企业如何选择合适的技术方案?点击看专家聊数字化转型落地过程中的困难和解决办法 了解详情
写点什么

新创立的字节码联盟宣布 WebAssembly 微进程提案,旨在安全使用非信任模块

  • 2019 年 12 月 06 日
  • 本文字数:1264 字

    阅读完需:约 4 分钟

新创立的字节码联盟宣布WebAssembly微进程提案,旨在安全使用非信任模块

来自 Mozilla 的Lin Clark最近宣布创立字节码联盟(Bytecode Alliance)。字节码联盟是一个行业合作伙伴关系,旨在为 WebAssembly 生态系统提出和实现标准,以实现其在浏览器和其他环境中安全的发展。字节码联盟提出了微进程(nanoprocess),为运行第三方 Wasm 包提供了隔离和安全性。


为了进一步推动模块化 WebAssembly 生态系统,Mozilla、Fastly、英特尔和红帽公司携手成立了字节码联盟,为当前大量使用的第三方包可能存在的安全问题(例如恶意依赖、损坏的模块)提供补救措施。Clark 引述道,应用程序中大约有 80%的代码来自于包注册中心,例如npmPypycrates.io。这些第三方包加速了应用程序的创建,但是也引入了安全问题。开发人员信任这些第三方包,为它们授予和应用程序相同的能力(capabilities),但是这些能力可能会被恶意包用于意想不到的目的。Clark 警告道:


作为一个社区,我们必须要作出选择。WebAssembly 生态系统可以提供一个解决方案,至少,我们应该选择一种默认情况下安全的方式进行设计。如果我们不这么做,WebAssembly 可能会让问题变得更糟糕。

随着 WebAssembly 生态系统的发展,我们需要解决这个问题。由于这个问题太大,难以单独解决,这就是字节码联盟成立的原因。


通过微进程提案,可以让包运行在独立环境中,只拥有预先定义的限定能力。字节码联盟试图通过这种方式,寻求让来自恶意软件包的安全漏洞失效。Clark 解释道:


总之,我们将建立牢固安全的基础设施,无论这些不信任的代码运行在何处,都能保其安全性。它们可能会运行在云端、任何人的本地电脑,甚至在小型 IoT 设备上。

通过这个提案,开发者仍然可以通过相同的方式使用开源代码,保持和现在一样的高效,同时不会带来风险。


微进程构建于 WebAssembly 和WASI已有或者已提出的面向安全的特性上(例如 WebAssembly 的沙箱和内存隔离,WASI 的基于能力安全模型),通过允许给第三方包传递细粒度能力实现。


WASI 应用程序安全性由能力(capabilities)提供,而非使用标识资源的可伪造引用(例如文件路径),但是没有指定资源的访问权限。在 WASI 模型下,代码可以只访问传递给它的目录。因此,运行时可以将文件描述付传递给应用程序上层代码使用,同时这个文件描述付会按照最小使用原则传播到系统的其他部分。


微进程在此基础上更进一步,它允许将一个微进程将自己接收到的能力(来自于运行时或者其父微进程)的子集传递给它依赖的微进程。Clark 在官宣博客中描绘了一张机制图:



感兴趣的读者可以去官宣博客了解关于 WebAssembly 微进程和其他额外预期优势的详细介绍。


字节码联盟已经在一系列现有项目进行合作,包括 WebAssembly 运行时(WasmtimeLucet,、WebAssembly Micro Runtime),运行时组件(CraneliftWASI common)和语言工具(cargo-wasiwatwasmparser)。除此之外,字节码联盟还领导WASI标准和 Rust WebAssembly 工作组的工作。


字节码联盟有兴趣发展新成员并壮大联盟。感兴趣的团体可以给联盟发送电子邮件:hello@bytecodealliance.org


原文链接:


https://www.infoq.com/news/2019/11/wasm-nanoprocesses-security/


2019 年 12 月 06 日 08:001703

评论 1 条评论

发布
用户头像
@LLVM 怎么看?
2019 年 12 月 19 日 11:08
回复
没有更多了
发现更多内容

推荐书籍-《持续行动-从想到到做到》

消失的子弹

书籍推荐

数据库厂家有哪些?排名怎么样?

行云管家

数据库 IT运维 运维审计 数据库审计

为应用赋能!博云容器云产品族正式发布

BoCloud博云

容器 云原生 容器云

看企评家剖析苏宁环球股份有限公司企业成长性评价

Geek_657354

企评家 公司评价 企评家企业评价 苏宁环球股份有限公司

Python:什么是callable?

一农

Python Callable

等保二级和等保三级的三大区别讲解-行云管家

行云管家

网络安全 等保 等级保护 等保2.0 等保二级

百问百答第39期:如何区分docker容器中的进程名称?

博睿数据

智能运维 Bonree Server 博睿数据

TreeMap源码分析-新增

zarmnosaj

5月月更

更全、更精准,美创科技实现Caché数据库M语言精细化审计

美创科技

cache 数据安全 数据库审计

玩转集群配置中心,一文带你了解 Taier 控制台

数栈DTinsight

Wallys/ Network_Card/2x 2 5G /High power Radio card

wallys-wifi6

QCA9882 802.11AX

国产CPU产业链的逻辑架构

Finovy Cloud

gpu 云服务器

HttpRunner v4.0 正式发布:一文了解 v4.0 的前世、今生与未来

debugtalk

性能测试 HTTP 接口测试 测试工具 开源软件

【直播预告】如何写好技术文章?开源技术写作入门与实践

TiDB 社区干货传送门

盘点使用最广泛的14个最佳Scrum工具(功能与报价)

PingCode

互联网通信安全之终端数据保护

融云 RongCloud

敏捷实践 | 做优先级排序时使用最多的三个模型

LigaAI

敏捷开发 优先级

签约喜报 | 美秧集签约旺链科技,一物一码防伪溯源驱动品牌新增长

旺链科技

区块链 产业区块链 大米溯源

IOS技术分享| iOS快速生成开发文档(一)

anyRTC开发者

ios objective-c 音视频 移动开发 appledoc

大数据培训数仓指标体系搭建

@零度

大数据开发

AI简报-视频超分BasicVSR

AIWeker-人工智能微客

人工智能 深度学习 视频超分 5月月更 AI简报

集成底座内外网访问配置说明

agileai

k8s 集成底座 企业服务总线 身份管理平台 主数据平台

前端监控的搭建步骤,别再一头雾水了!

杨成功

架构 大前端 5月月更

烫烫屯屯锟斤拷��

博文视点Broadview

web前端培训js 私有属性的 6 种实现方式

@零度

web前端开发

Wallys/Network_Card/QCA9880/ 2x2 2.4G/5G FCC/CE

wallys-wifi6

802.11AX QCN9880

从“预见”到“遇见” | SAE 引领应用步入 Serverless 全托管新时代

阿里巴巴云原生

阿里云 Serverless 云原生 SAE

leetcode 75. Sort Colors 颜色分类

okokabcd

LeetCode 排序

网络攻击盯上民生领域,应对DDoS和APT攻击,如何有效防御?

郑州埃文科技

IP地址 网络资产保护 网络攻击防御

数字人民币智慧学生证来了,对于特定群体硬钱包或大有可为

CECBC

阿里云首家通过《可信云·云成本优化工具能力要求》评估,云原生企业 IT 成本治理方案助力企业 FinOps 落地

阿里巴巴云原生

阿里云 云原生 工具

新创立的字节码联盟宣布WebAssembly微进程提案,旨在安全使用非信任模块_前端_Bruno Couriol_InfoQ精选文章