La fondation Rust est la structure créée en février 2021 pour gérer le développement et l’orientation du langage créé par Mozilla. Depuis, elle gère une Security Initiative destinée à protéger les parties de l’écosystème « qu’aucun mainteneur individuel ne peut raisonnablement couvrir seul » : modélisation des menaces pour crates.io (les crates sont des binaires ou des bibliothèques), signature de provenance des artefacts, publication de confiance, ou encore création d’outils comme Painter et Typomania pour cartographier les dépendances et détecter les typosquattages.

Comme l’indique la fondation dans un communiqué publié le 16 juin, l’ensemble est soutenu financièrement par des membres de la fondation (AWS est cité) et par Alpha-Omega, « une initiative inter-industrie qui finance des travaux de sécurité dédiés à travers les projets open source critiques ». C’est dans ce cadre et grâce à ces apports que la fondation annonce l’embauche d’un ingénieur à temps plein pour chapeauter la sécurité de Rust et de son écosystème.

L’impact de l’intelligence artificielle

Dans le communiqué d’Alpha-Omega publié le même jour, on peut lire que cette embauche découle d’un constat : les outils automatisés sont suffisamment puissants pour révéler les failles de sécurité à grande échelle. Plusieurs grands projets Rust ont ainsi reçu des signalements et corriger de vraies vulnérabilités.

Cependant, le communiqué note aussi que ces outils génèrent un grand nombre de signalements qui peuvent être aussi plausibles qu’inutiles. Alpha-Omega évoque les heures perdues par les mainteneurs à trier ces informations. Une mention qui renvoie, une fois encore, à l’exemple de FFmpeg qui se plaignait du flot ininterrompu de signalements par des personnes n’ayant que peu d’expérience et incapables de voir si les informations envoyées étaient crédibles. Les signalements doivent cependant tous être analysés de peur de laisser passer une faille importante, avec une contrainte forte sur les petites équipes.

Un travail de synthèse et de lubrification

Le nouvel ingénieur, Jacob Finkelman, utilisera « un mélange de méthodes dirigées par l’humain et assistées par l’IA » pour examiner le langage Rust proprement dit et les crates sur lesquels l’écosystème s’appuie le plus. Il sera chargé de séparer le bon grain de l’ivraie : les vrais problèmes exploitables d’un côté, le reste à la poubelle, pour que seules des informations utiles soient envoyées aux mainteneurs.

Jacob Finkleman est un ingénieur logiciel plus connu sous le pseudonyme Eh2406. Il a commencé à utiliser Rust en 2015 et fait partie de l’équipe Cargo de Rust depuis 2018. Il est également le mainteneur de pubgrub-rs, un résolveur de dépendances qui alimente notamment uv, un gestionnaire de paquets et projets Python (écrit en Rust). « Sa connaissance du graphe de dépendances des crates le positionne idéalement pour travailler sur les risques liés à la chaîne d’approvisionnement logicielle », indique la fondation Rust.

Le travail s’effectuera en collaboration avec « les pairs d’autres écosystèmes » et le SWRG (Security Response Working Group) de Rust. Tout ce petit monde devra se concerter pour évaluer rapidement la gravité du contexte et aider autant que possible au développement rapide des correctifs. Cette équipe réduite devra en outre coordonner la divulgation et la publication responsables des informations. Elle servira aussi de guichet unique pour les rapports entrants, « y compris ceux arrivant via des initiatives comme le Project Glasswing », et d’intermédiaire entre chercheurs et mainteneurs quand des situations urgentes se produisent.

• IA

  Anthropic dévoile Mythos, son modèle d’IA chasseur de failles… réservé à certains

  IA

  Mercredi 08 avril 2026 à 15h13 08/04/2026 15h13

  7

Six mois pour commencer

Au vu de la traction dont jouit Rust depuis plusieurs années et son utilisation plus intensive dans les projets commerciaux (y compris chez Microsoft et Google qui l’utilisent en programmation système), l’écosystème a de quoi se réjouir.

Cette embauche n’est cependant pas définitive. La fondation précise que ce nouveau poste sera à temps plein pour six mois et la suite dépendra de plusieurs facteurs, selon ce que les personnes impliquées « apprendront » et… les financements disponibles bien sûr.

En revanche, la fondation précise que tout ce travail donnera naissance à des méthodes, manuels et consignes qui seront dûment documentés « pour que le travail ne s’arrête pas avec le contrat ». Les outils et pratiques seront partagés avec d’autres écosystèmes, en particulier ceux ayant aussi reçu un financement d’Alpha-Omega, comme la fondation PHP et la Drupal Association.

Enfin, la fondation invite les mainteneurs de crates largement utilisés à la contacter pour être pris en compte dans le cadre de cette initiative de sécurisation.