谷歌宣布并發(fā)布了一些匯總的 Rust crates 內部審計結果,以繼續(xù)履行對開源 Rust 社區(qū)的承諾。一直以來,谷歌都在積極擁抱 Rust,在許多開源項目中進行了應用。以及持續(xù)投資 Rust 社區(qū):包括幫助建立了 Rust 基金會,員工積極貢獻 Rust 上游、在財務上支持關鍵的 Rust 項目等。
此次開源對 Rust Crate 的審計結果,則使得開發(fā)者可以自己的項目中輕松導入這些已經(jīng)由谷歌審核完成的結果,以證明所使用的 Rust Crate 的屬性;并根據(jù)這些數(shù)據(jù),判定 crate 是否滿足項目的安全性、正確性和測試要求。同時,也避免了開發(fā)者之間一些重復的審計工作。
“Rust 可以輕松地將代碼封裝和共享到 crate 中,crate 是可重用的軟件組件,就像其他語言中的包一樣。我們擁抱廣泛的開源 Rust crate 生態(tài)系統(tǒng),既利用了谷歌以外編寫的 crates,也發(fā)布了我們自己的幾個 crates。”
根據(jù)介紹,Rust 社區(qū)本身存在一個名為 Crates.io 的服務,供開發(fā)人員分發(fā)自己的 crate;開發(fā)人員可以使用 Crates.io 下載和使用其他人開發(fā)的 crate,但所有的第三方代碼都有一定的風險因素。在一個項目開始使用一個新的 crate 之前,成員們通常會進行一次徹底的審計,根據(jù)他們的安全、正確性、測試等標準來衡量它。谷歌將其審計結果進行整合并進行了開源發(fā)布,還使用 cargo vet 來快速驗證了項目所使用的 crate。
不同的用例有不同的要求,而 cargo vet 允許用戶為每個依賴項獨立配置要求。在本地編譯器層面,對 crate 的要求可能只在于不包含活躍的惡意代碼、侵犯隱私、泄露數(shù)據(jù)或安裝惡意軟件。但客戶端部署的代碼通常卻需要滿足更嚴格的要求,比如確保有沒有內存安全問題,使用最新的密碼術以及符合標準和規(guī)范。因此在使用和共享審計結果時,重要的是要考慮項目的要求與審計期間記錄的事實的關系。
目前,ChromeOS 和 Fuchsia 項目已經(jīng)貢獻了他們的審計結果。谷歌方面表示,該公司的一些其他開源項目也將很快加入此行列?!拔覀兿Mㄟ^與開源社區(qū)分享我們的工作,可以讓 Rust 生態(tài)系統(tǒng)更加安全可靠。..。.. 我們希望你能從 Googlers 所做的工作中發(fā)現(xiàn)價值,并與我們一起建立一個更安全、更可靠的 Rust 生態(tài)系統(tǒng)?!?/p>
審核編輯 :李倩
-
開源
+關注
關注
3文章
3688瀏覽量
43829 -
代碼
+關注
關注
30文章
4900瀏覽量
70734 -
生態(tài)系統(tǒng)
+關注
關注
0文章
707瀏覽量
21057
原文標題:谷歌開源內部Rust Crate審計結果
文章出處:【微信號:OSC開源社區(qū),微信公眾號:OSC開源社區(qū)】歡迎添加關注!文章轉載請注明出處。
發(fā)布評論請先 登錄
中軟國際以AI賦能某省構建統(tǒng)一智能審計整改系統(tǒng)
中軟國際持續(xù)服務地方審計廳整改智能化
基于SEGGER的Ozone調試器和J-Trace工具跟蹤Ferrocene的Rust應用
中軟國際審計智能體平臺接入DeepSeek滿血版大模型
JavaScript與Rust和WebAssembly集成

軟通動力受邀出席信息科技審計分會2024年會暨ITGRA論壇
ADS1120內部溫度傳感器轉換結果偏高怎么解決?
如何保證ads1292R的內部測試信號結果的準確性?
CCF開源創(chuàng)新大賽決賽結果發(fā)布!OpenHarmony應用開發(fā)賽道盡展風采

如何用Rust編寫一個ChatGPT桌面應用(保姆級教程)

未來嵌入式系統(tǒng)的黃金搭檔 MCX N947遇上Rust

評論