Josh Aas, CEO do Internet Security Research Group (ISRG, organização principal do projeto Let's Encrypt) tornou conhecido semana passada postando suas intenções de apoiar Miguel Ojeda (Desenvolvedor de kernel Linux e engenheiro de software), com o objetivo de coordenar esforços para mover a infraestrutura crítica de software para código seguro para memória.
E é que o ISRG forneceu ao proeminente desenvolvedor Miguel Ojeda um contrato de um ano para trabalhar na Rust no Linux e outros esforços de segurança em tempo integral.
De acordo com Miguel Ojeda, os benefícios de introduzir o idioma Rust no kernel Linux superam os custos. Para o desenvolvedor, ao usar Rust no kernel Linux, novo código escrito em Rust tem um risco reduzido de erros de segurança de memória, graças às propriedades da linguagem Rust. A linguagem Rust seria popular por sua segurança.
Os esforços para tornar o Rust uma linguagem viável para o desenvolvimento do kernel do Linux começaram na conferência Linux Plumbers 2020, com a ideia do próprio Linus Torvalds.
Torvalds solicitou especificamente a disponibilidade do compilador Rust no ambiente de construção do kernel padrão para apoiar tais esforços, não para substituir todo o código-fonte do kernel Linux por equivalentes desenvolvidos pelo Rust, mas para permitir que o novo desenvolvimento funcione adequadamente.
Usar Rust para um novo código no kernel pode significar novos drivers de hardware ou até mesmo substituir GNU Coreutils, potencialmente reduz o número de bugs ocultos do kernel. Rust simplesmente não permite que um desenvolvedor vaze memória ou crie a possibilidade de estouros de buffer, as principais fontes de desempenho e problemas de segurança em códigos complexos em linguagem C.
O novo contrato Grupo de Pesquisa de Segurança da Internet concede a Ojeda um salário em tempo integral para continuar o trabalho de segurança de memória Eu já estava trabalhando meio período. O CEO do ISRG, Josh Aas, observa que o grupo trabalhou em estreita colaboração com o engenheiro do Google, Dan Lorenc, e que o apoio financeiro do Google é essencial para patrocinar o trabalho contínuo de Ojeda.
"Grandes esforços para eliminar classes inteiras de problemas de segurança são os melhores investimentos em grande escala", disse Lorenc, acrescentando que o Google está "muito satisfeito em ajudar o ISRG a apoiar o trabalho de Miguel Ojeda para melhorar a segurança da memória. Kernel para todos».
“O projeto de segurança de memória Prossimo do ISRG visa coordenar esforços para mover a infraestrutura crítica de software da Internet para proteger o código na memória. Quando pensamos no código mais crítico para a Internet hoje, o kernel do Linux está no topo da lista. Trazer segurança de memória para o kernel do Linux é um grande trabalho, mas o projeto Rust for Linux está fazendo grandes avanços. Temos o prazer de anunciar que começamos oficialmente a apoiar esse trabalho em abril de 2021, fornecendo a Miguel Ojeda um contrato para trabalhar com Rust para Linux e outros esforços de segurança em tempo integral por um ano. Isso foi possível graças ao apoio financeiro do Google. Antes de trabalhar para o ISRG, Miguel fazia este trabalho como um projeto paralelo. Estamos felizes em fazer nossa parte para oferecer suporte à infraestrutura digital, permitindo que você trabalhe lá em tempo integral.
“Trabalhamos em estreita colaboração com Dan Lorenc, um engenheiro de software do Google para tornar essa colaboração possível.
O trabalho de Ojeda é o primeiro projeto patrocinado sob a bandeira Prossimo do ISRG, mas não é o primeiro passo que a organização deu em direção a uma maior segurança de memória. As iniciativas anteriores incluem um módulo TLS seguro in-memory para o servidor da web Apache, uma versão segura na memória do utilitário de transferência de dados curl e rustls, uma alternativa segura na memória para a biblioteca de criptografia de rede OpenSSL onipresente.
Como Josh Aas explica,
"Embora este seja o primeiro esforço de segurança de memória que anunciamos sob nosso novo nome de projeto Prossimo, nosso trabalho de segurança de memória começou em 2020 e no servidor Apache HTTP, e para adicionar melhorias à biblioteca Rustls TLS."
fonte: https://www.memorysafety.org