Josh Aas, CEO der Internet Security Research Group (ISRG, Dachorganisation des Let's Encrypt-Projekts) enthüllt letzte Woche per Post seine Absichten, Miguel Ojeda . zu unterstützen (Linux-Kernel-Entwickler und Software-Ingenieur) mit dem Ziel, die Bemühungen zur Umstellung kritischer Software-Infrastruktur auf speichersicheren Code zu koordinieren.
Und ist, dass die ISRG den prominenten Entwickler Miguel Ojeda a einjähriger Vertrag, um bei Rust unter Linux zu arbeiten und andere Vollzeit-Sicherheitsbemühungen.
Laut Miguel Ojeda, die Vorteile der Einführung der Sprache Rost auf dem Linux-Kernel die Kosten überwiegen. Für den Entwickler, wenn Rust auf dem Linux-Kernel verwendet wird, neuer in Rust geschriebener Code hat ein geringeres Risiko von Speichersicherheitsfehlern, dank der Eigenschaften der Sprache Rust. Die Sprache Rust wäre wegen ihrer Sicherheit beliebt.
Die Bemühungen, Rust zu einer tragfähigen Sprache für die Linux-Kernel-Entwicklung zu machen, begannen auf der Konferenz Linux Plumbers 2020 mit der Idee von Linus Torvalds selbst.
Torvalds forderte ausdrücklich die Verfügbarkeit des Rust-Compilers in der Standard-Kernel-Build-Umgebung, um solche Bemühungen zu unterstützen, nicht um den gesamten Linux-Kernel-Quellcode durch von Rust entwickelte Äquivalente zu ersetzen, sondern um eine ordnungsgemäße Funktion der Neuentwicklung zu ermöglichen.
Die Verwendung von Rust für neuen Code im Kernel kann neue Hardwaretreiber bedeuten oder sogar GNU Coreutils ersetzen, verringert möglicherweise die Anzahl der versteckten Kernel-Bugs. Rust wird es einem Entwickler einfach nicht erlauben, Speicher zu verlieren oder die Möglichkeit von Pufferüberläufen, den wichtigsten Leistungsquellen und Sicherheitsproblemen in komplexem C-Sprachcode, zu schaffen.
Der neue Vertrag Forschungsgruppe Internetsicherheit gewährt Ojeda ein Vollzeitgehalt, um die Arbeit im Bereich der Speichersicherheit fortzusetzen Ich habe schon Teilzeit gemacht. ISRG-CEO Josh Aas stellt fest, dass die Gruppe eng mit dem Google-Ingenieur Dan Lorenc zusammengearbeitet hat und dass die finanzielle Unterstützung von Google unerlässlich ist, um Ojedas laufende Arbeit zu fördern.
"Große Anstrengungen zur Beseitigung ganzer Klassen von Sicherheitsproblemen sind die besten Investitionen im großen Stil", sagte Lorenc und fügte hinzu, dass Google "sehr erfreut ist, ISRG dabei zu unterstützen, Miguel Ojedas Arbeit zur Verbesserung der Speichersicherheit zu unterstützen.
„Das Prossimo-Speichersicherheitsprojekt von ISRG zielt darauf ab, Bemühungen zu koordinieren, kritische Softwareinfrastruktur aus dem Internet zu verlagern, um Code im Speicher zu schützen. Wenn wir an den kritischsten Code für das Internet denken, steht der Linux-Kernel ganz oben auf der Liste. Speichersicherheit in den Linux-Kernel zu bringen ist eine große Aufgabe, aber das Projekt Rust für Linux macht große Fortschritte. Wir freuen uns, Ihnen mitteilen zu können, dass wir diese Arbeit im April 2021 offiziell unterstützen, indem wir Miguel Ojeda einen Vertrag zur Arbeit an Rust für Linux und anderen Vollzeit-Sicherheitsbemühungen für ein Jahr zur Verfügung stellen. Möglich wurde dies durch die finanzielle Unterstützung von Google. Bevor er mit ISRG zusammenarbeitete, machte Miguel diese Arbeit als Nebenprojekt. Gerne tragen wir unseren Teil zur Unterstützung der digitalen Infrastruktur bei, indem wir Ihnen eine Vollzeitbeschäftigung ermöglichen.
„Wir haben eng mit Dan Lorenc, einem Software-Ingenieur von Google, zusammengearbeitet, um diese Zusammenarbeit zu ermöglichen.
Ojedas Arbeit ist das erste geförderte Projekt unter dem Prossimo-Banner der ISRG, aber es ist nicht der erste Schritt der Organisation zu mehr Speichersicherheit. Das frühere Initiativen beinhalten ein sicheres TLS-Modul in-memory für den Apache-Webserver, eine speichersichere Version des Datenübertragungsdienstprogramms curl and rustls, eine speichersichere Alternative zur allgegenwärtigen OpenSSL-Netzwerkverschlüsselungsbibliothek.
Wie Josh Aas erklärt,
"Obwohl dies die erste Maßnahme zur Speichersicherheit ist, die wir unter unserem neuen Projektnamen Prossimo angekündigt haben, begannen unsere Arbeiten zur Speichersicherheit im Jahr 2020 und dem Apache HTTP-Server und um Verbesserungen der Rustls TLS-Bibliothek hinzuzufügen." .
Quelle: https://www.memorysafety.org