0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

谷歌开源内部Rust Crate审计结果

OSC开源社区 来源:OSC开源社区 2023-05-29 11:10 次阅读

谷歌宣布并发布了一些汇总的 Rust crates 内部审计结果,以继续履行对开源 Rust 社区的承诺。一直以来,谷歌都在积极拥抱 Rust,在许多开源项目中进行了应用。以及持续投资 Rust 社区:包括帮助建立了 Rust 基金会,员工积极贡献 Rust 上游、在财务上支持关键的 Rust 项目等。

此次开源对 Rust Crate 的审计结果,则使得开发者可以自己的项目中轻松导入这些已经由谷歌审核完成的结果,以证明所使用的 Rust Crate 的属性;并根据这些数据,判定 crate 是否满足项目的安全性、正确性和测试要求。同时,也避免了开发者之间一些重复的审计工作。

“Rust 可以轻松地将代码封装和共享到 crate 中,crate 是可重用的软件组件,就像其他语言中的包一样。我们拥抱广泛的开源 Rust crate 生态系统,既利用了谷歌以外编写的 crates,也发布了我们自己的几个 crates。”

根据介绍,Rust 社区本身存在一个名为 Crates.io 的服务,供开发人员分发自己的 crate;开发人员可以使用 Crates.io 下载和使用其他人开发的 crate,但所有的第三方代码都有一定的风险因素。在一个项目开始使用一个新的 crate 之前,成员们通常会进行一次彻底的审计,根据他们的安全、正确性、测试等标准来衡量它。谷歌将其审计结果进行整合并进行了开源发布,还使用 cargo vet 来快速验证了项目所使用的 crate。

不同的用例有不同的要求,而 cargo vet 允许用户为每个依赖项独立配置要求。在本地编译器层面,对 crate 的要求可能只在于不包含活跃的恶意代码、侵犯隐私、泄露数据或安装恶意软件。但客户端部署的代码通常却需要满足更严格的要求,比如确保有没有内存安全问题,使用最新的密码术以及符合标准和规范。因此在使用和共享审计结果时,重要的是要考虑项目的要求与审计期间记录的事实的关系。

目前,ChromeOS 和 Fuchsia 项目已经贡献了他们的审计结果。谷歌方面表示,该公司的一些其他开源项目也将很快加入此行列。“我们希望通过与开源社区分享我们的工作,可以让 Rust 生态系统更加安全可靠。..。.. 我们希望你能从 Googlers 所做的工作中发现价值,并与我们一起建立一个更安全、更可靠的 Rust 生态系统。”

审核编辑 :李倩

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 开源
    +关注

    关注

    3

    文章

    3254

    浏览量

    42408
  • 代码
    +关注

    关注

    30

    文章

    4751

    浏览量

    68358
  • 生态系统
    +关注

    关注

    0

    文章

    701

    浏览量

    20709

原文标题:谷歌开源内部Rust Crate审计结果

文章出处:【微信号:OSC开源社区,微信公众号:OSC开源社区】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    CCF开源创新大赛决赛结果发布!OpenHarmony应用开发赛道尽展风采

    经过数月的激烈比拼与项目展示,第七届CCF开源创新大赛决赛结果揭榜!其中,深开鸿的“OpenHarmony应用开发-开源项目贡献赛”赛道星光熠熠,表现突出。在此,发布颁奖典礼通知,让我们共同见证
    的头像 发表于 11-07 08:07 175次阅读
    CCF<b class='flag-5'>开源</b>创新大赛决赛<b class='flag-5'>结果</b>发布!OpenHarmony应用开发赛道尽展风采

    在Aurix Tc375Lk上使用Rust编程语言可以吗?

    您好,如果我想在 Aurix Tc375Lk 上使用 Rust 编程语言,可以吗?如果是,链接 rust 编译器 ADS 和 freetoolchain 的步骤是什么?你有在 ADS 或 freetoolchian 中链接编译器的用户指南吗? 请详细说明谢谢
    发表于 05-17 13:42

    Rust效率领先C++两倍,内存安全成国家安全议题

    这项发现由谷歌安卓平台工具及库的工程总监Lars Bergstrom在日前召开的Rust Nation英国峰会揭示。尽管此前业内对Rust的安全性和稳定性存在一定争议,特别是其‘unsafe’关键字的存在令人担忧。
    的头像 发表于 04-01 15:37 866次阅读

    [鸿蒙]OpenHarmony4.0的Rust开发

    背景 Rust 是一门静态强类型语言,具有更安全的内存管理、更好的运行性能、原生支持多线程开发等优势。Rust 官方也使用 Cargo 工具来专门为 Rust 代码创建工程和构建编译
    的头像 发表于 02-26 17:28 807次阅读
    [鸿蒙]OpenHarmony4.0的<b class='flag-5'>Rust</b>开发

    谷歌发布轻量级开源人工智能模型Gemma

    谷歌近日宣布推出开源人工智能(AI)模型系列Gemma,旨在为开发人员和研究人员提供一个负责任的AI构建平台。这一举措标志着自2022年OpenAI的ChatGPT引领AI聊天机器人热潮后,谷歌首次发布重要的
    的头像 发表于 02-23 11:38 809次阅读

    谷歌大型模型终于开放源代码,迟到但重要的开源战略

    在人工智能领域,谷歌可以算是开源的鼻祖。今天几乎所有的大语言模型,都基于谷歌在 2017 年发布的 Transformer 论文;谷歌的发布的 BERT、T5,都是最早的一批
    发表于 02-22 18:14 414次阅读
    <b class='flag-5'>谷歌</b>大型模型终于开放源代码,迟到但重要的<b class='flag-5'>开源</b>战略

    Rust编写的首个Postgres基础Elasticsearch开源替代品问世

    PostgreSQL 的生态确实越来越繁荣了,在基于 PG 的扩展与衍生中,我们已经有了基于 MongoDB 开源替代 —— FerretDB,SQL Server 开源替代 Babelfish
    的头像 发表于 02-22 11:34 788次阅读
    <b class='flag-5'>Rust</b>编写的首个Postgres基础Elasticsearch<b class='flag-5'>开源</b>替代品问世

    谷歌捐款100万美元给Rust基金会,以增强C++与Rust的交互性

    如今,谷歌多项核心业务仍以 C++为主要编程语言,虽然无法直接使用Rust替代现有的C++程序,但谷歌依然选择支持Rust基金会的“Interop Initiative”计划,帮助那些
    的头像 发表于 02-19 15:41 610次阅读

    一次Rust重写基础软件的实践

    受到2022年“谷歌使用Rust重写Android系统且所有Rust代码的内存安全漏洞为零” [1] 的启发,最近笔者怀着浓厚的兴趣也顺应Rust 的潮流,尝试着将一款C语言开发的基础
    的头像 发表于 01-25 11:21 597次阅读

    谷歌YouTube部门进行大规模内部调整,裁员约100人

    根据Tubefilter获得的一份内部备忘录,谷歌YouTube部门正在进行大规模的内部调整,其中包括裁员约100人。
    的头像 发表于 01-18 18:29 1405次阅读

    源代码审计怎么做?有哪些常用工具

    。 3、CodeQL:在 CodeQL 中,代码被视为数据,安全漏洞则被建模为可以对数据库执行的查询语句。 4、SonarQube:是一个用于代码质量管理的开源平台,用于管理源代码的质量。 在审计源代码
    发表于 01-17 09:35

    Git开发者关注内存安全问题,探讨引入Rust语言

    根据最新披露的邮件讨论,Git开发团队热议在Git项目中引入Rust的可行性。作为一种开源的分布式代码版本管理工具,广泛运用于各种开发项目。尽管现在Git项目主要以C与Python为主要开发语言,但探讨显示,引入Rust能显著降
    的头像 发表于 01-15 14:23 576次阅读
    Git开发者关注内存安全问题,探讨引入<b class='flag-5'>Rust</b>语言

    从Rustup出发看Rust编译生态

    从Rustup出发看Rust编译生态 1. Rust和LLVM的关系是怎样的? 2. Rustup中targets是什么,为什么可以安装多个? 3. Rust在windows上为什么需要安装Visual studio?
    的头像 发表于 01-02 11:00 501次阅读

    芯原与谷歌携手合作开源项目Open Se Cura

    2023年12月19日,中国上海——芯原股份 (芯原,股票代码:688521.SH) 今日宣布与谷歌合作支持新推出的开源项目Open Se Cura。
    的头像 发表于 12-19 09:07 422次阅读

    【爱芯派 Pro 开发板试用体验】用rust写模型runner

    之前学习用的都是官网写好的模型runner,这里尝试用rust自己写一个runner,主要是为了熟悉Axera的一些API以便后期扩展。这里主要用到AxEngine,他是神经网络模型芯片侧推理计算库
    发表于 12-02 22:00