互联网安全研究小组首席执行官乔什·阿斯 (Josh Aas) (ISRG,Let's Encrypt 项目的上级组织) 广为人知 上周通过发布 他打算支持米格尔·奥赫达 (Linux 内核开发人员和软件工程师),旨在协调将关键软件基础设施转移到内存安全代码的努力。
并且是 ISRG 为著名的开发商 Miguel Ojeda 提供了一个 在 Linux 上的 Rust 工作的一年合同 和其他全职安全工作。
根据米格尔·奥赫达的说法, 引入语言的好处 Linux 内核上的 Rust 超过成本。 对于开发者来说,在 Linux 内核上使用 Rust 时, 用 Rust 编写的新代码降低了内存安全错误的风险,感谢 Rust 语言的特性。 Rust 语言因其安全性而广受欢迎。
使 Rust 成为 Linux 内核开发可行语言的努力始于 Linux Plumbers 2020 会议,其想法来自 Linus Torvalds 本人。
Torvalds 特别要求在默认内核构建环境中提供 Rust 编译器以支持此类工作,而不是用 Rust 开发的等效项替换所有 Linux 内核源代码,而是允许新开发正常运行。
将 Rust 用于内核中的新代码可能意味着新的硬件驱动程序 甚至替换 GNU Coreutils,可能会减少隐藏的内核错误的数量。 Rust 根本不会允许开发人员泄漏内存或创建缓冲区溢出的可能性,这是复杂 C 语言代码中性能的主要来源和安全问题。
新合同 互联网安全研究组 授予 Ojeda 全职工资以继续内存安全工作 我已经在做兼职了。 ISRG 首席执行官 Josh Aas 指出,该小组与 Google 工程师 Dan Lorenc 密切合作,Google 的财务支持对于赞助 Ojeda 正在进行的工作至关重要。
“消除各类安全问题的巨大努力是大规模的最佳投资,”Lorenc 说,并补充说,谷歌“很高兴帮助 ISRG 支持 Miguel Ojeda 提高内存安全性的工作。每个人的内核»。
“ISRG 的 Prossimo 内存安全项目旨在协调努力,将关键软件基础设施从互联网上转移,以保护内存中的代码。 当我们想到当今互联网最关键的代码时,Linux 内核位居榜首。 为 Linux 内核带来内存安全是一项艰巨的任务,但 Rust for Linux 项目正在取得长足的进步。 我们很高兴地宣布,我们于 2021 年 XNUMX 月正式开始支持这项工作,为 Miguel Ojeda 提供一份合同,让他在一年内从事 Rust for Linux 和其他全职安全工作。 这得益于 Google 的财政支持。 在与 ISRG 合作之前,Miguel 将这项工作作为一个副项目进行。 我们很高兴通过允许您在那里全职工作来支持数字基础设施。
“我们与 Google 软件工程师 Dan Lorenc 密切合作,使这种合作成为可能。
Ojeda 的工作是第一个赞助项目 在 ISRG 的 Prossimo 旗帜下,但这并不是该组织迈向更高内存安全性的第一步。 这 之前的举措包括一个安全的 TLS 模块 用于 Apache Web 服务器的内存中,curl 和 rustls 数据传输实用程序的内存安全版本,是无处不在的 OpenSSL 网络加密库的内存安全替代方案。
正如乔什·阿斯 (Josh Aas) 所解释的那样,
“虽然这是我们在新项目名称 Prossimo 下宣布的第一项内存安全工作,但我们的内存安全工作始于 2020 年和 Apache HTTP 服务器,并为 Rustls TLS 库添加了增强功能。”。
数据来源: https://www.memorysafety.org