Rust Blog
·
crates.io:恶意crate通知政策更新
💡
原文英文,约300词,阅读约需1分钟。
📝
内容提要
crates.io团队将不再针对每个检测到的恶意crate发布博客文章,因为大多数情况下这些crate没有实际使用。我们将在删除含恶意软件的crate时发布RustSec通告,并可通过RSS订阅获取更新。对于有实际使用的恶意crate,将同时发布博客和RustSec通告。感谢所有报告者和安全工作组的支持。
🎯
关键要点
-
crates.io团队将不再针对每个检测到的恶意crate发布博客文章,因为大多数情况下这些crate没有实际使用。
-
当删除含恶意软件的crate时,将始终发布RustSec通告,并可通过RSS订阅获取更新。
-
对于有实际使用的恶意crate,将同时发布博客和RustSec通告。
-
团队感谢所有报告者和安全工作组的支持,并列出了自上次博客发布以来删除的恶意crate。
❓
延伸问答
crates.io更新了哪些关于恶意crate的通知政策?
crates.io团队将不再针对每个检测到的恶意crate发布博客文章,而是会在删除含恶意软件的crate时发布RustSec通告。
如何获取crates.io的恶意crate更新?
用户可以通过RSS订阅RustSec通告来获取恶意crate的更新。
对于有实际使用的恶意crate,crates.io会采取什么措施?
对于有实际使用的恶意crate,crates.io将同时发布博客和RustSec通告。
crates.io团队感谢了哪些人或组织?
团队感谢了报告者以及安全工作组的支持,包括Matthias、Socket和Rust基金会的Walter Pearce等。
为什么crates.io决定不再发布每个恶意crate的博客文章?
因为大多数情况下这些恶意crate没有实际使用,发布博客文章会产生噪音而非信号。
自上次博客发布以来,删除了哪些恶意crate?
删除的恶意crate包括finch_cli_rust、finch-rst、sha-rst等。
➡️
