[Перевод] Баги, которые не ловит Rust
В апреле 2026 года Canonical раскрыла 44 CVE в uutils — реализации GNU coreutils на Rust, которая поставляется по умолчанию с версии 25.10. Большинство из уязвимостей обнаружилось при внешнем аудите, проведённом перед выпуском 26.04 LTS.
Я изучил список и решил, что из него можно многому научиться.
Примечательно то, что все эти баги оказались в кодовой базе на Rust, написанной людьми, которые знают, что делают, и ни один из багов не был отловлен механизмом проверки заимствований, clippy lints и cargo audit.
Я пишу эту статью не для того, чтобы покритировать команду разработчиков uutils. Ровно наоборот: мне хочется поблагодарить её за публикацию результатов аудита с подробностями, благодаря которым все мы можем научиться чему-то новому.
Кроме того, на нашем подкасте Rust in Production недавно был вице-президент по разработке Ubuntu Джон Сигер, заслуживший похвалы слушателей за честный рассказ о состоянии Rust в Canonical.
Если вы пишете системный код на Rust, то эта статья будет самым сжатым анализом того, где сейчас заканчивается безопасность Rust.
Читать далееИсточник: Хабрахабр
Похожие новости
- В фокусе RVD: трендовые уязвимости апреля
- Чебурнет близко
- Giftery: Старый друг лучше новых двух: почему в 2026 году работодатели возвращаются к найму 50+
- Веб-интегратор “Компот”: Смерть стандартного ТЗ и брифа: главная ошибка в запуске сайтов
- HiveTraceRed vs garak: тестируем безопасность языковых моделей на русском и английском
- VK: VK запускает цифровые проекты к 9 мая: онлайн-шествие «Бессмертного полка», виртуальное возложение цветов, спецпроекты и музыкальные премьеры
- Spark_news: В России предложили согласовывать с ФСБ обучение ИИ на госданных
- Skolkovo: Участник Сколково запускает пилотные проекты в Нигерии
- Писать или не писать… свой мессенджер — вот в чем вопрос
- [Перевод] 44 CVE в uutils: что Rust ловит, а что нет на границе с системой