谷歌宣布并發(fā)布了一些匯總的 Rust crates 內(nèi)部審計(jì)結(jié)果,以繼續(xù)履行對(duì)開(kāi)源 Rust 社區(qū)的承諾。一直以來(lái),谷歌都在積極擁抱 Rust,在許多開(kāi)源項(xiàng)目中進(jìn)行了應(yīng)用。以及持續(xù)投資 Rust 社區(qū):包括幫助建立了 Rust 基金會(huì),員工積極貢獻(xiàn) Rust 上游、在財(cái)務(wù)上支持關(guān)鍵的 Rust 項(xiàng)目等。
此次開(kāi)源對(duì) Rust Crate 的審計(jì)結(jié)果,則使得開(kāi)發(fā)者可以自己的項(xiàng)目中輕松導(dǎo)入這些已經(jīng)由谷歌審核完成的結(jié)果,以證明所使用的 Rust Crate 的屬性;并根據(jù)這些數(shù)據(jù),判定 crate 是否滿足項(xiàng)目的安全性、正確性和測(cè)試要求。同時(shí),也避免了開(kāi)發(fā)者之間一些重復(fù)的審計(jì)工作。
“Rust 可以輕松地將代碼封裝和共享到 crate 中,crate 是可重用的軟件組件,就像其他語(yǔ)言中的包一樣。我們擁抱廣泛的開(kāi)源 Rust crate 生態(tài)系統(tǒng),既利用了谷歌以外編寫的 crates,也發(fā)布了我們自己的幾個(gè) crates。”
根據(jù)介紹,Rust 社區(qū)本身存在一個(gè)名為 Crates.io 的服務(wù),供開(kāi)發(fā)人員分發(fā)自己的 crate;開(kāi)發(fā)人員可以使用 Crates.io 下載和使用其他人開(kāi)發(fā)的 crate,但所有的第三方代碼都有一定的風(fēng)險(xiǎn)因素。在一個(gè)項(xiàng)目開(kāi)始使用一個(gè)新的 crate 之前,成員們通常會(huì)進(jìn)行一次徹底的審計(jì),根據(jù)他們的安全、正確性、測(cè)試等標(biāo)準(zhǔn)來(lái)衡量它。谷歌將其審計(jì)結(jié)果進(jìn)行整合并進(jìn)行了開(kāi)源發(fā)布,還使用 cargo vet 來(lái)快速驗(yàn)證了項(xiàng)目所使用的 crate。
不同的用例有不同的要求,而 cargo vet 允許用戶為每個(gè)依賴項(xiàng)獨(dú)立配置要求。在本地編譯器層面,對(duì) crate 的要求可能只在于不包含活躍的惡意代碼、侵犯隱私、泄露數(shù)據(jù)或安裝惡意軟件。但客戶端部署的代碼通常卻需要滿足更嚴(yán)格的要求,比如確保有沒(méi)有內(nèi)存安全問(wèn)題,使用最新的密碼術(shù)以及符合標(biāo)準(zhǔn)和規(guī)范。因此在使用和共享審計(jì)結(jié)果時(shí),重要的是要考慮項(xiàng)目的要求與審計(jì)期間記錄的事實(shí)的關(guān)系。
目前,ChromeOS 和 Fuchsia 項(xiàng)目已經(jīng)貢獻(xiàn)了他們的審計(jì)結(jié)果。谷歌方面表示,該公司的一些其他開(kāi)源項(xiàng)目也將很快加入此行列。“我們希望通過(guò)與開(kāi)源社區(qū)分享我們的工作,可以讓 Rust 生態(tài)系統(tǒng)更加安全可靠。..。.. 我們希望你能從 Googlers 所做的工作中發(fā)現(xiàn)價(jià)值,并與我們一起建立一個(gè)更安全、更可靠的 Rust 生態(tài)系統(tǒng)。”
審核編輯 :李倩
-
開(kāi)源
+關(guān)注
關(guān)注
3文章
3309瀏覽量
42473 -
代碼
+關(guān)注
關(guān)注
30文章
4779瀏覽量
68525 -
生態(tài)系統(tǒng)
+關(guān)注
關(guān)注
0文章
702瀏覽量
20723
原文標(biāo)題:谷歌開(kāi)源內(nèi)部Rust Crate審計(jì)結(jié)果
文章出處:【微信號(hào):OSC開(kāi)源社區(qū),微信公眾號(hào):OSC開(kāi)源社區(qū)】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論