作为 Let’s Encrypt 加密倡议的发起者之一,互联网安全研究小组(简称 ISRG)刚刚宣布 ——他们将通过把核心组件从 C 逐步迁移至 Rust 来修复安全问题,从而使 Apache HTTP 服务器的 httpd 主程序变得更加稳固。初期工作包括使用 Rustles 库取代 OpenSSL,为 httpd 重写一个新的 TLS 模块(称作 mod-tls)。
作为一封’s Encrypt加密倡议的发起者之一互联网安全研究小组(ISRG)刚刚宣布——他们将通过逐步将核心组件从C迁移到Rust来修复安全问题,从而使Apache HTTP server的httpd主程序更加稳定。初期工作包括用Rustles库替换OpenSSL,为httpd重新编写一个新的TLS模块(名为mod-tls)。
ISRG的Josh Aas表示,他希望重写后的mod_tls有一天能够取代httpd目前默认使用的mod_ssl。
目前,他们已经获得了谷歌的资金,与httpd的提交者Stefan Eissing签约,并将通过Rust重写新模块。
考虑到每天有数亿网站使用httpd来满足各种需求,ISRG希望通过修复和提高安全性来对行业产生广泛而重要的影响。
之前影响httpd的问题类型多见于C编程导致的内存安全问题。不过经过十年的发展,Rust编程语言已经相当成熟,默认只能编译内存安全的应用。
Josh Aas在评论C和Rust的优缺点时表示,通过使用Rust编写httpd组件,可以消除大量的安全漏洞。
尽管数百万行C语言代码已经部署在世界各地的网络上来处理标准请求,但我们有足够的证据表明这种行为不够安全。
整个行业需要认识到,继续部署这种网络流量处理代码是危险的,也是不负责任的。人们需要能够满足他们需求的内存安全软件,这是ISRG新工作的主要推动力。
另一方面,Apache httpd的创始人之一布莱恩·贝伦多夫也对此评论道:
自从Apache httpd在26年前诞生以来,它仍然在基础设施中发挥着至关重要的作用。
作为最初的合作开发人员之一,我意识到这一重大改进可以保护许多人,并使httpd在不久的将来继续发光。
最后,通过确保更多的网站为用户提供更安全的HTTPS连接,ISRG让’加密项目对互联网产生了巨大的影响。
本文来自永远太远投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/601868.html