(資料圖片僅供參考)

rust-foundation-report-security-initiative-progress

Rust 基金會發布了首份安全計劃報告，詳細介紹了最近的 Rust 安全重點領域、里程碑和即將推出的計劃。Rust 基金會的安全計劃于 2022 年 9 月創建，旨在支持和推進 Rust 編程語言生態系統內的安全狀態。

公告指出，截至目前該安全計劃所取得的成就包括有：

在 Rust 生態系統的完整安全審計方面取得了重大進展 完成多個威脅模型，使 Rust 基金會和 Rust 項目能夠更好地了解安全審計發現的風險 開發了多種新工具來增強 Rust 維護人員的安全工作流程并更深入地了解漏洞，包括 Painter。 crates.io 技術債務減少和 API token 改進

Rust 團隊今年的目標是增強對 crate 安全性的洞察，并強調與之相關的信息。他們當下的重點是軟件供應鏈安全，并且正在與 Rust 基金會和 crates.io 團隊合作。工作內容涉及披露單個 crate 安全信息，包括泄密評估、識別惡意 crate 以及創建安全最佳實踐評分模型。

目前為止，該團隊還沒有遇到任何主動惡意的 crate。不過據報告稱，他們已經發現了幾起憑據泄露案例，并已采取積極措施聯系受影響的 crate 所有者以解決問題。

此外，Rust 基金會和 Rust 項目還開展了威脅建模工作，以更深入地了解安全審計中強調的風險。四種不同威脅模型的開發涉及與各個內部團隊以及外部利益相關者的協作，包括 crates.io 團隊、基礎設施團隊、安全響應工作組和安全代碼工作組。所有這些威脅模型的詳細信息預計將在不久的將來與社區共享。

更多詳情可查看完整報告。

關鍵詞：