供应链噩梦：Rust 将如何受到攻击以及我们如何缓解

供应链噩梦：Rust 将如何受到攻击以及我们如何缓解
Supply chain nightmare: How Rust will be attacked and what we can do to mitigate

原始链接: https://kerkour.com/rust-supply-chain-nightmare

抱歉，此网站在未启用 JavaScript 的情况下无法正常工作。请启用 JavaScript 以继续。

最近一篇在 kerkour.com 上的文章强调了 Rust 生态系统内潜在的供应链漏洞。核心问题是，很大一部分流行的 Rust 包（约 17%）包含功能理解不清的代码，这会带来安全风险。一些评论员认为这些差异通常很小（例如时间戳更新），而另一些人则强调需要彻底审计——但这种情况很少得到持续执行。提出的最安全但最具挑战性的解决方案是**依赖分发**：下载并在私有仓库中托管源代码以实现完全控制。然而，分发也会带来自身的问题：管理大量依赖项并使其与安全补丁保持更新将成为一项重大负担。讨论指出，为审计和托管安全的开源 Rust 库提供服务的潜在商业机会。

We're sorry but this website doesn't work properly without JavaScript enabled. Please enable it to continue.

供应链噩梦：Rust 将如何受到攻击以及我们如何缓解 Supply chain nightmare: How Rust will be attacked and what we can do to mitigate

供应链噩梦：Rust 将如何受到攻击以及我们如何缓解
Supply chain nightmare: How Rust will be attacked and what we can do to mitigate