谷歌宣布并發布了一些匯總的 Rust crates 內部審計結果，以繼續履行對開源 Rust 社區的承諾。一直以來，谷歌都在積極擁抱 Rust，在許多開源項目中進行了應用。以及持續投資 Rust 社區：包括幫助建立了 Rust 基金會，員工積極貢獻 Rust 上游、在財務上支持關鍵的 Rust 項目等。

此次開源對 Rust Crate 的審計結果，則使得開發者可以自己的項目中輕松導入這些已經由谷歌審核完成的結果，以證明所使用的 Rust Crate 的屬性；并根據這些數據，判定 crate 是否滿足項目的安全性、正確性和測試要求。同時，也避免了開發者之間一些重復的審計工作。

“Rust 可以輕松地將代碼封裝和共享到 crate 中，crate 是可重用的軟件組件，就像其他語言中的包一樣。我們擁抱廣泛的開源 Rust crate 生態系統，既利用了谷歌以外編寫的 crates，也發布了我們自己的幾個 crates。”

根據介紹，Rust 社區本身存在一個名為 Crates.io 的服務，供開發人員分發自己的 crate；開發人員可以使用 Crates.io 下載和使用其他人開發的 crate，但所有的第三方代碼都有一定的風險因素。在一個項目開始使用一個新的 crate 之前，成員們通常會進行一次徹底的審計，根據他們的安全、正確性、測試等標準來衡量它。谷歌將其審計結果進行整合并進行了開源發布，還使用 cargo vet 來快速驗證了項目所使用的 crate。

不同的用例有不同的要求，而 cargo vet 允許用戶為每個依賴項獨立配置要求。在本地編譯器層面，對 crate 的要求可能只在于不包含活躍的惡意代碼、侵犯隱私、泄露數據或安裝惡意軟件。但客戶端部署的代碼通常卻需要滿足更嚴格的要求，比如確保有沒有內存安全問題，使用最新的密碼術以及符合標準和規范。因此在使用和共享審計結果時，重要的是要考慮項目的要求與審計期間記錄的事實的關系。

目前，ChromeOS 和 Fuchsia 項目已經貢獻了他們的審計結果。谷歌方面表示，該公司的一些其他開源項目也將很快加入此行列。“我們希望通過與開源社區分享我們的工作，可以讓 Rust 生態系統更加安全可靠。..。.. 我們希望你能從 Googlers 所做的工作中發現價值，并與我們一起建立一個更安全、更可靠的 Rust 生態系統。”

審核編輯 ：李倩