未來工作

本節描述我們已開始或希望在未來處理的主題，以使 Tauri 應用程式更加安全。如果您對這些主題感興趣或具有現有知識，我們隨時歡迎新的貢獻者，並透過 GitHub 或其他社群平台（如 Discord）提供建議。

為了讓滲透測試人員、稽核員和自動化安全檢查能夠正確執行其工作，即使從編譯後的二進制檔案中提供洞察力也非常有價值。並非所有公司都是開源的，或為稽核、紅隊和其他安全測試提供原始程式碼。

另一個經常被忽視的重點是，提供內建元數據使您的應用程式使用者能夠大規模稽核其系統中已知的漏洞，而無需將畢生精力投入其中。

如果您的威脅模型依賴於隱蔽性安全性，本節將提供一些工具和要點，希望能讓您重新考慮。

對於 Rust，有 cargo-auditable 來建立 SBOM 並提供二進制檔案的確切 crate 版本和依賴項，而不會破壞可重現的建置。

對於前端堆疊，我們尚不清楚是否有類似的解決方案，因此從二進制檔案中提取前端資源應該是一個簡單的過程。之後，應該可以使用 npm audit 或類似工具。已經有關於此過程的部落格文章，但沒有簡單的工具可用。

我們計劃提供此類工具，或在編譯具有某些功能的 Tauri 應用程式時，使其更易於提取資源。

為了使用滲透測試工具（如 Burpsuite、Zap 或 Caido），有必要攔截來自 webview 的流量，並將其傳遞到測試代理。目前 Tauri 沒有內建方法來執行此操作，但正在進行工作以簡化此過程。

所有這些工具都允許在沒有原始程式碼存取權限的情況下正確測試和檢查 Tauri 應用程式，並且在建置 Tauri 應用程式時應考慮使用這些工具。

我們計劃在未來進一步支援和實作相關功能。

在 Tauri 目前的威脅模型和邊界中，我們無法對 WebView 本身添加更多安全限制，並且由於它是我們堆疊中最大的部分，是用內存不安全的語言編寫的，因此我們計劃研究和考慮進一步沙盒化和隔離 webview 程序的方法。

將評估內建和外部沙盒化方法，以減少攻擊影響並強制執行系統存取的 IPC 橋接。我們認為我們堆疊的這一部分是薄弱環節，但當前一代 WebView 在其強化和漏洞利用彈性方面正在改進。

為了更有效率並簡化模糊測試 Tauri 應用程式的過程，我們的目標是進一步實作我們的模擬運行時和其他工具，以使其更易於為個別 Tauri 應用程式配置和建置。

Tauri 支援多種作業系統和 CPU 架構，通常應用程式只有很少或沒有可能的內存不安全程式碼。沒有預先存在的模糊測試工具和庫支援這些不常見的模糊測試用例，因此我們需要實作它並支援現有的庫（如 libAFL）來建置 Tauri 模糊測試框架。

目標是使模糊測試對於 Tauri 應用程式開發人員而言易於存取且高效。