互聯網安全研究小組首席執行官喬什·阿斯 (Josh Aas) (ISRG,Let's Encrypt 項目的上級組織) 廣為人知 上週通過發布 他打算支持米格爾·奧赫達 (Linux 內核開發人員和軟件工程師),旨在協調將關鍵軟件基礎設施轉移到內存安全代碼的努力。
並且是 ISRG 為著名的開發商 Miguel Ojeda 提供了一個 在 Linux 上的 Rust 工作的一年合同 和其他全職安全工作。
根據米格爾·奧赫達的說法, 引入語言的好處 Linux 內核上的 Rust 超過成本。 對於開發者來說,在 Linux 內核上使用 Rust 時, 用 Rust 編寫的新代碼降低了內存安全錯誤的風險,感謝 Rust 語言的特性。 Rust 語言因其安全性而廣受歡迎。
使 Rust 成為 Linux 內核開發可行語言的努力始於 Linux Plumbers 2020 會議,其想法來自 Linus Torvalds 本人。
Torvalds 特別要求在默認內核構建環境中提供 Rust 編譯器以支持此類工作,而不是用 Rust 開發的等效項替換所有 Linux 內核源代碼,而是允許新開發正常運行。
將 Rust 用於內核中的新代碼可能意味著新的硬件驅動程序 甚至替換 GNU Coreutils,可能會減少隱藏的內核錯誤的數量。 Rust 根本不允許開發人員洩漏內存或造成緩衝區溢出的可能性,這是性能的主要來源,以及復雜 C 語言代碼中的安全問題。
新合同 互聯網安全研究組 授予 Ojeda 全職工資以繼續內存安全工作 我已經在做兼職了。 ISRG 首席執行官 Josh Aas 指出,該小組與 Google 工程師 Dan Lorenc 密切合作,Google 的財務支持對於贊助 Ojeda 正在進行的工作至關重要。
“消除各類安全問題的巨大努力是大規模的最佳投資,”洛倫茨說,並補充說谷歌“很高興幫助 ISRG 支持 Miguel Ojeda 提高內存安全性的工作。每個人的內核»。
“ISRG 的 Prossimo 內存安全項目旨在協調努力,將關鍵軟件基礎設施從 Internet 轉移到保護內存中的代碼。 當我們想到當今互聯網最關鍵的代碼時,Linux 內核位居榜首。 為 Linux 內核帶來內存安全是一項艱鉅的任務,但 Rust for Linux 項目正在取得長足的進步。 我們很高興地宣布,我們於 2021 年 XNUMX 月正式開始支持這項工作,為 Miguel Ojeda 提供一份合同,讓他在一年內從事 Rust for Linux 和其他全職安全工作。 這得益於 Google 的財政支持。 在與 ISRG 合作之前,Miguel 將這項工作作為一個副項目進行。 我們很高興通過允許您在那裡全職工作來支持數字基礎設施。
“我們與 Google 軟件工程師 Dan Lorenc 密切合作,使這種合作成為可能。
Ojeda 的工作是第一個贊助項目 在 ISRG 的 Prossimo 旗幟下,但這並不是該組織邁向更高內存安全性的第一步。 這 之前的舉措包括一個安全的 TLS 模塊 用於 Apache Web 服務器的內存,curl 和 rustls 數據傳輸實用程序的內存安全版本,是無處不在的 OpenSSL 網絡加密庫的內存安全替代方案。
正如喬什·阿斯 (Josh Aas) 所解釋的那樣,
“雖然這是我們在新項目名稱 Prossimo 下宣布的第一項內存安全工作,但我們的內存安全工作始於 2020 年和 Apache HTTP 服務器,並為 Rustls TLS 庫添加了增強功能。”。
來源: https://www.memorysafety.org