“crates.io”软件包是否经过精心策划或审查以防止恶意软件? [已关闭]

问题描述 投票:0回答:1

对于 Rust,最受欢迎的第三方库集合是 

crates.io
。对于C++来说,可能是Boost。对于 Python,它是 PIP。

Boost 库在被接受之前要经过审查过程。但对于 Python 中的 PIP,它是免费的,其中一个软件包下载了 30,000 次实际上是恶意软件,它窃取了信用卡号和登录凭据,并向受感染的计算机注入恶意代码。

从这个意义上说,

crates.io
与PIP相似吗?任何人都可以以任何名称上传任何内容吗?

crates.io
的“安全”链接会将您发送到 
rust-lang.org/policies/security
,其中讨论了安全性对 Rust 的重要性,但实际上并没有说明他们的包是否经过审查。

如果它们实际上根本没有经过审查,那么对我来说,上述内容似乎没有帮助——更明确的“买者自负”似乎是合适的。不管怎样,希望这个问题能消除任何误解。

security rust rust-cargo malware rust-crates
1个回答
0
投票
cargo.io 政策

页面可以为您提供您正在寻找的答案:

移除

许多问题都是更一般形式的特殊实例:“在什么情况下可以从 Crates.io 中删除包?”

简单来说,包裹是先到先得的,我们不会试图监管合法包裹的确切构成。我们将按照法律要求行事,并解决公然违反 Rust 行为准则的行为。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.