Rust 重写 sudo 和 su-低调大师

Rust 重写 sudo 和 su

2023-05-04 797

互联网安全研究小组 (ISRG) 的 Prossimo 项目正在用 Rust 重写 sudo 和 su，目标是提升它们在内存方面的安全性，确保它们不再遭受内存安全漏洞的困扰，并进一步增强 Linux 和开源生态系统的安全性。

据介绍，Prossimo 选择的软件会重点关注以下方面：

使用非常广泛（几乎每个服务器/客户端都在使用）
位于临界边界
执行关键功能
是否使用了内存不安全的语言编写（例如 C、C++、asm）

而 sudo 刚好满足了上面的情况，因此 Prossimo 决定保护这款最关键的软件，尤其是避免内存安全漏洞。

sudo（substitute user [或 superuser] do），是一种计算机程序，用于类 Unix 操作系统如 BSD、Mac OS X/macOS 以及 GNU/Linux，该计算机程序可以让用户以安全的方式使用特定的权限执行程序（通常为操作系统的超级用户）。

它最早开发于 1980 年代。几十年来，sudo 已成为执行更改同时最大程度降低操作系统风险的重要工具。

但因为它是用 C 编写的，所以 sudo 经历了很多与内存安全问题相关的漏洞。为了确保关键软件的安全性，防止内存安全漏洞，由 AWS 资助的 Ferrous Systems 和 Tweede Golf 正在联合将 sudo 和 su 从 C 移植到 Rust。

该项目现在托管在 GitHub：https://github.com/memorysafety/sudo-rs

这项工作从去年 12 月开始，计划于 2023 年 9 月结束。具体开发计划查看：Work Plan。

微信关注我们

原文链接：https://www.oschina.net/news/239377/rewrite-sudo-and-su

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

AI 开发有了新编程语言，比 Python 快 35000 倍

众所周知，Python 是 AI 和 ML 领域最受欢迎的语言，如果翻看过去数月，甚至是数年的 TIOBE 榜单，Python 也一直占据着榜单前两名的位置。随着近段时间的 AI 的火热，以及 AI 在各个行业的应用，Python 受欢迎的程度有望进一步提升。除了 Python，Julia 也是不少开发者选择的编程语言，「Julia 是否会取代 Python」也是常常会被大家谈论的问题。如今，这个领域又来了一个新的竞争者。 AI 基础设施公司 Modular AI 最近公布了一种新的编程语言 Mojo，Mojo 结合了 Python 的语法以及 C 语言的可移植性和性能，目标是使其成为 AI 研究和生产的理想选择。 Mojo 结合了 Python 的易用性和 C 语言的性能，解锁了 AI 硬件无与伦比的可编程性和 AI 模型的可扩展性。另外，它比 Python 快 35000 倍。 Mojo 的开发商表示：当我们创办 Modular AI 时，我们没有打算建立一种新的编程语言。但是，当我们在建立我们的平台，打算统一 ML/AI 基础设施时，我们意识到整个栈的编程太复杂了。根据...

2023-05-04

598

StreamPark 社区以及广大开源社区的朋友们大家好：关于近日 "赤兔" 实时计算平台违规使用 Apache StreamPark(Incubating)代码一事[1],赤兔开发团队已经重新按照 Apache 的合规要求,更新了相关代码, 并且公开在官网[2]做出了道歉声明: 在 Github[3]项目首页也写了道歉信：道歉信：鉴于赤兔团队良好的认错态度，积极的响应，StreamPark 团队正式声明如下: 接受对方道歉，对方在发生这件事情之后有着十分积极的响应，主动联系我们，做出了妥善处理，相信之前出于对开源合规和相关知识的欠缺和疏忽，没有对代码进行审查，相信非恶意为之。我们本意是为了开源得到更好发展，得到应有的尊重，既然赤兔实时计算团队已经整改公开回应并且道歉，消除了影响，那么我们决定不再继续追究，但是会继续保留维护自身合法权益的权利。使用上游项目代码看似简单，但会带来一些合规上的风险和维护上的困扰，建议参与上游协同共建，遵循上游优先(Upstream first) 原则。鼓励原创项目。这件事给广大的开发者敲响了警钟，开源合规和知识产权至关重要，身处行业中的你我都...

2023-05-04

843

资源下载

更多资源

优质分享App

近一个月的开发和优化，本站点的第一个app全新上线。该app采用极致压缩，本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。