开源意识流

观点与事件:科技、开源、商业化

Rust社区成立安全小组


By Forsaken

当有人告诉你 Rust 是一门安全的语言,懂行的你应该立刻纠正,Rust 是一门 100% 内存安全的语言,而不是安全的语言,因为编程语言存在的安全缺陷基本上它都有。

所谓内存安全就是帮助开发者安全且不借助运行时的垃圾回收(GC)来释放内存,这得益于其(半成品的)线型类型系统,然而这没什么了不起,因为 C++ 的 unique_ptr 也是类似的东西。线型类型系统号称能够解决大部份代码缺陷,主要因为没有 GC 的情况下人类经常搞不定内存分配问题,然而这种东西就属于那种人人都说好,但是用起来真要命的存在。

现在如果告诉用户其实 Rust 不仅是在问题之间跳来跳去,试图用新问题代替老问题,并且该存在的安全缺陷一样不少,那肯定不利于这门语言的推广。所以最好的办法还是悄悄地潜入,开枪地不要,低调地成立一个安全小组悄悄解决问题就是了。

目前看来,Rust 安全小组似乎是针对去年拜登的总统令(EO 14028)的软件供应链安全而成立,由 OpenSSF’s Alpha-Omega Initiative 慷慨资助。首先要做的当然是安全审计和威胁模型构建,不过看起来最重要的还是如何"以经济的方式维持 Rust 的安全性",非常实用主义,祝他们好运。