Josh Aas, administrerende direktør i Internet Security Research Group (ISRG, overordnet organisasjon for Let's Encrypt-prosjektet) gjort det kjent forrige uke ved å legge ut hans intensjoner om å støtte Miguel Ojeda (Linux-kjerneutvikler og programvareingeniør), med sikte på å koordinere arbeidet med å flytte kritisk programvareinfrastruktur til minnesikker kode.
Og er at ISRG har gitt den fremtredende utvikleren Miguel Ojeda a ett års kontrakt for å jobbe hos Rust på Linux og annen sikkerhetsinnsats på heltid.
I følge Miguel Ojeda, fordelene med å introdusere språket Rust på Linux-kjernen overstiger kostnadene. For utvikleren, når du bruker Rust på Linux-kjernen, ny kode skrevet i Rust har redusert risiko for minnesikkerhetsfeil, takket være egenskapene til Rust-språket. Rust-språket ville være populært for sin sikkerhet.
Arbeidet med å gjøre Rust til et levedyktig språk for Linux-kjerneutvikling startet på Linux Plumbers 2020-konferansen, med ideen om Linus Torvalds selv.
Torvalds ba spesielt om tilgjengeligheten av Rust-kompilatoren i standardkjernebyggemiljøet for å støtte slike anstrengelser, ikke for å erstatte all Linux-kjernekildekode med Rust-utviklede ekvivalenter, men for å la ny utvikling fungere riktig.
Å bruke Rust til ny kode i kjernen kan bety nye maskinvaredrivere eller til og med erstatte GNU Coreutils, potensielt reduserer antall skjulte kjernefeil. Rust tillater rett og slett ikke en utvikler å lekke minne eller skape muligheten for bufferoverløp, de viktigste ytelseskildene og sikkerhetsproblemer i kompleks C-språkkode.
Den nye kontrakten Internet Security Research Group gir Ojeda en heltidslønn for å fortsette minnesikkerhetsarbeidet Jeg gjorde allerede deltid. ISRG-sjef Josh Aas bemerker at gruppen har jobbet tett med Googles ingeniør Dan Lorenc, og at Googles økonomiske støtte er viktig for å sponse Ojedas pågående arbeid.
"Stor innsats for å eliminere hele klasser av sikkerhetsproblemer er de beste investeringene i stor skala," sa Lorenc og la til at Google er "glade for å hjelpe ISRG å støtte Miguel Ojedas arbeid for å forbedre minnesikkerheten. Kjerne for alle».
“ISRGs Prossimo-minnesikkerhetsprosjekt har som mål å koordinere arbeidet med å flytte kritisk programvareinfrastruktur fra Internett for å beskytte koden i minnet. Når vi tenker på den mest kritiske koden for Internett i dag, topper Linux-kjernen listen. Å bringe minnesikkerhet til Linux-kjernen er en stor jobb, men Rust for Linux-prosjektet gjør store fremskritt. Vi er glade for å kunngjøre at vi offisielt begynte å støtte dette arbeidet i april 2021 ved å gi Miguel Ojeda en kontrakt om å jobbe med Rust for Linux og annen heltidssikkerhetsinnsats i ett år. Dette ble muliggjort av økonomisk støtte fra Google. Før jeg jobbet med ISRG, gjorde Miguel dette arbeidet som et sideprosjekt. Vi er glade for å gjøre vårt for å støtte den digitale infrastrukturen ved å la deg jobbe der på heltid.
“Vi jobbet tett med Dan Lorenc, en programvareingeniør fra Google for å gjøre dette samarbeidet mulig.
Ojedas arbeid er det første sponsede prosjektet under Prossimo-banneret til ISRG, men det er ikke det første trinnet organisasjonen har tatt mot større minnesikkerhet. De tidligere tiltak inkluderer en sikker TLS-modul i minnet for Apache-webserveren, en sikker versjon i minnet av curl og rustls dataoverføringsverktøy, et minnesikkert alternativ til det allestedsnærværende OpenSSL-nettverkskrypteringsbiblioteket.
Som Josh Aas forklarer,
"Selv om dette er den første minnesikkerhetsinnsatsen vi kunngjorde under vårt nye prosjektnavn Prossimo, begynte vårt minnesikkerhetsarbeid i 2020 og Apache HTTP-serveren, og for å legge til forbedringer i Rustls TLS-biblioteket.".
Fuente: https://www.memorysafety.org