Josh Aas, Internet Security Research Groupin toimitusjohtaja (ISRG, Let's Encrypt -projektin pääorganisaatio) teki siitä tunnetuksi viime viikolla lähettämällä aikomuksestaan tukea Miguel Ojedaa (Linux-ytimen kehittäjä ja ohjelmistoinsinööri), jonka tavoitteena on koordinoida pyrkimyksiä siirtää kriittinen ohjelmistoinfrastruktuuri muistiturvalliseen koodiin.
ISRG on toimittanut merkittävälle kehittäjälle Miguel Ojeda a yhden vuoden sopimus työskennellä Rustilla Linuxilla ja muut kokopäiväiset tietoturvatoimet.
Miguel Ojedan mukaan kielen käyttöönoton edut Ruoste Linux-ytimessä suuremmat kuin kustannukset. Kehittäjälle, kun käytetään Rustia Linux-ytimessä, Rustilla kirjoitetulla uudella koodilla on pienempi muistin suojausvirheiden riski, kiitos Rust-kielen ominaisuuksien. Rust-kieli olisi suosittu sen turvallisuuden vuoksi.
Yritykset tehdä Rustista kannattava kieli Linux-ytimen kehittämiselle alkoivat Linux Plumps 2020 -konferenssissa, jonka idea oli itse Linus Torvalds.
Torvalds pyysi nimenomaan Rust-kääntäjän saatavuutta ytimen oletusrakennusympäristössä tukemaan tällaisia ponnisteluja, ei korvaamaan kaikkia Linux-ytimien lähdekoodeja Rustin kehittämillä vastaavilla, vaan sallimaan uuden kehityksen toimivan kunnolla.
Rustin käyttäminen uudelle koodille ytimessä voi tarkoittaa uusia laiteohjaimia tai jopa korvaa GNU Coreutils, vähentää mahdollisesti piilotettujen ytimen virheiden määrää. Ruoste ei yksinkertaisesti salli kehittäjän vuotaa muistia tai luo mahdollisuutta puskurin ylivuotoon, tärkeimpiin suorituskyvyn lähteisiin ja tietoturvaongelmiin monimutkaisessa C-kielikoodissa.
Uusi sopimus Internet-turvallisuuden tutkimusryhmä myöntää Ojedalle kokopäiväisen palkan jatkaa muistin turvaamista Tein jo osa-aikatyötä. ISRG: n toimitusjohtaja Josh Aas toteaa, että ryhmä on tehnyt tiivistä yhteistyötä Google-insinöörin Dan Lorencin kanssa ja että Googlen taloudellinen tuki on välttämätöntä Ojedan jatkuvan työn sponsoroimiseksi.
"Suuret ponnistelut kokonaisten turvallisuusongelmien poistamiseksi ovat parhaat investoinnit suuressa mittakaavassa", Lorenc sanoi ja lisäsi, että Google on "iloinen voidessaan auttaa ISRG: tä tukemaan Miguel Ojedan työtä muistin turvallisuuden parantamiseksi. Ydin kaikille».
"ISRG: n Prossimo-muistin suojausprojekti pyrkii koordinoimaan toimia kriittisen ohjelmistoinfrastruktuurin siirtämiseksi Internetistä muistissa olevan koodin suojaamiseksi. Kun ajattelemme Internetin kriittisintä koodia, Linux-ydin on luettelon kärjessä. Muistiturvan tuominen Linux-ytimeen on iso työ, mutta Rust for Linux -projekti on edistynyt merkittävästi. Olemme iloisia voidessamme ilmoittaa, että aloitimme virallisesti tämän työn tukemisen huhtikuussa 2021 tarjoamalla Miguel Ojedalle sopimuksen Rust for Linuxin ja muiden kokopäiväisten tietoturvatoimien käyttämisestä yhden vuoden ajan. Tämän mahdollisti Googlen taloudellinen tuki. Ennen työskentelyä ISRG: n kanssa Miguel teki tämän työn sivuprojektina. Olemme iloisia voidessamme osallistua digitaalisen infrastruktuurin tukemiseen antamalla sinun työskennellä siellä kokopäiväisesti.
"Teimme tiivistä yhteistyötä Googlen ohjelmistosuunnittelijan Dan Lorencin kanssa tämän yhteistyön mahdollistamiseksi.
Ojedan työ on ensimmäinen sponsoroitu projekti ISRG: n Prossimo-lipun alla, mutta se ei ole ensimmäinen askel, jonka organisaatio on ottanut kohti suurempaa muistiturvaa. aiemmat aloitteet sisältävät suojatun TLS-moduulin Apache-verkkopalvelimen muistin sisäinen, curl- ja rustls-tiedonsiirto-apuohjelman muisti turvallinen versio, joka on muistissa turvallinen vaihtoehto läsnä olevalle OpenSSL-verkon salauskirjastolle.
Kuten Josh Aas selittää,
"Vaikka tämä on ensimmäinen muistin suojaustoiminta, josta ilmoitimme uudella projektinimellä Prossimo, muistin suojaustyö alkoi vuonna 2020 ja Apache HTTP -palvelin sekä parannusten lisääminen Rustls TLS -kirjastoon."
lähde: https://www.memorysafety.org