Josh Aas, director executiu de la Internet Security Research Group (ISRG, organització matriu de el projecte Let 's Encrypt) va donar a conèixer la setmana passada mitjançant una publicació les seves intencions de donar suport a Miguel Ojeda (Enginyer en programari i desenvolupador de el nucli de Linux), amb l'objectiu coordinar els esforços per traslladar la infraestructura de programari crític a un codi segur per a la memòria.
I és que la ISRG ha proporcionat a l'destacat desenvolupador Miguel Ojeda XNUMX contracte d'un any per treballar a Rust en Linux i altres esforços de seguretat en temps complet.
Segons Miguel Ojeda, els beneficis d'introduir el llenguatge Rust en el nucli de Linux superen els costos. Per al desenvolupador, a l'usar Rust en el nucli de Linux, el nou codi escrit a Rust té un risc reduït d'errors de seguretat de la memòria, Gràcies a les propietats de l'llenguatge Rust. El llenguatge Rust seria popular per la seva seguretat.
Els esforços per fer de Rust un llenguatge viable per al desenvolupament de l'nucli de Linux van començar en la conferència Linux plumbers 2020, amb la idea de el propi Linus Torvalds.
Torvalds va sol·licitar específicament la disponibilitat de l'compilador de Rust a l'entorn de compilació de l'nucli predeterminat per recolzar aquests esforços, no per reemplaçar tot el codi font de el nucli de Linux amb equivalents desenvolupats per Rust, sinó per permetre que el nou desenvolupament funcioni correctament.
Utilitza Rust per nou codi en el nucli pot significar nous controladors de maquinari o fins i tot reemplaçar GNU coreutils, redueix potencialment la quantitat d'errors ocults en el nucli. Rust simplement no permetrà que un desenvolupador perdi memòria o creu la possibilitat de desbordaments de memòria intermèdia, les principals fonts de rendiment i problemes de seguretat en el codi complex de llenguatge C.
El nou contracte d'Internet Security Research Group li atorga a Ojeda un salari de temps complet per continuar amb el treball de seguretat de la memòria que ja estava fent a temps parcial. El director executiu de ISRG, Josh Aas, assenyala que el grup ha treballat en estreta col·laboració amb l'enginyer de Google, Dan Lorenc, i que el suport financer de Google és essencial per patrocinar el treball continu de Ojeda.
«Els grans esforços per eliminar classes senceres de problemes de seguretat són les millors inversions a gran escala», va dir Lorenc, i ha afegit que Google està «encantat d'ajudar a ISRG a recolzar el treball de Miguel Ojeda per millorar la seguretat de la memòria de l' nucli per a tots ».
"El projecte de seguretat de memòria prossimo de ISRG té com a objectiu coordinar els esforços per moure la infraestructura de programari crític d'Internet per protegir el codi en la memòria. Quan pensem en el codi més crític per a Internet avui en dia, el nucli de Linux encapçala la llista. Portar la seguretat de la memòria a el nucli de Linux és un gran treball, però el projecte Rust per a Linux està donant grans passos. Ens complau anunciar que comencem a donar suport oficialment aquest treball a l'abril de 2021 a l'proporcionar Miguel Ojeda un contracte per treballar a Rust per a Linux i altres esforços de seguretat a temps complet durant un any. Això va ser possible gràcies a el suport financer de Google. Abans de treballar amb ISRG, Miguel estava realitzant aquest treball com un projecte paral·lel. Estem feliços de fer la nostra part per donar suport a la infraestructura digital permetent-li treballar-hi a temps complet.
"Treballem en estreta col·laboració amb Dan Lorenc, enginyer de programari de Google per fer possible aquesta col·laboració.
El treball de Ojeda és el primer projecte patrocinat sota la bandera prossimo de l'ISRG, però no és el primer pas que l'organització ha donat cap a una major seguretat de la memòria. les iniciatives anteriors inclouen un mòdul TLS segur en memòria per el servidor web Apache, una versió segura en memòria de la utilitat de transferència de dades curl and rustls, una alternativa segura en memòria a la omnipresent biblioteca de xifrat de xarxa OpenSSL.
Com explica Josh Aas,
"Tot i que aquest és el primer esforç de seguretat de la memòria que vam anunciar sota el nostre nou nom de projecte prossimo, el nostre treball de seguretat de la memòria va començar a 2020.y el servidor HTTP Apache, i per afegir millores a la biblioteca TLS de Rustls" .
font: https://www.memorysafety.org