The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Google опубликовал результат аудита используемых пакетов на языке Rust

23.05.2023 22:46

Компания Google опубликовала результаты аудита 389 crate-пакетов, используемых в проектах ChromiumOS и Fuchsia, в которых допускается разработка на языке Rust. Для использования в сторонних проектах предоставлен файл для проверки зависимостей при помощи команды cargo vet на предмет соответствия требованиям к безопасности, корректности и тестированию. Файл с результатами аудита используемых cratе-пакетов до этого также был опубликован компанией Mozilla. Подразумевается, что для прошедших аудит версий пакетов выполнена проверка корректности перед использованием в рабочих проектах и код не содержит вредоносных изменений. При аудите также выполнен анализ применяемых криптографических алгоритмов.

Применение "cargo vet" позволяет гарантировать, что в проекте используются только проверенные зависимости, которые удовлетворяют заранее определённым условиям. В файле для подключения к пакетному менеджеру cargo отражены проверенные версии пакетов и присвоенные в процессе аудита метки, такие как подтверждение безопасного использования, отсутствие/наличие поддержки шифрования, присутствие unsafe-блоков в коде и различные уровни риска при использовании имеющихся unsafe-блоков. Опубликованные данные дают возможность убедиться, что определённую версию пакета можно использовать без опасения, что в пакет были внедрены вредоносные изменения.

  1. Главная ссылка к новости (https://opensource.googleblog....)
  2. OpenNews: Google учредил команду для помощи открытым проектам в усилении безопасности
  3. OpenNews: Google занялся продвижением средств безопасной работы с памятью в открытом ПО
  4. OpenNews: В кодовой базе Chromium разрешено использование языка Rust
  5. OpenNews: Инициатива по переработке инструментария для гипервизора Xen на языке Rust
  6. OpenNews: Amazon опубликовал открытую криптографическую библиотеку для языка Rust
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59187-rust
Ключевые слова: rust, google, audit, crate
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (67) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Kuromi (ok), 22:57, 23/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +21 +/
    И в чем суть отчета?
     
     
  • 2.2, kleemhead (?), 23:00, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • –14 +/
    Почитай
     
     
  • 3.8, Аноним (-), 00:59, 24/05/2023 Скрыто ботом-модератором     [к модератору]
  • +6 +/
     
  • 2.3, f95 (ok), 23:05, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Раньше, это когда еще Сишные дыры аудировали, приходилось в отчётах всё это как-то суммаризировать и расписывать. Сейчас конечно никаких проблем возникнуть не может в принципе, а отчеты мы формируем для обратной совместимости
     
  • 2.4, warlock66613 (ok), 23:09, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Нет никакого отчёта. Есть предоставленные гуглом маркировки 389 пакетов, которые можно использовать для себя.
     
     
  • 3.10, Аноним (10), 03:40, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Можно список этих 389 пакетов, а то раста и карго в системе нет.
     
     
  • 4.14, Аноним (14), 06:08, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Конечно специально для тех кто больше заголовка осилить не может ловите ссылку https://github.com/google/supply-chain/blob/main/audits.toml
     
     
  • 5.22, Аноним (10), 07:36, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Выражаю особую благодарность тому, кто любит делать чужую работу! )
     
     
  • 6.59, Аноним (14), 13:05, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Помощь интеллектуально неодаренным наша обязанность!
     
     
  • 7.70, Аноним (10), 16:48, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Интеллектуалы ленивые люди, поэтому любят смотреть как другие делают работу за них.
     
  • 2.5, topin89 (ok), 23:21, 23/05/2023 [^] [^^] [^^^] [ответить]  
  • +10 +/
    "Раст -- это круто. Его пакетный менеджер -- тоже. Его пакеты -- как повезёт, смотреть надо. Мы посмотрели 389 из них, так что вам необязательно. Но предлагаем быть как мы: смотреть другие пакеты и делиться результатами. Наш результат пригоден для 'cargo vet'. Продолжение следует. Присоединяйтесь."
     
     
  • 3.16, Аноним (16), 06:42, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В Gentoo, лет 15 назад, разрабы дистрибутива выполняли эту работу И моё мнение,... большой текст свёрнут, показать
     
     
  • 4.21, dannyD (?), 07:24, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >>Смысла для сегодняшней супер-стабильной ветки уже нет.

    ну и очень зря, припаривает пересобирать каждый rX.

     
     
  • 5.27, Аноним (27), 09:02, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Смысла для сегодняшней супер-стабильной ветки уже нет.
    > ну и очень зря, припаривает пересобирать каждый rX.

    Не в супер-стабильной ветки дело. Достаточно вернутся к старой политике безопасности. Причина, частого пересбора -rN в неверной текущей политике безопасности:

    Старая, сильная и правильная, политика безопасности: https://wiki.gentoo.org/wiki/Project:Hardened
    "make Gentoo viable for highly secure, high stability"

    Новая, слабенькая, политика безопасности: https://wiki.gentoo.org/wiki/Project:Security
    "to ensure that vulnerabilities in software accessible through the Portage tree are found and fixed"

     
     
  • 6.81, Аноним (81), 08:40, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Баги фиксить все равно надо даже в Hardened системах. Хоть эксплуатация дыр значительно затруднена, но их наличие на стабильность работы при вирусной атаке будет влиять отрицательно. Hardened система дает больше времени для разработки, проверке и стабилизации патчей, плюс закрывает 0-day дыры.
     
  • 4.82, warlock66613 (ok), 08:57, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > И моё мнение, что это работа именно разрабов дистрибутивов.

    Это _другие_ пакеты. Они не имеют отношения к пакетам дистрибутивов Линукс (если не говорить о сильно экзотических дистрибутивах а-ля NixOS).

     
  • 4.87, Аноним (-), 20:37, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мейнтейнеры дистров не справляются Попробуй что-нибудь типа репов пакетов ruby ... большой текст свёрнут, показать
     
  • 2.12, Bob (??), 05:59, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Видимо так "накодили", что понадобился аудит...
     

  • 1.6, Карлос Сношайтилис (ok), 23:55, 23/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    TLTR: Прогнали аудит по используемым пакетам с зависимостями, расставили тэги. Делайте с этим чо хотите, мы своим PM отчитались.
     
  • 1.7, Аноним (7), 00:57, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Просто в голос Это документ для sox аудита, скорее бюрократическая мишура чтобы... большой текст свёрнут, показать
     
  • 1.9, Аноним (9), 01:24, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Интересно, когда этот самый карго долбанёт, что будут делать эти, которые сейчас "безопасный" код клепают? Сейчас же все проверки и вся "безопасность" по сути в одних руках?
     
     
  • 2.15, n00by (ok), 06:29, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Отправят недовольных читать "AS IS" в лицензии.
     
  • 2.17, Mail (?), 06:48, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    гошную репу пока не долбанула, а на ней пол инета крутится (докер/облака)
     
     
  • 3.19, Брат Анон (ok), 07:12, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Смелое заявление.
    В каждом апдейте что-нибудь по шифрованию подкручивают. Да и гитхаб задолбал меня письмами счастья: в вашей репе используется версия гошечки, которая имеет уязвимость в стандартной либе, номер уязвимости держите.
     
  • 2.54, Аноним (54), 12:33, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Так уже было же. Растоманы просто сказали что карго это не часть раста (раньше же говорили наоборот), что раст хороший, а кто там карго делает они не вдупляют. То же и про уязвимые растоманские либы говорят.
     
     
  • 3.72, user (??), 20:06, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    В таком случае где почитать про использование раста без карго?
     
     
  • 4.75, Аноним (7), 22:19, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    А толку, если на нем даже пакетный менеджер написать не могут. А разговоров то было...
     
  • 2.58, фтщтшь (?), 13:03, 24/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

  • 1.13, Аноним (14), 06:03, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Спорим они сначала словили из какого-то пакета вирь, а уже потом провели аудит.
     
     
  • 2.55, Аноним (54), 12:34, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Скорее всего нет, аудит обычно ежегодно делаются (а то и чаще, смотря какой аудит).
     
     
  • 3.60, Аноним (14), 13:09, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Репа появилась в марте этого года. Если они делали это внутри что вряд ли, зачем это выкладывать наружу.
     
     
  • 4.76, Аноним (7), 22:21, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Почему вряд ли?
    Аудит растом не ограничивается.
     

  • 1.18, Аноним (18), 06:55, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Гугл осмелился поставить под сомнение  безопасность раста?
     
     
  • 2.64, Аноним (64), 14:56, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ДА как он смеет!?
     
  • 2.84, Аноним (84), 19:23, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    очевидно, безопасность крейтов в общем хранилище-свалке, которые могут быть написаны кем угодно, а я не самого языка, но тебе вбросить на вентилятор надо, иначе "жисть не всласть"...
     

  • 1.20, Брат Анон (ok), 07:13, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это не отчёт. Это Филькина грамота. Кроме количества пакетов метрик тут больше нет.
     
     
  • 2.56, Аноним (54), 12:37, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Потому что это для бюрократов.
    Что-то вроде "а вы следите за рисками в зависимостях?", "да, следим, вот у нас даже отчетик есть".
     

  • 1.23, YetAnotherOnanym (ok), 07:44, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > Применение "cargo vet" позволяет гарантировать, что в проекте используются только проверенные зависимости, которые удовлетворяют заранее определённым условиям

    А если либа с нужным функционалом не помечена как безопасная, что тогда?

     
     
  • 2.83, Котофалк (?), 09:33, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Тогда у тебя два варианта... ©
     
  • 2.85, Аноним (84), 19:24, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    проверяешь ее и ее зависимости сам, всю иерархию. Очевидно же, не?
     

  • 1.24, Аноним (24), 08:12, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Самое главное не забыли:
    https://github.com/google/supply-chain/blob/main/CODE_OF_CONDUCT.md
     
     
  • 2.25, полуандерталец (?), 08:34, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Инфы тут побольше чем в отчете наверное все задумывалось для этого файла
     
  • 2.31, КО (?), 09:15, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Ты чё, э, а кто ж по-твоему "свободку" защищать будет?!
     

  • 1.28, Аноним (28), 09:02, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Максим, ну серьезно.

    > опубликовала результаты

    Ну опубликовала. И что? Какие выводы там представлены? Что с этим делать? Все хорошо или все плохо? Кто под угрозой или кто в безопасности? Новость просто не несет смысловой нагрузки: абзац про "опубликовала результаты", и абзац про cargo vet.

     
     
  • 2.53, Аноним (53), 12:28, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Новость про то, что опубликованный список можно подключить к своему проекту и не думать о том, что в очередном обновлении может прилететь вредоносное изменение. Аудит проведён перед использованием, поэтому его можно трактовать как белый список, пакеты с проблемами в Google  сразу отбраковываются. Другое дело, что список отбракованных пакетов они не опубликовали.
     
     
  • 3.69, Аноним (28), 16:17, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > не думать о том, что в очередном обновлении может прилететь вредоносное изменение

    То есть аудит каким-то образом учитывает и будущие изменения в зависимостях?

     
  • 3.86, Аноним (84), 19:33, 25/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > и не думать о том, что в очередном обновлении может прилететь вредоносное изменение

    ну зачем же врать. Там авторы крейтов мамой клянутся, что вредный код в будущем не запихнут или что всю эту систему не взломают через сторонние уязвимости? Гугловцы только на текущий, проверенный код могут дать заключение. Ведь любой код, в который позже прилетали вредоносные изменения, до момента прилета был чистым и "никто и не думал!".

     

  • 1.29, жявамэн (ok), 09:10, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    о чем новость?
    где выводы?
     
  • 1.30, Пряник (?), 09:14, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да как нормально поставить этот Rust без мутных install.sh, которые неизвестно что наворотят, пусть даже и без рута? Вот nodejs скачал бинарник, кинул куда хочешь, прописал $PATH и запускаешь без всяких побочных эффектов (кроме папки node_modules на несколько гигов).
     
     
  • 2.33, Анониссимус (?), 09:50, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Твоя слакварь уже устарела, пользуйся пакетными менеджерами.
     
  • 2.34, Анонин (?), 10:38, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эм... ты не в состоянии прочитать содержимое install.sh чтобы понять что он делает?
    Может тебе лучше завязывать с компами и пойти в мак?
     
     
  • 3.49, Аноним (49), 11:25, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Не в Мак, а в Точку.
     
  • 3.52, Аноним (52), 12:27, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Эм... ты не в состоянии прочитать содержимое install.sh чтобы понять что он делает?

    Интересный наброс, но скажите, вы при каждом запуске читаете скриптовые портянки? Ведь эта растопортянка из интернета в любой момент может измениться.

     
     
  • 4.57, Аноним (54), 12:40, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вообще-то да. Но предпочитаю докер или уже в виртуалке запускать.
     
  • 4.61, Анонимусс (?), 13:58, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А вот расскажите лучше зачем ее читать КАЖДЫЙ раз?
    Ты запускаешь ее всего ОДИН раз и он ставит rustup.
    Вот один раз и прочитаешь его.
    Причем это можно сделать просто в их гите https://github.com/rust-lang/rustup/blob/master/rustup-init.sh

    А дальше работаешь с rustup - все обновления, настройка и переключение версий, тулчейнов и тд. идут через него.

    Более того, тебе не обязательно даже скрипт запускать. Можно скачать сам rustup-init, проверить его sha и запустить. https://rust-lang.github.io/rustup/installation/other.html

    Если и этого мало - собираешь с сорцов https://github.com/rust-lang/rustup и используешь его.
    Вариантов просто куча, выбирай любой.

     
  • 3.68, Пряник (?), 16:15, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Обычно установку чего-то заворачивают в скрипт, чтобы скрыть ужас который там творится за одной красивой командой. Очень показательные примеры: Zimbra и ISPmanager. Их инсталлеры столько всего воротят, что требуют даже установки поверх чистой системы.
     
  • 2.74, Аноним (74), 22:01, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Да как нормально поставить этот Rust без мутных install.sh,

    ...
    > Вот nodejs скачал бинарник,

    Прэлестно, просто прелэстно.

     

  • 1.50, Аноним (50), 11:52, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    389 пакетов. Это если раньше надо было вывести мсгбокс то люди искали какой там это функцией делается. То теперь я так понимаю ищут пакет где ктото написал вывод мсгбокса.... О новый чудный мир, о новые правила....
     
     
  • 2.63, Аноним (63), 14:29, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    ПОПА — Пакетно-Ориентированная Программная Архитектура
     

  • 1.62, Аноним (54), 13:59, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Раст это прошлый век, где новость про mojo?
     
     
  • 2.65, Анонин (?), 15:01, 24/05/2023 Скрыто ботом-модератором     [к модератору]
  • +1 +/
     
  • 2.67, Аноним (67), 15:12, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С mojo и карбон не уплачено.
     
  • 2.73, Hck3r (?), 20:22, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Mojo пока что не опен
    А так в телеге есть канал - там побольше новостей про него
     

  • 1.71, Аноним (24), 19:47, 24/05/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А вместе с тем главная гугла на https://github.com/google говорит:

    Top languages
    Python  C++  Go  Java  JavaScript

    Других языков не просматривается.

     
     
  • 2.77, Аноним (7), 22:22, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Мозилла тоже много чего говорила
     
  • 2.78, Аноним (78), 22:30, 24/05/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Странно, а где же карбон и можо
     
     
  • 3.79, Аноним (-), 07:31, 25/05/2023 Скрыто ботом-модератором     [к модератору]
  • +/
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру