Még az eddginél is biztonságosabbá fogják tenni a Rust-ot

Még az eddginél is biztonságosabbá fogják tenni a Rust-ot
2022-09-20T10:04:06+02:00
2022-09-20T13:31:23+02:00
2022-10-17T02:42:11+02:00
  • Az elmúlt hónapokban volt néhány látványos ellátási lánccal kapcsolatos esemény.

    let's encrypt CA
    log4j
    javascript ip address kezelés
    ssl lib

    Most így visszagondolva, szinte minden komolyabb softwares biztonsági balhé valamilyen külső fél  által készített komponens sebezhetősége miatt történt.
    Mutasd a teljes hozzászólást!
  • Az ellátási lánc micsoda? Rákeresve semmi programozással kapcsolatos sincs.

    Dehogy nincs:
    Supply chain attacks
    Supply chain attack - Wikipedia
    No Unaccompanied Miners: Supply Chain Compromises Through Node.js Packages
    stb.

    Az ellátási lánc biztonsága egy adott eszközbe, vagy az azzal készült megoldásokba épülő, de nem az adott projekt részét képező, nem az annak készítői által közvetlenül fejlesztett, infrastrukturális jellegű kódok, szolgáltatások biztonságosságát, megbízatóságát, illetve ezek felügyeletét jelenti. Tehát, amit kvázi készen kap és használ fel, épít be az eszköz készítője, illetve felhasználója.

    A Rust esetében arról van szó, hogy maga a Rust fordító hiába generál elvileg biztonságos kódot, és maga a Rust forráskódja hiába is bugmentes esetleg, ha a Rust fordító, a Rust runtime vagy a Rust-ban írt programok által használt, harmadik felek által fejlesztett könyvtárak, infrastruktúrák nem megbízhatók, akkor éppen úgy kerülhetnek akár szándékos becsempészés útján, akár csak a megfelelő minőségellenőrzés híján is hibák, biztonsági rések, hátsó kapuk a Rust programokba, megoldásokba. 

    Emiatt ezeket a beszállítói csatornákat szintén felügyelni kell biztonságosságra, folyamatosan követni kell sebezhetőségeiket, frissíteni őket, beépíteni pedig csak megfelelő vizsgálatok és biztonsági garanciák mellett szabad őket, stb. Erre ki kell dolgozni megfelelő irányelveket, azokat implementálni kell és be kell tartatni annak érdekében, hogy ezeken a láncszemeken keresztül se váljon támadhatóvá a nyelv és a platform, illetve az abban készült alkalmazások.
    Mutasd a teljes hozzászólást!
  • Nem nyelvi vagy design pattern, hanem afelett álló management ha jól értem.
    Szerintem itt magára a Rust-ba bekerülő featureök folyamatellenőrzéséről van szó. Jobban dokumentálva/kontrollálva legyen mi és hogyan kerül be a nyelvbe, implemetáció hogyan készüljön el, stb...
    Mutasd a teljes hozzászólást!
  • Az ellátási lánc micsoda? Rákeresve semmi programozással kapcsolatos sincs.
    Mutasd a teljes hozzászólást!
Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd