对于 Rust,最受欢迎的第三方库集合是
crates.io
。对于C++来说,可能是Boost。对于 Python,它是 PIP。
Boost 库在被接受之前要经过审查过程。但对于 Python 中的 PIP,它是免费的,其中一个软件包下载了 30,000 次实际上是恶意软件,它窃取了信用卡号和登录凭据,并向受感染的计算机注入恶意代码。
从这个意义上说,
crates.io
与PIP相似吗?任何人都可以以任何名称上传任何内容吗?
crates.io
的“安全”链接会将您发送到 rust-lang.org/policies/security
,其中讨论了安全性对 Rust 的重要性,但实际上并没有说明他们的包是否经过审查。
如果它们实际上根本没有经过审查,那么对我来说,上述内容似乎没有帮助——更明确的“买者自负”似乎是合适的。不管怎样,希望这个问题能消除任何误解。