谷歌宣布并發(fā)布了一些匯總的 Rust crates 內部審計結果�����,以繼續履行對開(kāi)源 Rust 社區的承諾�。一直以來(lái)����,谷歌都在積極擁抱 Rust����,在許多開(kāi)源項目中進(jìn)行了應用�����。以及持續投資 Rust 社區:包括幫助建立了 Rust 基金會(huì )����,員工積極貢獻 Rust 上游���、在財務(wù)上支持關(guān)鍵的 Rust 項目等���。
此次開(kāi)源對 Rust Crate 的審計結果���,則使得開(kāi)發(fā)者可以自己的項目中輕松導入這些已經(jīng)由谷歌審核完成的結果���,以證明所使用的 Rust Crate 的屬性;并根據這些數據��,判定 crate 是否滿(mǎn)足項目的安全性�����、正確性和測試要求�����。同時(shí)�,也避免了開(kāi)發(fā)者之間一些重復的審計工作�。
“Rust 可以輕松地將代碼封裝和共享到 crate 中���,crate 是可重用的軟件組件���,就像其他語(yǔ)言中的包一樣��。我們擁抱廣泛的開(kāi)源 Rust crate 生態(tài)系統�����,既利用了谷歌以外編寫(xiě)的 crates�,也發(fā)布了我們自己的幾個(gè) crates�。”
圖片來(lái)自網(wǎng)絡(luò )/侵刪
根據介紹�,Rust 社區本身存在一個(gè)名為 Crates.io 的服務(wù)�,供開(kāi)發(fā)人員分發(fā)自己的 crate;開(kāi)發(fā)人員可以使用 Crates.io 下載和使用其他人開(kāi)發(fā)的 crate����,但所有的第三方代碼都有一定的風(fēng)險因素���。在一個(gè)項目開(kāi)始使用一個(gè)新的 crate 之前�����,成員們通常會(huì )進(jìn)行一次徹底的審計����,根據他們的安全�����、正確性��、測試等標準來(lái)衡量它�。谷歌將其審計結果進(jìn)行整合并進(jìn)行了開(kāi)源發(fā)布��,還使用 cargo vet 來(lái)快速驗證了項目所使用的 crate��。
不同的用例有不同的要求���,而 cargo vet 允許用戶(hù)為每個(gè)依賴(lài)項獨立配置要求�。在本地編譯器層面�,對 crate 的要求可能只在于不包含活躍的惡意代碼�����、侵犯隱私�����、泄露數據或安裝惡意軟件�。但客戶(hù)端部署的代碼通常卻需要滿(mǎn)足更嚴格的要求�,比如確保有沒(méi)有內存安全問(wèn)題����,使用最新的密碼術(shù)以及符合標準和規范���。因此在使用和共享審計結果時(shí)�����,重要的是要考慮項目的要求與審計期間記錄的事實(shí)的關(guān)系��。
目前�,ChromeOS 和 Fuchsia 項目已經(jīng)貢獻了他們的審計結果�����。谷歌方面表示��,該公司的一些其他開(kāi)源項目也將很快加入此行列���。“我們希望通過(guò)與開(kāi)源社區分享我們的工作��,可以讓 Rust 生態(tài)系統更加安全可靠...... 我們希望你能從 Googlers 所做的工作中發(fā)現價(jià)值�,并與我們一起建立一個(gè)更安全����、更可靠的 Rust 生態(tài)系統�����。”
?��。?a href="http://www.wxlp666.cn">碼上科技)
