关于 xz 后门的思考:lzma-rs 的视角
近日,Guillaume Endignoux 在其博客上讨论了 xz-utils 压缩项目中的后门问题,讨论了最近在 Rust 生态系统中关于开源依赖和维护的问题,特别是 xz-utils 压缩项目中发现的后门事件。Endignoux 通过 lzma-rs 的视角分析了该事件,并对可能的防御措施进行了探讨。
文章首先回顾了 xz-utils 中的后门问题,提出了是否应该用 Rust 重写这类工具来提高安全性的问题。Endignoux 分享了他开发纯 Rust LZMA 解压缩器的经验,以及他如何在此过程中学习 Rust。
他讨论了当前的维护模式对于关键依赖的影响,强调了需要一个可持续的维护模式来保证关键软件的安全性和稳定性。文章还探讨了在 Rust 生态系统中常见的压缩库 xz2 及其与 xz-utils 的联系,分析了这种联系对安全性的潜在影响。
Endignoux 提到,虽然大多数 Rust 包不需要复杂的构建脚本,但如果使用,通常可以通过 Rust 代码实现,这简化了审核过程并减少了潜在的安全风险。他还讨论了如何通过整合类似的库或工具来强化维护,并减少被攻击的机会。
文章最后强调了压缩工具在现代计算中的安全关键性,指出了加密和压缩之间的关系,以及如何通过采取合适的策略来保护压缩工具免受类似 xz-utils 后门这样的安全威胁。Endignoux 呼吁对压缩和文件格式的安全性给予更多关注,并采取措施以防止未来的安全漏洞。
对 Rust 社区决策权问题的思考
Rust 项目领导者 Niko 最近发现,解决 Rust 社区中一个日益明显的问题:决策权的不明确。他观察到,尤其是近期,社区内对于谁有权做决策这一问题感到困惑。这促使他提出了一个项目目标提案,旨在重新激活 Rust 的路线图进程,并将每个目标分配一个所有者。这种思考源自于希望明确化决策过程,并通过赋予明确的责任和所有权来加强项目的执行力和效率。
他强调了团队和所有者之间的协作,所有者负责设计和提出方案,而团队则作出最终决策。通过赋予目标以所有者,旨在加强责任感和项目的执行力,同时确保整个过程的透明度和责任追溯。这种做法反映了 Rust 社区对于开放性、参与性和共识决策的重视,旨在推动 Rust 语言和社区的健康发展。
zip_next 发布 1.0 版本
zip_next
是一个用于支持读写 ZIP 文件的 Rust 库。该库是从 zip
库派生出来的,旨在添加更多功能并提高测试覆盖率。
目前,其支持的压缩格式包括存储(无压缩)、deflate、deflate64(仅解压)、bzip2 和 zstd。目前不支持的 ZIP 扩展功能包括加密和多磁盘。zip_next
的默认功能包括 AES 加密解密(支持 AE-1 和 AE-2 方法)、deflate 解压缩算法、bzip2 压缩算法,以及 zstd 压缩算法等。
-- From 日报小组 RustPlumber
社区学习交流平台订阅:
评论区
写评论xz-utils这事是有预谋的潜伏, 是人的问题, 是换个语言就能解决的吗? 让人惊讶的是xz-utils竟然只有两个人在维护, 一个还是卧底, 这什么技术和管理都解决不了, 得加钱!