谷歌開(kāi)源內(nèi)部Rust Crate審計(jì)結(jié)果

谷歌宣布并發(fā)布了一些匯總的 Rust crates 內(nèi)部審計(jì)結(jié)果，以繼續(xù)履行對(duì)開(kāi)源 Rust 社區(qū)的承諾。一直以來(lái)，谷歌都在積極擁抱 Rust，在許多開(kāi)源項(xiàng)目中進(jìn)行了應(yīng)用。以及持續(xù)投資 Rust 社區(qū)：包括幫助建立了 Rust 基金會(huì)，員工積極貢獻(xiàn) Rust 上游、在財(cái)務(wù)上支持關(guān)鍵的 Rust 項(xiàng)目等。

此次開(kāi)源對(duì) Rust Crate 的審計(jì)結(jié)果，則使得開(kāi)發(fā)者可以自己的項(xiàng)目中輕松導(dǎo)入這些已經(jīng)由谷歌審核完成的結(jié)果，以證明所使用的 Rust Crate 的屬性；并根據(jù)這些數(shù)據(jù)，判定 crate 是否滿(mǎn)足項(xiàng)目的安全性、正確性和測(cè)試要求。同時(shí)，也避免了開(kāi)發(fā)者之間一些重復(fù)的審計(jì)工作。

“Rust 可以輕松地將代碼封裝和共享到 crate 中，crate 是可重用的軟件組件，就像其他語(yǔ)言中的包一樣。我們擁抱廣泛的開(kāi)源 Rust crate 生態(tài)系統(tǒng)，既利用了谷歌以外編寫(xiě)的 crates，也發(fā)布了我們自己的幾個(gè) crates?！?/p>

根據(jù)介紹，Rust 社區(qū)本身存在一個(gè)名為 Crates.io 的服務(wù)，供開(kāi)發(fā)人員分發(fā)自己的 crate；開(kāi)發(fā)人員可以使用 Crates.io 下載和使用其他人開(kāi)發(fā)的 crate，但所有的第三方代碼都有一定的風(fēng)險(xiǎn)因素。在一個(gè)項(xiàng)目開(kāi)始使用一個(gè)新的 crate 之前，成員們通常會(huì)進(jìn)行一次徹底的審計(jì)，根據(jù)他們的安全、正確性、測(cè)試等標(biāo)準(zhǔn)來(lái)衡量它。谷歌將其審計(jì)結(jié)果進(jìn)行整合并進(jìn)行了開(kāi)源發(fā)布，還使用 cargo vet 來(lái)快速驗(yàn)證了項(xiàng)目所使用的 crate。

不同的用例有不同的要求，而 cargo vet 允許用戶(hù)為每個(gè)依賴(lài)項(xiàng)獨(dú)立配置要求。在本地編譯器層面，對(duì) crate 的要求可能只在于不包含活躍的惡意代碼、侵犯隱私、泄露數(shù)據(jù)或安裝惡意軟件。但客戶(hù)端部署的代碼通常卻需要滿(mǎn)足更嚴(yán)格的要求，比如確保有沒(méi)有內(nèi)存安全問(wèn)題，使用最新的密碼術(shù)以及符合標(biāo)準(zhǔn)和規(guī)范。因此在使用和共享審計(jì)結(jié)果時(shí)，重要的是要考慮項(xiàng)目的要求與審計(jì)期間記錄的事實(shí)的關(guān)系。

目前，ChromeOS 和 Fuchsia 項(xiàng)目已經(jīng)貢獻(xiàn)了他們的審計(jì)結(jié)果。谷歌方面表示，該公司的一些其他開(kāi)源項(xiàng)目也將很快加入此行列?！拔覀兿Ｍㄟ^(guò)與開(kāi)源社區(qū)分享我們的工作，可以讓 Rust 生態(tài)系統(tǒng)更加安全可靠。..。.. 我們希望你能從 Googlers 所做的工作中發(fā)現(xiàn)價(jià)值，并與我們一起建立一個(gè)更安全、更可靠的 Rust 生態(tài)系統(tǒng)?！?/p>

審核編輯 ：李倩