0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

谷歌开源内部Rust Crate审计结果

OSC开源社区 来源:OSC开源社区 2023-05-29 11:10 次阅读

谷歌宣布并发布了一些汇总的 Rust crates 内部审计结果,以继续履行对开源 Rust 社区的承诺。一直以来,谷歌都在积极拥抱 Rust,在许多开源项目中进行了应用。以及持续投资 Rust 社区:包括帮助建立了 Rust 基金会,员工积极贡献 Rust 上游、在财务上支持关键的 Rust 项目等。

此次开源对 Rust Crate 的审计结果,则使得开发者可以自己的项目中轻松导入这些已经由谷歌审核完成的结果,以证明所使用的 Rust Crate 的属性;并根据这些数据,判定 crate 是否满足项目的安全性、正确性和测试要求。同时,也避免了开发者之间一些重复的审计工作。

“Rust 可以轻松地将代码封装和共享到 crate 中,crate 是可重用的软件组件,就像其他语言中的包一样。我们拥抱广泛的开源 Rust crate 生态系统,既利用了谷歌以外编写的 crates,也发布了我们自己的几个 crates。”

根据介绍,Rust 社区本身存在一个名为 Crates.io 的服务,供开发人员分发自己的 crate;开发人员可以使用 Crates.io 下载和使用其他人开发的 crate,但所有的第三方代码都有一定的风险因素。在一个项目开始使用一个新的 crate 之前,成员们通常会进行一次彻底的审计,根据他们的安全、正确性、测试等标准来衡量它。谷歌将其审计结果进行整合并进行了开源发布,还使用 cargo vet 来快速验证了项目所使用的 crate。

不同的用例有不同的要求,而 cargo vet 允许用户为每个依赖项独立配置要求。在本地编译器层面,对 crate 的要求可能只在于不包含活跃的恶意代码、侵犯隐私、泄露数据或安装恶意软件。但客户端部署的代码通常却需要满足更严格的要求,比如确保有没有内存安全问题,使用最新的密码术以及符合标准和规范。因此在使用和共享审计结果时,重要的是要考虑项目的要求与审计期间记录的事实的关系。

目前,ChromeOS 和 Fuchsia 项目已经贡献了他们的审计结果。谷歌方面表示,该公司的一些其他开源项目也将很快加入此行列。“我们希望通过与开源社区分享我们的工作,可以让 Rust 生态系统更加安全可靠。..。.. 我们希望你能从 Googlers 所做的工作中发现价值,并与我们一起建立一个更安全、更可靠的 Rust 生态系统。”

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 开源
    +关注

    关注

    3

    文章

    2922

    浏览量

    41506
  • 代码
    +关注

    关注

    30

    文章

    4514

    浏览量

    66282
  • 生态系统
    +关注

    关注

    0

    文章

    657

    浏览量

    20388

原文标题:谷歌开源内部Rust Crate审计结果

文章出处:【微信号:OSC开源社区,微信公众号:OSC开源社区】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    谷歌捐款100万美元给Rust基金会,以增强C++与Rust的交互性

    如今,谷歌多项核心业务仍以 C++为主要编程语言,虽然无法直接使用Rust替代现有的C++程序,但谷歌依然选择支持Rust基金会的“Interop Initiative”计划,帮助那些
    的头像 发表于 02-19 15:41 64次阅读

    一次Rust重写基础软件的实践

    受到2022年“谷歌使用Rust重写Android系统且所有Rust代码的内存安全漏洞为零” [1] 的启发,最近笔者怀着浓厚的兴趣也顺应Rust 的潮流,尝试着将一款C语言开发的基础
    的头像 发表于 01-25 11:21 198次阅读

    源代码审计怎么做?有哪些常用工具

    。 3、CodeQL:在 CodeQL 中,代码被视为数据,安全漏洞则被建模为可以对数据库执行的查询语句。 4、SonarQube:是一个用于代码质量管理的开源平台,用于管理源代码的质量。 在审计源代码
    发表于 01-17 09:35

    【爱芯派 Pro 开发板试用体验】用rust写模型runner

    之前学习用的都是官网写好的模型runner,这里尝试用rust自己写一个runner,主要是为了熟悉Axera的一些API以便后期扩展。这里主要用到AxEngine,他是神经网络模型芯片侧推理计算库
    发表于 12-02 22:00

    如何在Rust中连接和使用MySQL数据库

    如何在Rust中连接和使用MySQL数据库。 安装 mysql 模块 这里我们假设你已经安装了Rust编程语言工具链,在本教程中,我们将使用 mysql crate来连接和使用MySQL数据库。要安装
    的头像 发表于 09-30 17:05 731次阅读

    Rust语言如何与 InfluxDB 集成

    Rust 是一种系统级编程语言,具有高性能和内存安全性。InfluxDB 是一个开源的时间序列数据库,用于存储、查询和可视化大规模数据集。Rust 语言可以与 InfluxDB 集成,提供高效
    的头像 发表于 09-30 16:45 506次阅读

    Rust 语言中的 RwLock内部实现原理

    中的 RwLock 的内部实现原理、常用接口的使用技巧和最佳实践。 RwLock 的内部实现原理 基本概念 RwLock 是一种读写分离的锁,允许多个线程同时读取共享数据,但只允许一个线程写入数据。通过这种方式,可以避免读写操作之间的竞争,从而提高并发性能。 在
    的头像 发表于 09-20 11:23 392次阅读

    如何使用Rust连接Redis

    Redis是一款快速、开源、键值存储数据库,被广泛应用于缓存、发布/订阅系统、定时任务等场景中。Rust提供了很多Redis的客户端库,本教程将会介绍如何使用Rust连接Redis,以及如何通过
    的头像 发表于 09-19 16:22 1077次阅读

    谷歌程序员认为学习Rust很easy

    谷歌内部调查显示,超过 2/3 的受访者有信心在学习 Rust 时,用两个月或更短时间内就能为 Rust 代码库做出贡献。此外, 1/3 的受访者在两个月或更短的时间内使用
    的头像 发表于 07-03 14:56 254次阅读
    <b class='flag-5'>谷歌</b>程序员认为学习<b class='flag-5'>Rust</b>很easy

    谷歌助手LED控制开源分享

    电子发烧友网站提供《谷歌助手LED控制开源分享.zip》资料免费下载
    发表于 06-30 09:51 0次下载
    <b class='flag-5'>谷歌</b>助手LED控制<b class='flag-5'>开源</b>分享

    Rust内部工作原理

    Rust到汇编:了解 Rust内部工作原理 非常好的Rust系列文章,通过生成的汇编代码,让你了解很多Rust
    的头像 发表于 06-14 10:34 387次阅读
    <b class='flag-5'>Rust</b>的<b class='flag-5'>内部</b>工作原理

    文盘Rust -- tokio绑定cpu实践

    )。core_affinity_rs是一个用于管理CPU亲和力的Rust crate。目前支持Linux、Mac OSX和Windows。官方宣称支持多平台,本人只做了linux 操作系统的测试。
    的头像 发表于 06-11 15:32 328次阅读
    文盘<b class='flag-5'>Rust</b> -- tokio绑定cpu实践

    Rust代码中加载静态库时,出现错误 ` rust-lld: error: undefined symbol: malloc `怎么解决?

    “ [i]malloc ”、“ [i]exit ”。我验证了使用 ` [i]nm ` 命令。 问题是我打算使用 ffi 在 rust 中使用这个静态库。当我尝试在我的 Rust 代码中加载静态库
    发表于 06-09 08:44

    基于Rust语言的高可靠、开源嵌入式Hypervisor

    Rust-Shyper 是北京航空航天大学计算机学院王雷教授团队设计开发的虚拟机监控器,该系统基于 Rust 语言,实现了一个高可靠、嵌入式 Hypervisor。2023 年 2 月 15 日 Rust-Shyper 正式在
    的头像 发表于 05-24 16:31 868次阅读
    基于<b class='flag-5'>Rust</b>语言的高可靠、<b class='flag-5'>开源</b>嵌入式Hypervisor

    Meta开源Rust编写的高性能构建系统Buck2

    看来最近 Meta 的工程师是一点都没有闲着,前两天刚开源 AI 图像分割模型,这不就又发布了名为 Buck2 的开源构建系统。 Buck2 是一个已经在 Meta 内部使用了一段时间的大型构建系统
    的头像 发表于 04-14 17:04 905次阅读