La Fundación Rust, la unidad sin ánimo de lucro para la mejora y desarrollo del lenguaje de programación Rust, ha formado un equipo dedicado a evaluar y avanzar en la seguridad del lenguaje. Desde hace algunos años Rust se ha convertido en un lenguaje muy amado por los desarrolladores y un candidato fuerte para sustituir a Go o a C++ (aunque ahora tiene la competencia de Carbon).
Ahora el objetivo es reforzar su seguridad. Aunque a veces ha existido la percepción de que, como Rust garantiza la seguridad de la memoria (lo que le ha dado mucha popularidad y Google lo ha apreciado para Android), el lenguaje es 100% seguro, Rust puede ser vulnerable como cualquier otro lenguaje, dijo Bec Rumbul, director ejecutivo de la fundación ayer mismo.
Apoyo de terceros
Para esta misión, el equipo de seguridad de Rust cuenta con el apoyo de la iniciativa OpenSSF Alpha-Omega, un proyecto de la Fundación Linux centrado en la seguridad de la cadena de suministro del software de código abierto, y del proveedor de plataformas de desarrollo JFrog. El objetivo es enfocarse en todo el entorno de este lenguaje, incluido el gestor de paquetes Cargo de Rust y el registro Crates.io.
La Iniciativa Alpha-Omega de la OpenSSF y JFrog proporcionarán personal y recursos dedicados a la aplicación de mejores prácticas para la seguridad de Rust. Primero se plantean realizar una auditoría para identificar cómo se puede mantener la seguridad de forma económica en el futuro.
La iniciativa OpenSSF Alpha-Omega está financiada por Google y Microsoft, con la misión de mejorar la seguridad de los proyectos de software de código abierto. A Google le interesa invertir en esto ya que adoptó este lenguaje para mejorar la seguridad en el desarrollo de Android. El pasado año, la de Mountai View explicaba que:
Rust proporciona garantías de seguridad de la memoria utilizando una combinación de comprobaciones en tiempo de compilación para imponer la vida/propiedad de los objetos y comprobaciones en tiempo de ejecución para asegurar que los accesos a la memoria son válidos. Esta seguridad se consigue proporcionando un rendimiento equivalente al de C y C++.
Por tanto, a la Linux Foundation le interesa esto .Hay que recordar que la OpenSSF sugirió en su Plan de Movilización de la Seguridad de Código Abierto de 10 Puntos, publicado a principios de este año, que la industria trabajara para eliminar las causas de raíz de muchas vulnerabilidades mediante la sustitución de los lenguajes no seguros para la memoria por Rust y Go.
Ver 1 comentarios