谷歌宣布并发布了一些汇总的 Rust crates 内部审计结果,以继续履行对开源 Rust 社区的承诺。一直以来,谷歌都在积极拥抱 Rust,在许多开源项目中进行了应用。以及持续投资 Rust 社区:包括帮助建立了 Rust 基金会,员工积极贡献 Rust 上游、在财务上支持关键的 Rust 项目等。
此次开源对 Rust Crate 的审计结果,则使得开发者可以自己的项目中轻松导入这些已经由谷歌审核完成的结果,以证明所使用的 Rust Crate 的属性;并根据这些数据,判定 crate 是否满足项目的安全性、正确性和测试要求。同时,也避免了开发者之间一些重复的审计工作。
“Rust 可以轻松地将代码封装和共享到 crate 中,crate 是可重用的软件组件,就像其他语言中的包一样。我们拥抱广泛的开源 Rust crate 生态系统,既利用了谷歌以外编写的 crates,也发布了我们自己的几个 crates。”
根据介绍,Rust 社区本身存在一个名为 Crates.io 的服务,供开发人员分发自己的 crate;开发人员可以使用 Crates.io 下载和使用其他人开发的 crate,但所有的第三方代码都有一定的风险因素。在一个项目开始使用一个新的 crate 之前,成员们通常会进行一次彻底的审计,根据他们的安全、正确性、测试等标准来衡量它。谷歌将其审计结果进行整合并进行了开源发布,还使用 cargo vet 来快速验证了项目所使用的 crate。
不同的用例有不同的要求,而 cargo vet 允许用户为每个依赖项独立配置要求。在本地编译器层面,对 crate 的要求可能只在于不包含活跃的恶意代码、侵犯隐私、泄露数据或安装恶意软件。但客户端部署的代码通常却需要满足更严格的要求,比如确保有没有内存安全问题,使用最新的密码术以及符合标准和规范。因此在使用和共享审计结果时,重要的是要考虑项目的要求与审计期间记录的事实的关系。
目前,ChromeOS 和 Fuchsia 项目已经贡献了他们的审计结果。谷歌方面表示,该公司的一些其他开源项目也将很快加入此行列。“我们希望通过与开源社区分享我们的工作,可以让 Rust 生态系统更加安全可靠......我们希望你能从 Googlers 所做的工作中发现价值,并与我们一起建立一个更安全、更可靠的 Rust 生态系统。”