当地时间11月24日,Rust社区两大核心会议之一的RustFest在意大利罗马召开,来自Rust核心团队的成员和全世界优秀的Rust开发者齐聚一堂。百度安全作为首批入驻Rust社区的机构之一,本次受邀参会发表主题报告,分享了百度安全在AI、大数据时代下数据传输安全领域的研究与实践。百度安全开源七种武器之一的MesaLink TLS下一代安全通讯库登陆RustFest,首次为社区伙伴展示了Rust FFI领域百度安全引领世界的研发思路与实践成果,获得了会议主办方与全球参会者的高度评价。
安全界关于”C语言魔咒”内存安全性的争论由来已久,Rust作为保证内存安全的语言,近年来获得工业界、学术界的广泛关注。然而Rust语言与其他没有内存安全保证的语言之间的交互,即FFI (Foreign Function Interface),一直是业内一个未经探索以及系统实践的领域,其所面临的安全挑战及对应的解决方案也是历届Rust会议上议题的空白。百度安全实验室的资深研究员Yiming Jing博士在本次演讲中援引实践中的案例,首度分享了Rust FFI领域常见的陷阱,以及百度安全对应的研发思路及有效规避陷阱的方法。MesaLink TLS下一代安全通讯库,作为百度安全前瞻性探索Rust FFI领域、打通Rust与C语言“任督二脉”实现互通的实践成果,在本届RustFest上正式亮相。
百度安全实验室Yiming Jing博士在RustFest上演讲,介绍百度安全MesaLink TLS下一代安全通讯库
百度安全始终倡导通过新一代技术研发与开源,实现对安全问题的快速响应与对抗,而技术的变革起源于理念上的变革。MesaLink TLS自2017年投入研发至今,在Rust FFI领域积累了大量宝贵的经验,亦是百度首席安全科学家韦韬“混合代码内存安全架构三原则”理念下的具体实践,可无缝兼容OpenSSL,目前已在智能电视、智能音箱、智能车载等领域与产业界、中外学术界展开深度合作。四年前曾经席卷全球的OpenSSL”心脏滴血”内存安全漏洞,因其破坏性之大和影响范围之广,堪称网络安全界的里程碑事件,全球主流网站诸如网银、电商、门户网站的密文传输系统在黑客的攻击下一度瘫痪,时至今日依旧有众多网站未能修补。MesaLink TLS作为百度AIoT智能终端安全解决方案的重要组成部分,用内存安全的语言重构加密通讯库,同时避免了使用低版本或未正确配置的OpenSSL带来的数据泄露的隐患,为AI时代的数据传输安全提供保障。
此外,今年8月份MesaLink 0.7.0版本的发布对于curl的支持,能够让更多开发者用上内存安全的TLS库。
事实上,这并非是MesaLink TLS在RustFest上的首度亮相了。早在5月份的RustFest Paris 2018上,来自英国剑桥的演讲者Joe Birr-Pixton
在针对rustls的主题报告中多次提及MesaLink TLS。rustls 是 Rust 社区最知名的几个项目之一,报告中演讲者Joe提及他原本计划实现的兼容OpenSSL的一个项目,被百度安全的MesaLink项目“彻底替代”了,Joe表示Mesalink项目非常“酷”,是一份“Amazing”的工作,兼容OpenSSL将使得MesaLink具有广阔的应用前景。
RustFest Rome 2018现场
包含数据传输安全领域在内,百度安全今年将首创的七大技术——KARMA系统自适应热修复、MesaLock Linux内存安全操作系统、MesaTEE下一代可信安全计算服务、OpenRASP下一代云端安全防护系统、AdvBox对抗样本工具包和HugeGraph大规模图数据库——开源汇成“七种武器”,全面解决云管端以及大数据和算法层面的一系列安全风险问题,实现由传统安全时代的强管理向AI时代的强技术支撑下的核心管理的转变,全面应对AI时代下层出不穷且日益复杂的生态安全问题及挑战。