ISRG之一通过核心组件从C逐步迁移至Rust来修复安全问题

互联网安全研究组 (ISRG)，Let’sEncrypt 加密计划的发起者之一，刚刚宣布 –

他们将通过逐步将核心组件从 C 迁移到 Rust 来解决安全问题，使 Apache HTTP 服务器的 httpd 主程序更加健壮。

最初的工作包括用 Rustles 库替换 OpenSSL，并为 httpd 重写一个新的 TLS 模块（称为 mod-tls）。

ISRG 的 JoshAas 表示，他希望重写后的 mod_tls 有朝一日能取代 httpd 目前默认使用的 mod_ssl。

目前，他们已经收到了谷歌的一笔资金c语言中内存的申请和释放，完成了与 httpd 提交者 Stefan Eissing 的合约，并将使用 Rust 重写新模块。

考虑到每天有数以亿计的网站使用 httpd 来满足各种需求c语言中内存的申请和释放，ISRG 希望通过修复和提高安全性对行业产生广泛而重要的影响。

之前影响httpd的问题类型多见于C语言编程引起的内存安全问题。然而，经过十多年的发展，Rust 编程语言已经成熟，默认情况下只允许编译内存安全的应用程序。

在评论 C 和 Rust 的优缺点时，JoshAas 表示，通过在 Rust 中编写 httpd 组件，可以消除大量的安全漏洞。

尽管全球网络上部署了数百万行 C 代码来处理标准请求，但我们有充分的证据表明这种行为不够安全。

业界需要认识到，继续部署这种网络流量处理代码是危险和不负责任的。人们需要满足他们需求的内存安全软件，这是 ISRG 新工作的主要驱动力。

另一方面，Apachehttpd 的创始人之一 Brian Behl