Josh Aas, CEO al Internet Security Research Group (ISRG, organizația părinte a proiectului Let's Encrypt) a făcut-o cunoscută săptămâna trecută prin postare intențiile sale de a-l susține pe Miguel Ojeda (Dezvoltator kernel Linux și inginer software), cu scopul de a coordona eforturile de a muta infrastructura software critică în cod sigur pentru memorie.
Și este că ISRG a oferit dezvoltatorului proeminent Miguel Ojeda a un contract de un an pentru a lucra la Rust pe Linux și alte eforturi de securitate cu normă întreagă.
Potrivit lui Miguel Ojeda, beneficiile introducerii limbajului Rust pe kernel-ul Linux depășește costurile. Pentru dezvoltator, atunci când utilizați Rust pe kernel-ul Linux, noul cod scris în Rust are un risc redus de erori de securitate a memoriei, datorită proprietăților limbajului Rust. Limbajul Rust ar fi popular pentru siguranța sa.
Eforturile de a face din Rust un limbaj viabil pentru dezvoltarea kernel-ului Linux au început la conferința Linux Plumbers 2020, cu ideea lui Linus Torvalds însuși.
Torvalds a solicitat în mod specific disponibilitatea compilatorului Rust în mediul implicit de construire a kernelului pentru a sprijini astfel de eforturi, nu pentru a înlocui tot codul sursă de kernel Linux cu echivalenți dezvoltate de Rust, ci pentru a permite noii dezvoltări să funcționeze corect.
Utilizarea Rust pentru cod nou în kernel poate însemna drivere hardware noi sau chiar înlocuiți GNU Coreutils, potențial reduce numărul de bug-uri ascunse ale nucleului. Rust pur și simplu nu va permite unui dezvoltator să scape de memorie sau să creeze posibilitatea depășirilor de tampon, principalele surse de performanță și probleme de securitate în codul complex în limbă C.
Noul contract Grupul de cercetare pentru securitatea Internetului îi acordă Ojeda un salariu cu normă întreagă pentru a continua munca de securitate a memoriei Deja făceam cu jumătate de normă. CEO-ul ISRG, Josh Aas, observă că grupul a lucrat îndeaproape cu inginerul Google Dan Lorenc și că sprijinul financiar al Google este esențial pentru a sponsoriza activitatea în curs a Ojeda.
„Eforturile mari de a elimina clase întregi de probleme de securitate sunt cele mai bune investiții la scară largă”, a spus Lorenc, adăugând că Google este „încântat să ajute ISRG să sprijine activitatea lui Miguel Ojeda de îmbunătățire a securității memoriei. Nucleul pentru toată lumea».
„Proiectul ISRG de securitate a memoriei Prossimo își propune să coordoneze eforturile de a muta infrastructura software critică de pe Internet pentru a proteja codul din memorie. Când ne gândim la cel mai critic cod pentru Internet astăzi, nucleul Linux se află în fruntea listei. Aducerea securității memoriei în nucleul Linux este o treabă importantă, dar proiectul Rust pentru Linux face pași mari. Ne face plăcere să anunțăm că am început oficial să sprijinim această lucrare în aprilie 2021, oferindu-i lui Miguel Ojeda un contract pentru a lucra la Rust pentru Linux și alte eforturi de securitate cu normă întreagă timp de un an. Acest lucru a fost posibil datorită sprijinului financiar de la Google. Înainte de a lucra cu ISRG, Miguel făcea această lucrare ca un proiect secundar. Ne bucurăm să facem partea noastră pentru a sprijini infrastructura digitală, permițându-vă să lucrați acolo cu normă întreagă.
„Am lucrat îndeaproape cu Dan Lorenc, un inginer software Google pentru a face posibilă această colaborare.
Opera lui Ojeda este primul proiect sponsorizat sub steagul Prossimo al ISRG, dar nu este primul pas pe care organizația l-a făcut spre o mai mare securitate a memoriei. inițiativele anterioare includ un modul TLS sigur în memorie pentru serverul web Apache, o versiune sigură în memorie a utilitarului de transfer de date curl and rustls, o alternativă sigură în memorie la biblioteca omniprezentă de criptare a rețelei OpenSSL.
După cum explică Josh Aas,
„Deși acesta este primul efort de securitate a memoriei pe care l-am anunțat sub noul nostru nume de proiect Prossimo, lucrările noastre de securitate a memoriei au început în 2020 și serverul HTTP Apache și pentru a adăuga îmbunătățiri bibliotecii Rustls TLS.”.
Fuente: https://www.memorysafety.org