字节码联盟成立,WebAssembly 生态将完善网络安全性 - Web,字节 - IT之家

发布时间:2020-04-28 11:09    浏览次数 :

[返回]

WebAssembly Runtime 现已添加 .NET Core API,开发者可直接在 .NET 应用程序中调用 WebAssembly 模块。

澳门新葡亰平台游戏,近日 Mozilla、Fastly、Intel 与 Red Hat 宣布成立联合组织Bytecode Alliance,该联盟旨在通过协作实施标准和提出新标准,以完善WebAssembly 在浏览器之外的生态。

Mozilla 澳门新葡亰平台官网,宣布由 Bytecode Alliance 创建的 Wasmtime(WebAssembly runtime)现已添加处于早期预览版状态的 .NET Core API,这就意味着开发者可以直接在 .NET 应用程序中调用 WebAssembly 代码。

WebAssembly 也叫 Wasm,它是为基于栈的虚拟机设计的二进制指令格式,Wasm 作为可移植目标,用于编译高级语言,从而可以在Web 上部署客户端和服务器应用。

澳门新葡亰平台游戏 1

WebAssembly 描述了一种内存安全的沙箱执行环境,该环境甚至可以在现有 JavaScript 虚拟机内部实现。当嵌入到 Web 中时,WebAssembly 将强制执行浏览器的同源和权限安全策略。

Bytecode Alliance(字节码联盟)是由 Mozilla、Fastly、Intel 与 Red Hat 联合成立的组织,该联盟旨在通过协作实施标准和提出新标准,以完善 WebAssembly 在浏览器之外的生态。Mozilla 提到,.NET Core 作为一个跨平台的 Runtime,仍提供对 WebAssembly 的支持主要三个好处,除了可跨平台共享更多代码之外,还能安全地隔离不受信任的代码,同时凭借着 WebAssembly 的接口类型(WebAssembly Interface Types),WebAssembly 和 .NET 可相互传递复杂类型。

目前 1.0 版本的 Wasm 已经支持 Chrome、Firefox、Safari 与 Edge 浏览器。

虽然我们能够使用 .NET Core 构建跨平台应用,但如果要使用诸如 C 或是 Rust 等原生函数库,这仍然是十分不方便的操作,因为需要函数库为每个平台发布特定函数库版本。不过有了 WebAssembly 之后,我们可以将其作为桥梁以简单满足上面的需求。原生函数库可以先编译成 WebAssembly,然后包括 .NET Core 在内的许多平台就能使用这些 WebAssembly 模块,这将简化函数库的发布以及应用程序对这些函数库的依赖方式。

此次四家公司为什么结成Bytecode Alliance 呢?Mozilla 官网博客上Lin Clark作了介绍。

由于 WebAssembly 是面向网页设计的,网页是一种每次访问网站(读/写数据)都会执行不受信任代码的环境,WebAssembly 模块只能调用从主机环境明确输入的外部函数,而且只能在主机分配的内存区域进行读写数据,这种沙盒设计方式也能被应用在 .NET Core 中,以增加安全性。通过支持 WebAssembly,.NET Core 也能使用沙盒以执行不信任代码。

Lin 表示,当前网络用户身处越来越大的风险中,目前大家在构建大规模的模块化应用,其中 80% 的代码库来自软件包注册中心,例如 npm、PyPI 与 crates.io。这样的方式当然使得生态繁荣,但是安全问题也在极速增加。

另外,Bytecode Alliance 力推的 WebAssembly 接口类型增加了 WebAssembly 与其他语言的互通性,.NET Core 也能从中受益。Mozilla 表示,WebAssembly 接口类型简化了应用程序与 WebAssembly 模块间来回传递复杂类型所需的“胶水代码”。当 Wasmtime 的 .NET API 最终可以对接口类型进行操作,WebAssembly 和 .NET 之间就能够无缝地传递复杂类型。

破坏这些安全的人利用的正是用户的信任,当用户使用应用时,他们并不清楚背后这些软件依赖关系,它们之中有没有恶意代码用户根本不知道,也无法明确是否可信任。

最后,Wasmtime 新增加的这个 .NET Core API 尚处于预览阶段,Bytecode Alliance 成员仍在对其积极开发中,更新将不保证向后兼容。当前目标是让 Wasmtime 更为稳定,因此不建议开发者将 Wasmtime 的 .NET Core API 用于正式产品开发。

所以联盟想通过 WebAssembly 技术来推动这一个领域的安全性。Bytecode Alliance 将建立起可靠安全的基础,无论在云中、本地桌面,还是小型 IoT 设备上,都可以安全地使用不受信任的代码。开发人员可以以相同的方式使用开源代码,而不会给用户带来风险,而这些通用的可重用基础集可以单独使用,也可以嵌入其它库和应用中。

(文/开源中国)    

具体来说,所有这些因为依赖项而产生的安全问题都是因为不同软件/模块/文件有权限访问到其它内容,而基于WebAssembly 可以提供某种隔离,这样就可以安全地运行不受信任的代码。

可以设计一个类似于 Unix 的小型进程或容器和微服务的架构,但是这种隔离十分轻量,它们之间的通信也不会比常规函数调用慢很多。