Google は、オープンソース Rust コミュニティへの取り組みを継続し、Rust クレートの内部監査の一部の集計結果を発表およびリリースしました。Google は長い間、Rust を積極的に採用し、多くのオープンソース プロジェクトに Rust を適用してきました。そして、Rust コミュニティへの継続的な投資: Rust Foundation の設立への支援、従業員の Rust アップストリームへの積極的な貢献、主要な Rust プロジェクトへの財政的支援などが含まれます。
Rust Crate のオープンソース監査の結果により、開発者は、Google によって監査された結果を自分のプロジェクトに簡単にインポートして、使用されている Rust Crate の特性を証明し、これらのデータに基づいて、クレートが要件を満たしているかどうかを判断できます。プロジェクトの要件、セキュリティ、正確性、およびテスト要件。同時に、開発者間で繰り返される監査作業も回避できます。
「Rust を使用すると、コードを他の言語のパッケージと同様に再利用可能なソフトウェア コンポーネントであるクレートにパッケージ化して共有することが簡単になります。私たちはオープンソースの Rust クレートの広範なエコシステムを採用し、Google 以外で作成されたクレートを活用しています。また、独自のクレートもいくつかリリースしました。 」
序文によると、Rust コミュニティ自体には、開発者が独自のクレートを配布するためのCrates.ioと呼ばれるサービスがあり、開発者はCrates.ioを使用して他者が開発したクレートをダウンロードして使用できますが、すべてのサードパーティ コードには特定のリスク要素があります。プロジェクトが新しいクレートの使用を開始する前に、メンバーは通常、徹底的な監査を実行し、セキュリティ、正確性、テストなどの基準に照らして評価します。Google は監査結果を統合してオープンソース リリースを作成し、貨物専門家を利用してプロジェクトで使用された木枠を迅速に検証しました。
ユースケースが異なれば要件も異なります。Cargo vet を使用すると、ユーザーは依存関係ごとに要件を個別に構成できます。ネイティブ コンパイラ レベルでは、クレートに必要なのは、アクティブな悪意のあるコードを含まないこと、プライバシーの侵害、データの漏洩、マルウェアのインストールがないことだけです。ただし、クライアントにデプロイされるコードは通常、メモリの安全性に問題がないことの確認、最新の暗号化の使用、標準と仕様への準拠など、より厳しい要件を満たす必要があります。したがって、監査結果を使用および共有する場合は、プロジェクトの要件と監査中に記録された事実との関係を考慮することが重要です。
現在、ChromeOS プロジェクトと Fuchsia プロジェクトが監査結果を提供しています。Googleは、同社の他のオープンソースプロジェクトのいくつかも間もなくその仲間入りをすると述べた。「オープンソース コミュニティと私たちの取り組みを共有することで、Rust エコシステムがより安全で信頼できるものになることを願っています...Google 社員の取り組みに価値を見出し、より安全でより堅牢な Rust の構築に参加していただけることを願っています。生態系。」