谷歌是Rust的长期赞助商和投资者,已经公布了对Rust Crates的审查结果,证明谷歌开源项目中使用Rust Crats。
Rust Crates是与其他语言的软件包相当的软件组件。据谷歌报道,Rust使得在Crates中封装和共享代码变得很容易。该公司通过使用第三方Crates,同时也发布自己的Crates,利用开源防锈Crates的广泛生态系统。
任何来自第三方的代码都有一定的风险。例如,在项目使用Crates之前,成员通常会对其进行审查,以根据安全标准进行测量。这篇文章说,由于谷歌的开源项目有许多类似的依赖关系,如果不同的项目检查同一个Crates,那将是加倍的努力。这就是为什么审查已经开始在各个项目中使用。现在,这些审查正在向更广泛的开源社区提供。
对Crates的审计将持续收集,并在谷歌供应链存储库的GitHub上发布。据谷歌报道,他们正在与Cargo Vet合作,以机械方式验证人类是否检查了所有依赖项并记录了它们的相关属性,以及这些属性是否符合当前项目的要求。
审查证明了许多开源防锈Crates的性能,可以很容易地导入到您自己的项目中。有了这些数据,就可以决定Crates是否符合各自项目的安全性、正确性和测试要求。
