveaux talents en ingénierie pour aider à soutenir le développement et la croissance de l'infrastructure Rust et de l'interopérabilité Rust-C++.
Modèles de menaces pour la sécurité du langage Rust, y compris des rapports dédiés à l'infrastructure Rust et à l'écosystème crates.
Dons en faveur d'initiatives techniques de la part des membres Platine (Google, Microsoft et autres).
Réduction de la dette technique de crates.io et amélioration des fonctionnalités.
Poursuite du développement des projets open source Painter et Typomania de la Fondation Rust.

... et bien d'autres choses encore.

"Depuis la création de la Rust Foundation en 2021, il a été passionnant de voir l'écosystème Rust continuer à s'étendre et à évoluer grâce à un large intérêt pour les nombreux avantages que Rust a à offrir - et au travail acharné des principaux mainteneurs", a déclaré Joel Marcey, directeur de la technologie de la Rust Foundation. "Au cours des derniers mois, la Fondation Rust a fait des progrès techniques impressionnants et a développé de nouvelles stratégies pour renforcer la sûreté, la sécurité et la longévité du langage de programmation Rust afin de répondre à cette demande croissante. Le contenu de notre dernier rapport dresse un tableau clair de l'impact de nos projets techniques tels que l'Initiative de Sécurité, le Consortium Safety-Critical Rust, l'infrastructure et le support de crates.io, l'Initiative Interop, et bien d'autres encore. Nous sommes reconnaissants aux nombreux leaders du projet Rust, ainsi qu'à nos membres et donateurs, pour leur collaboration et leur soutien dans ces domaines au cours des six derniers mois."

Source : Annonce du rapport technologique de la Fondation Rust

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?

Quel est votre avis sur le sujet ?

Voir aussi :

La fondation Rust annonce la création d'un nouveau Consortium Rust pour les systèmes critiques, afin de soutenir l'utilisation responsable de Rust dans la sécurité des logiciels critiques

La version 1.76.0 de Rust, le langage de programmation compilé multi-paradigme, est disponible et apporte une nouvelle documentation sur la compatibilité ABI, ainsi que d'autres améliorations

Le C++ devient plus populaire que le C sur l'indice Tiobe et prend la deuxième place au mois de juin, malgré l'avertissement de la Maison Blanche qui invite les développeurs à abandonner C/C++ pour Rust