Josh Aas, CEO dell'Internet Security Research Group (ISRG, organizzazione madre del progetto Let's Encrypt) lo ha reso noto la scorsa settimana pubblicando le sue intenzioni di sostenere Miguel Ojeda (sviluppatore del kernel Linux e ingegnere del software), con l'obiettivo di coordinare gli sforzi per spostare l'infrastruttura software critica verso un codice sicuro per la memoria.
Ed è che l'ISRG ha fornito al famoso sviluppatore Miguel Ojeda a contratto di un anno per lavorare in Rust su Linux e altri sforzi di sicurezza a tempo pieno.
Secondo Miguel Ojeda, i vantaggi dell'introduzione della lingua Ruggine sul kernel Linux superare i costi. Per lo sviluppatore, quando si utilizza Rust sul kernel Linux, il nuovo codice scritto in Rust ha un rischio ridotto di errori di sicurezza della memoria, grazie alle proprietà del linguaggio Rust. La lingua Rust sarebbe popolare per la sua sicurezza.
Gli sforzi per rendere Rust un linguaggio praticabile per lo sviluppo del kernel Linux sono iniziati alla conferenza Linux Plumbers 2020, con l'idea dello stesso Linus Torvalds.
Torvalds ha richiesto specificamente la disponibilità del compilatore Rust nell'ambiente di compilazione del kernel predefinito per supportare tali sforzi, non per sostituire tutto il codice sorgente del kernel Linux con equivalenti sviluppati da Rust, ma per consentire il corretto funzionamento del nuovo sviluppo.
L'uso di Rust per il nuovo codice nel kernel può significare nuovi driver hardware o addirittura sostituire GNU Coreutils, riduce potenzialmente il numero di bug nascosti del kernel. Rust semplicemente non consentirà a uno sviluppatore di perdere memoria o creare la possibilità di buffer overflow, le principali fonti di prestazioni e problemi di sicurezza nel codice in linguaggio C complesso.
Il nuovo contratto Gruppo di ricerca sulla sicurezza in Internet concede a Ojeda uno stipendio a tempo pieno per continuare il lavoro di sicurezza della memoria Stavo già facendo part-time. Il CEO di ISRG Josh Aas osserva che il gruppo ha lavorato a stretto contatto con l'ingegnere di Google Dan Lorenc e che il supporto finanziario di Google è essenziale per sponsorizzare il lavoro in corso di Ojeda.
"Grandi sforzi per eliminare intere classi di problemi di sicurezza sono i migliori investimenti su larga scala", ha affermato Lorenc, aggiungendo che Google è "felice di aiutare ISRG a supportare il lavoro di Miguel Ojeda per migliorare la sicurezza della memoria. kernel per tutti".
“Il progetto di sicurezza della memoria Prossimo dell'ISRG mira a coordinare gli sforzi per spostare l'infrastruttura software critica da Internet per proteggere il codice in memoria. Quando pensiamo al codice più critico per Internet oggi, il kernel Linux è in cima alla lista. Portare la sicurezza della memoria nel kernel Linux è un grande lavoro, ma il progetto Rust per Linux sta facendo passi da gigante. Siamo lieti di annunciare che abbiamo iniziato ufficialmente a supportare questo lavoro nell'aprile 2021 fornendo a Miguel Ojeda un contratto per lavorare su Rust per Linux e altri sforzi di sicurezza a tempo pieno per un anno. Ciò è stato reso possibile dal supporto finanziario di Google. Prima di lavorare con ISRG, Miguel faceva questo lavoro come progetto parallelo. Siamo felici di fare la nostra parte per supportare l'infrastruttura digitale consentendoti di lavorarci a tempo pieno.
"Abbiamo lavorato a stretto contatto con Dan Lorenc, un ingegnere del software di Google per rendere possibile questa collaborazione.
Il lavoro di Ojeda è il primo progetto sponsorizzato sotto la bandiera Prossimo dell'ISRG, ma non è il primo passo che l'organizzazione ha compiuto verso una maggiore sicurezza della memoria. Il le iniziative precedenti includono un modulo TLS sicuro in memoria per il server Web Apache, una versione sicura in memoria dell'utilità di trasferimento dati curl e rustls, un'alternativa sicura in memoria all'onnipresente libreria di crittografia di rete OpenSSL.
Come spiega Josh Aas,
"Sebbene questo sia il primo sforzo per la sicurezza della memoria che abbiamo annunciato con il nostro nuovo nome di progetto Prossimo, il nostro lavoro sulla sicurezza della memoria è iniziato nel 2020 e sul server HTTP Apache e per aggiungere miglioramenti alla libreria Rustls TLS." .
fonte: https://www.memorysafety.org