谷歌RustCrate开源评审结果便于Rust开发者验证源代码安全性
发布时间:2023-05-25 10:28:51 所属栏目:外闻 来源:
导读:谷歌很多开源项目都用 Rust(一种现代的系统语言,目的在于构建可靠而高效的软件)进行开发。日前谷歌在 GitHub 上开源了对 Rust Crate 的审查结果,开发者可以在自己的项目中导入这些审核结果,以证明所使用的 Rust Cr
|
谷歌很多开源项目都用 Rust(一种现代的系统语言,目的在于构建可靠而高效的软件)进行开发。日前谷歌在 GitHub 上开源了对 Rust Crate 的审查结果,开发者可以在自己的项目中导入这些审核结果,以证明所使用的 Rust Crate 的属性。 Rust 社区中存在可用于供开发者发布自己所开发的 Crate 的名为 Crates.io 的服务,开发者利用 Crates.io 也能下载使用他人所开发的 Crate。但所有第三方代码都带有一定的风险因素。对于本地编译器层面而言,对 Crate 的要求可能仅是不包含主动恶意代码、不侵犯隐私、泄露数据或是安装恶意软件即可,但是供客户端侧部署的代码则需要符合更严格的要求,例如确保没有内存安全问题,并需要还要符合系列标准和规范需求、并使用更新的加密技术。 因此通常在新项目开始之际,开发组成员会根据其安全性、正确性、测试等标准对源码进行彻底的审查,当几个不同的项目审查同一个 crate 时可能会导致重复工作,因此为了消除重复的工作及验证安全性,因此谷歌内部项目开始使用新的 Crate 之前一定会经过彻底审核。 而第三方开发者各自审查项目所使用的 Crate 时,可能会浪费资源执行重复的工作,因此如今的谷歌很快就会宣布调整了开源应用的审核结果,以避免重复之前的审核过程中的工作。谷歌将这些审核结果持续整合到供应链储存库中,并且使用 cargo vet 来快速验证项目所使用的 Crate。 开发者可以将谷歌开源的审核结果,包括代码质量、安全性和测试要求等属性,导入到自己的项目中,并且根据这些 Crate 属性,决定其是否符合项目需求。不同使用案例的需求不同,cargo vet 让用户能够对每一个相应项目独立配置要求。 日前谷歌的 ChromeOS 和 Fuchsia 项目都已经贡献 Crate 审核结果,其他谷歌项目也会逐渐加入,如此便可覆盖更多的 Crate 。目前这项工作仍在初期阶段,包括 cargo vet 执行和共享审核的运作细节,之后可能还会有所变动。此外,我们还在考虑是否可以通过一些特殊的方式来实现crate的功能扩展。” (编辑:聊城站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐
