Альтернатива OpenSSL RustIs получает финансовую поддержку от Google
Исследовательская группа по интернет-безопасности объявила, что Google обеспечит значительный рост финансирования разработки RustIs. RustIs – это альтернатива широко используемой библиотеке безопасности OpenSSL, которая защищает многочисленные веб-сайты и службы, которая обещает обеспечить лучшую безопасность в Интернете за счет уменьшения уязвимости, связанной с памятью.
Партнер Google и ISRG по разработке RustIs
Internet Security Research Group (ISRG) – это команда разработчиков Let's Encrypt, некоммерческого центра сертификации, который помогает защитить сотни миллионов веб-сайтов с помощью бесплатных цифровых сертификатов.
ISRG утверждает, что хотя OpenSSL и его альтернативы работают и предоставляют Интернету важную услугу, многие существующие библиотеки имеют серьезные проблемы с безопасностью. Проблемы безопасности возникают из-за того, что большинство библиотек SSL / TLS написаны на таких языках, как C, который имеет обширную поддержку, но небезопасен для памяти.
Вот где на помощь приходит RustIs. Rust, язык программирования, стоящий за RustIs, является языком, защищенным от памяти. Новая реализация безопасности была проверена третьей стороной и подтверждена как безопасная.
Официальное сообщение ISRG подтверждает, что при финансовой поддержке Google, Internet Security Research Group заключила контракт с опытным разработчиком Rust Диркьяном Охтманом на внесение нескольких ключевых улучшений в RustIs (проект, в который Охтман уже участвует).
Улучшения включают:
- Обеспечьте соблюдение политики отсутствия паники, чтобы исключить возможность неопределенного поведения, когда Rustls используется через границу языка C.
- Улучшите API C, чтобы Rustls можно было еще проще интегрировать в существующие приложения на основе C. Объедините C API с основным репозиторием Rustls.
- Добавьте поддержку для проверки сертификатов, которые содержат IP-адрес в расширении альтернативного имени субъекта.
- Позволяет настраивать соединения на стороне сервера на основе ввода данных клиента.
Улучшения RustI должны сделать библиотеку безопасности более привлекательным предложением для проектов, в настоящее время использующих OpenSSL и другие альтернативные библиотеки.
Ошибки безопасности памяти – серьезная проблема?
Они определенно могут быть такими, особенно если ими воспользоваться злоумышленник, обладающий достаточными знаниями. Ошибки безопасности памяти, такие как использование после освобождения и записи (или чтения ) за пределами границ, могут привести к повреждению данных, потере данных и т. Д.
По данным ISRG , от 60 до 70 процентов уязвимостей, затрагивающих iOS и macOS в последние годы, были связаны или связаны с ошибками безопасности памяти. По оценкам Microsoft, 70 процентов уязвимостей связаны с безопасностью памяти, в то время как Google оценивает, что 90 процентов уязвимостей Android связаны с проблемами безопасности памяти.
Такие языки программирования, как C и C ++, никуда не денутся. Они укоренились и являются жизненно важной частью многих услуг. Но, обновив такие проекты, как RustI, и сделав их более привлекательными, мы можем решить устаревшие проблемы с этими языками программирования.