谷歌宣布开源审核结果 以证明所使用的 Rust Crate

IT之家 5 月 25 日消息，谷歌的许多开源项目都被使用 Rust，这是一种旨在构建可靠高效软件的现代系统语言。谷歌最近在那里 GitHub 上开源了对 Rust Crate 对于审核结果，开发人员可以将这些审核结果导入自己的项目，以证明所使用的结果 Rust Crate 的属性。

Rust 社区中有可供开发者发布自己开发的社区 Crate 的名为 Crates.io 开发人员使用的服务 Crates.io 也可以下载使用他人开发的东西 Crate。但所有的第三方代码都有一定的风险因素。对于本地编译器层面，对于本地编译器层面 Crate 要求可能不包括主动恶意代码、不侵犯隐私、泄露数据或安装恶意软件，但客户端部署代码需要满足更严格的要求，如确保没有内存安全问题，需要满足一系列标准和规范要求，并使用更新的加密技术。

因此，通常在新项目开始时，开发团队成员会根据其安全性、正确性、测试等标准对源代码进行彻底审查，当几个不同的项目审查相同的项目时 crate 可能会导致重复工作。因此，为了消除重复工作，验证安全性，谷歌内部项目开始使用新的工作 Crate 以前肯定会经过彻底审核。

第三方开发人员各自审查项目使用情况 Crate 谷歌宣布开源审计结果，避免重复审计工作，可能会浪费资源进行重复工作。谷歌继续将这些审计结果整合到供应链存储中并使用它们 cargo vet 快速验证项目使用情况 Crate。

开发者可以将谷歌开源的审计结果导入自己的项目，包括代码质量、安全性和测试要求，并根据这些要求 Crate 属性决定了它是否符合项目要求。对不同使用案例的要求不同，cargo vet 允许用户独立配置每个相关项目的要求。

日前谷歌的 ChromeOS 和 Fuchsia 所有项目都做出了贡献 Crate 对于审计结果，其他谷歌项目将逐步加入，以便覆盖更多 Crate 。这项工作仍处于初始阶段，包括 cargo vet 执行和共享审计的操作细节可能会在以后发生变化。

IT之家注：在 Rust 在程序语言中，Crate 是 Rust 其中一个编译单位，Crate 可编译成二进制文件或库，包括 Rust 代码等相关资源可编译成执行文件或函数库。Rust 使得在 Crate 中包装和共享代码变得容易，就像其他语言的软件包一样 Crate 它是一种可复用的软件组件，因此具有相当广泛的普遍性。