Programmiersprache Rust: Noch mehr Geld für noch mehr Sicherheit

Nachdem die Security-Initiative der Rust Foundation erste Früchte trägt, erhält die Stiftung weitere Fördergelder von der Open Source Security Foundation.

16.11.2023, 10:18 Uhr

Lesezeit: 2 Min.

Developer

Von

Rainald Menge-Sonnentag

Die Open Source Security Foundation (OpenSSF) hat angekündigt, die 2022 im Rahmen des Alpha-Omega-Projekts gestartete finanzielle Fördermaßnahme der Rust Foundation weiterzuführen.

Das Geld dient dazu, die Security der Programmiersprache weiter zu stärken. Rust gilt vor allem aufgrund der Konzepte für Memory Safety, die ohne den Overhead einer Speicherverwaltung viele Speicherfehler verhindern, als sicherer im Vergleich zu Alternativen wie C oder C++. Nach wie vor sind Speicherfehler für einen Großteil der kritischen Schwachstellen in Software verantwortlich.

Security-Initiative mit ersten Ergebnissen

Im September 2022 hatte die OpenSSF der Rust Foundation Fördermittel in Höhe von 460.000 US-Dollar bereitgestellt, die in eine Security-Initiative der Foundation eingeflossen sind. Ziel der Initiative ist vor allem die verbesserte Security für das Ökosystem rund um die Programmiersprache.

Im Juli 2023 hat die Stiftung einen ersten Bericht über die Arbeit und Ergebnisse der Initiative veröffentlicht. Teil davon ist ein Security-Audit, um die Sicherheit der Software Supply Chain zu verbessern. Dabei arbeitet die Foundation mit dem für die Rust-Paket-Registry crates.io verantwortliche Team zusammen, um veröffentlichte Credentials und Pakete, die bei Rust Crates heißen, mit Schadcode aufzuspüren. Letztere hat das Team seinerzeit laut dem Bericht nicht gefunden, geleakte Zugangsdaten aber durchaus.

Lesen Sie auch

NIST nimmt Rust in die Liste der sichereren Programmiersprachen auf

Ein grüner Android steht vor dem Google-Hauptquartier (Glasgebäude Hintergrund)

Weniger Speicherfehler: Google setzt für Android nun auch auf Bare-Metal Rust

CTO von MS Azure: Nehmt Rust für neue Projekte und erklärt C/C++ für überholt!

Open-Source-Browser: Google öffnet Chromium für Rust

Außerdem ist im Rahmen der Security-Initiative das Open-Source-Tool Painter entstanden, das eine Graphdatenbank der Dependencies und Aufrufe zwischen allen Pakete auf crates.io erstellt.

Painter zeigt die Abhängigkeiten und Aufrufe zwischen den Crates in der Rust-Paket-Registry.

(Bild: Rust Foundation)

Finanzielles Polster

Bis Juli lagen die Ausgaben der Security-Initiative laut dem Bericht bei 436.000 US-Dollar. Das entsprach damit fast dem ursprünglich von der OpenSSF bereitgestellten Betrag, aber die Rust Foundation hatte im November 2022 zusätzliche 500.000 US-Dollar von Amazon Web Services (AWS) für die Security-Initiative erhalten.

(Bild: OpenSSF)

Die Linux Foundation hat die OpenSSF 2020 ins Leben gerufen, um die Sicherheit von Open-Source-Software zu verbessern. Mit demselben Ziel trafen sich im Februar 2022 Vertreter von Technikfirmen, US-Behörden und Non-Profit-Organisationen im Weißen Haus. Daraus entstand schließlich das Alpha-Omega-Projekt, das vor allem die Security der Software Supply Chain im Blick hat.

Die erste Förderung im Rahmen der Alpha-Omega-Initiative erhielt die JavaScript-Laufzeitumgebung Node.js. Im Juni 2022 folgten mit der Python Software Foundation (PSF) und der Eclipse Foundation zwei weitere große Open-Source-Stiftungen. Im September 2022 kündigte die OpenSSF die erste finanzielle Unterstützung der Rust Foundation an, die sie nun fortführen möchte.

Abseits vom finanziellen Engagement hat die Stiftung zudem im September 2023 einen Leitfaden mit Tools und Best Practices veröffentlicht, der dabei helfen soll, Code auf Versionsverwaltungsplattformen wie GitHub und GitLab abzusichern.

Weitere Details lassen sich der Ankündigung der OpenSSF zur fortgesetzten Förderung der Rust Foundation entnehmen, die sich allerdings über die Höhe des neuen Förderbetrags ausschweigt.

(rme)

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}