Обычно, когда мы говорим о двух наших любимых темах — Rust и безопасности, — контекст описывает, как Rust по своей природе (и молниеносно быстро) создает программные приложения, подобные тому, что мы создаем в Zectonal. На этой неделе безопасность самого Rust попала в новости сразу по нескольким направлениям. Ниже приведены несколько советов, которые мы хотели предложить вашему вниманию из нашего собственного опыта работы с самим языком программирования Rust. Мы также рассказываем, как Zectonal обеспечивает безопасность собственного программного обеспечения.
Безопасность зависимостей
Когда мы прочитали эту увлекательную и чрезвычайно влиятельную статью 2021 года Запутанная ситуация с зависимостями: как я взломал Apple, Microsoft и десятки других компаний, мы задались вопросом, насколько уязвимо огромное количество зависимостей Rust, называемых ящиками, которые содержит пакет Rust. инструмент управления Карго использует для построения приложений?
Cargo сам по себе является отличным инструментом по сравнению с другими аналогичными инструментами сборки и управления зависимостями, которые мы использовали в прошлом, включая Maven, Gradle, Leinigen, NPM, CMake, Ninja и т. д. Самые недооцененные сильные стороны языка программирования Rust.
Структура зависимостей похожа на дерево с множеством ветвей, которое само имеет ветви и т. д. Неудивительно, что визуализировать это с помощью Cargo можно с помощью команды «cargo tree».
Опечатка названий ящиков
На этой неделе было объявлено, что был обнаружен преднамеренно вредоносный крейт под названием rustdecimal — Название крейта было намеренно похоже на имя популярного крейта «rust_decimal, в надежде, что потенциальные жертвы напишет название с ошибкой (атака под названием опечатка).
Это аналогичная техника опечатывания, описанная в упомянутой выше влиятельной статье Dependency Confusion…, но это другой тип уязвимости зависимости от Log4Shell, который не был преднамеренно разработанной уязвимостью зависимости программного обеспечения — Zectonal также на этой неделе опубликовали наши выводы о ранее неизвестном векторе атаки Log4JShell, который мы использовали в нашем исследовании.
Анализ цепочки поставок грузов
Кроме того, на этой неделе одна из наших любимых компаний, ведущих блоги на Rust, LogRocket, опубликовала отличный блог и руководство о том, как использовать Cargo для анализа цепочки поставок — Сравнение инструментов безопасности цепочки поставок Rust. Эти возможности Cargo часто остаются незамеченными даже в экосистеме Cargo, но они очень важны для защиты компонентов программного обеспечения, из которых состоят приложения Rust.
Поскольку Zectonal фокусируется на угрозах глобальной цепочки поставок данных, мы подумали, что стоит обратить внимание на аналогичную угрозу цепочки поставок и инструменты для борьбы с этими угрозами при разработке на Rust.
Некоторые грузовые команды, которые нам нравятся
Если вы используете Rust, мы рекомендуем вам обязательно ознакомиться с этим набором возможностей безопасности Cargo:
Дерево грузов — Эта команда отобразит дерево зависимостей к терминалу
Cargo Audit — Аудит файлов Cargo.lock на наличие ящиков с уязвимостями безопасности, о которых сообщается в Базе данных рекомендаций RustSec.
Cargo Outdated — Подкоманда cargo для отображения, когда зависимости Rust устарели
Запросите демонстрацию разработанных Zectonal на 100% Rust средств наблюдения за данными и безопасности ИИ по адресу [email protected]
Чтобы узнать больше о Zectonal и о том, как вы можете защитить свое озеро данных или хранилище данных сейчас и в будущем, посетите нас на www.zectonal.com и запросите бесплатную пробную версию нашего программного обеспечения.
Zectonal разрабатывает непревзойденное программное обеспечение, чтобы обеспечить безопасные и невероятно быстрые возможности наблюдения за данными и безопасности ИИ для ваших данных. Почувствуйте себя более уверенно в своих данных. Создавайте впечатляющие идеи. Принимайте более эффективные бизнес-решения с меньшими трудностями и быстрее.
Присоединяйтесь к обсуждению на Zectonal, чтобы узнать о дополнительных темах, связанных с наблюдаемостью данных, цепочкой поставок данных, озером данных и безопасностью ИИ в будущем.
Знайте свои данные с Zectonal. https://www.zectonal.com
