< 返回版块

ChaosBot 发表于 2018-07-18 12:13

Tags:rustnews

呼吁:对流行crate中unsafe代码进行审计

捅出actix-web unsafe问题那哥们又发贴了,现在actix-web中的unsafe带来的不安全问题已经差不多修复了。但是有很多crate中还在用unsafe,使用unsafe本身很正常,但是想让unsafe中不产生UB,是严重依赖于开发者自身的水平和认知。所以,审核还是必须的。但最好是使用safe rust,以及如果不是必须要用到unsafe,那么可以强制使用#![forbid(unsafe_code)]属性禁用unsafe。

该作者分享了自己审核crate的一些方法:

  • 主要是利用模糊测试(fuzzing)整体检查crate
  • 检查它们是否出现内存错误
  • 尝试使用safe代码替换unsafe而不影响性能

模糊测试相关工具:

模糊测试是发现错误的一种简单方式,但也不能保证百分百发现错误

作者考察了一些库,发现社区不太关心DoS拒绝服务安全漏洞,他在3个crate中找到相关漏洞,他提交了但是3周过去了都没有人去修复。

原文


嵌入式」让Rust和CC1101无线电模块一起玩耍

原文


Rust能教你些什么?

哪怕你是C++的粉丝,也可以学学Rust,你会学到很多。

原文


Rust实现的WebM屏幕录像工具

srs


Rust实现的elias-fano编码

Elias-Fano(PEF)编码是基于分区的倒排索引压缩算法

rust-elias-fano


评论区

写评论

还没有评论

1 共 0 条评论, 1 页