AI-jal íratná át kódjait Rustba a DARPA
Az ügynökség automatizált módon szeretné elintézni a C/C++ kódok konvertálását, de a jelenlegi AI-eszközök még nem kellően hatékonyak a célra - ennek megvalósítását fogja célozni az új TRACTOR nevű projekt.
A memóriabiztonságos programozási nyelvekre való átállás felgyorsítása érdekében az Egyesült Államok Védelmi Minisztériumának kutatásokért felelős ügynöksége, a DARPA elindítja a TRACTOR, azaz „Translating All C TO Rust” projektet. A TRACTOR célja, mint neve is sugallja, olyan gépitanulásos-eszközök fejlesztése, melyek képesek automatizált módon Rustba konvertálni a C-ben írt legacy kódokat. A váltással a DARPA elsősorban azt szeretné elérni, hogy a leggyakoribb C-s sebezhetőségek, például a puffertúlcsorduláson alapuló kódinjekció kiküszöbülhetővé váljanak.
Dan Wallach, DARPA programvezetője szerint ugyan már most is lehetséges kérni a különféle generatív kódkiegészítő szolgáltatásoktól, hogy fordítsanak C-ről Rustra, de a legtöbb esetben az eredmény hagy maga után kivetnivalót, és számolni kell a hallucináció, valamint a pontatlan válaszok kockázatával. A kutatás célja az eredmény minőségén való drámai javítás, különösen a leglényegesebb programkonstrukciók esetében.
Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.
A 13 éves Rust az évek során beérett, és egy Mozilla-kutató mellékprojektjéből robusztus ökoszisztémává fejlődött. Első stabil kiadása 2015-ben látott napvilágot, majd onnantól gyors terjedésnek indult: két éve az Egyesült Államok Nemzetbiztonsági Ügynöksége eddig nem látott határozottsággal kezdte szorgalmazni az alacsony szintű programozásra alkalmas, biztonságot előtérbe helyező nyelvek használatát a fejlesztők számára, mint a Rust és a Swift, miközben azt sugallta, hogy a jól bevált C és C++ használata már nem kellően biztonságos.
A DARPA szerint mostanra már egyre nagyobb az egyetértés azzal kapcsolatban, hogy a hagyományos bugkereső eszközök használata nem elég, a C és a C++.vel járó memóriabiztonsági hibákat más oldalról is fel kell számolni. Fontos folyamatok kezdődtek el az óriáscégeknél is: David Weston, a Windows biztonságáért felelős igazgatója tavaly áprilisban jelentette be, hogy a Rust nyelvvel tervezi átírni a Microsoft a Windows rendszermag biztonsági szempontból kritikus részeit és az alapvető cél a C++ kóddal kezelt adattípusok egy részének átültetése.
Korábban a Microsoft Azure műszaki igazgatója, Mark Russinovich is úgy nyilatkozott, hogy az új projekteket már nem a két jól bevált nyelv, a C és a C++ használatával lenne javasolt fejleszteni. A CTO szorgalmazza, hogy az új eszközöket a vállalat már Rustban készítse, de az eddigi hatalmas mennyiségű C/C++-ban írt kódokat még legalább egy évtizedig fogják hasznosítani és fejleszteni.
Idén februárban a Fehér Ház Office of the National Cyber Director (ONCD) hivatala kiadott ajánlásában arra sürgette a technológiai vállalatokat, hogy váltsanak memóriabiztos programozási nyelvek használatára a biztonsági kockázatok csökkentésének érdekében, kiemelten ajánlva a Rustot, a Javascriptet, a Java-t, vagy a C#-t. A jelentés a Biden elnök által 2023 márciusában aláírt Nemzeti Kiberbiztonsági Stratégiára épül, amely az ország kiberterének védelmének terhét a szoftvergyártókra és szolgáltatókra hárította.
A Google 2022 végén jelentett először komolyabb eredményekről, miután az Android Open Source Project (AOSP) támogatni kezdte a Rust programozási nyelvet, ezzel együtt a cég megkezdte a Rust használatát a mobilos rendszer kódjában abban a reményben, hogy sikerül csökkenteni a biztonsági rések számát a szoftverben. A memóriabiztonsági sebezhetőségek száma jelentősen csökkent az elmúlt néhány évben az újabb kiadásokkal, egészen pontosan 223-ról 85-re esett vissza a 2019 és 2022 közötti időszakban.