Rust Foundation erhält 460.000 US-Dollar und gründet ein Team für Security
Die Stiftung für die Programmiersprache richtet ein Security-Team ein, das sich um die Sicherheitsaspekte in Rust und dem zugehörigen Ökosystem kümmert.
Die Open Source Security Foundation (OpenSSF) fördert die Rust Foundation mit 460.000 US-Dollar. Die Finanzspritze fließt als Maßnahme des Alpha-Omega-Projekts in Security-Maßnahmen rund um die Programmiersprache Rust. Die Stiftung nutzt das Geld und die Unterstützung des jüngsten Mitglieds JFrog, um ein dediziertes Security-Team einzurichten.
Die 2020 gegründete Rust Foundation kümmert sich um die Weiterentwicklung und das Ökosystem der Programmiersprache. Das neu gegründete Team ist für Sicherheitsaspekte rund um Rust verantwortlich. Die Sprache gilt vor allem aufgrund ihrer Konzepte für Memory Safety als sicherer im Vergleich zu Alternativen wie C oder C++, ist in vielen Bereichen aber genauso angreifbar wie andere Programmiersprachen. Unter anderem sind die Methoden zum Absichern der Software Supply Chain weniger konsequent als bei Go.
Gezielte Maßnahmen
Das neue Team soll als erste Maßnahmen einen Security-Audit durchführen und Threat Modeling durchführen, um festzustellen, an welchen Stellen sich die Security am ökonomischsten verbessern lässt. Es soll sich zudem um Sicherheitspraktiken in der gesamten Rust-Landschaft, darunter dem Paketmanager Cargo und Crates.io kümmern.
Bei den Methoden zum Absichern der Software Supply Chain ist vor allem JFrog gefragt: Das auf die Softwarelieferkette spezialisierte Unternehmen ist seit Anfang September Platinmitglied der Rust Foundation. Teile des Security-Research-Teams von JFrog sollen im neu gegründeten Security-Team der Stiftung arbeiten.
OpenSSF: Förderung der Sicherheit von Open-Source-Projekten
Die Linux Foundation hat die OpenSSF 2020 ins Leben gerufen, um die Sicherheit von Open-Source-Software zu verbessern. Mit demselben Ziel trafen sich im Februar 2022 Vertreter von Technikfirmen, US-Behörden und Non-Profit-Organisationen im Weißen Haus. Daraus entstand schließlich das Alpha-Omega-Projekt, das vor allem die Security der Software Supply Chain im Blick hat.
Die erste Förderung im Rahmen der Alpha-Omega-Initiative erhielt die JavaScript-Laufzeitumgebung Node.js. Im Juni 2022 folgten mit der Python Software Foundation (PSF) und der Eclipse Foundation zwei weitere große Open-Source-Stiftungen.
Am 9. November richten heise Developer und der dpunkt.verlag die betterCode Rust aus. Die zweite Auflage der Online-Konferenz widmet sich am 9. November dem praktischen Einsatz der Sprache und will die ersten Hürden beim Einstieg von Rust nehmen, um produktiv zu entwickeln.
Auf der von heise Developer, heise Security und dpunkt.verlag ausgerichteten Konferenz zu sicherer Softwareentwicklung heise devSec, die Anfang Oktober in Karlsruhe stattfindet, ist Rust ebenfalls Thema. Dort widmet sich ein Vortrag der Programmiersprache direkt, während zwei andere Talks die Sprach-Features und Ökosysteme von Rust und anderen Programmiersprachen vergleicht.
Weitere Details zu der Gründung des Security-Teams lassen sich dem Blog der Rust Foundation entnehmen. Zusätzliche Informationen zu der neuen und den bestehenden Fördermaßnahmen der Open Source Security Foundation finden sich im OpenSSF-Blog.
(rme)