GitHub为Rust语言增加供应链安全工具

GitHub的供应链安全功能，包括咨询数据库、Dependabot警报和依赖关系图，现在可用于Rust Cargo文件

为了帮助Rust开发者发现和预防安全漏洞，GitHub已经为快速增长的Rust语言提供了其供应链安全功能套件。

这些功能包括GitHub咨询数据库，其中已经有400多个Rust安全咨询，以及Dependabot警报和更新，还有依赖图支持，对Rust的Cargo包文件中的脆弱依赖提供警报。Rust用户在使用GitHub时可以报告并最终防止安全漏洞。

GitHub咨询数据库是一个安全咨询数据库，专注于为开发者提供可操作的漏洞信息。数据库中引用的大部分漏洞来自RustSec，这是一个发布与Rust库相关的安全公告的组织。Rust软件包维护者可以利用安全公告与漏洞报告者合作，在公开宣布漏洞之前私下讨论并修复漏洞。开发人员可以通过社区贡献报告带有CVE的Rust漏洞。

GitHub的依赖关系图分析了仓库的Cargo.toml和Cargo.lock文件，以确定项目中的依赖关系。依赖关系图支持Dependabot，它提醒开发者注意已知的漏洞，并创建拉动请求以更新受影响的依赖关系。虽然依赖关系图在公共资源库中是默认启用的，但开发者必须为私有资源库启用它。

GitHub说，如果公共仓库的依赖关系图还没有被填充，它很快就会被填充。对Rust的依赖关系图的支持将分两个阶段进行。Rust依赖关系的完整包元数据，包括将包映射到GitHub仓库，将在未来的版本中推出。

开发人员可以通过依赖性审查GitHub行动来防止Rust漏洞被引入，该行动可以扫描Rust依赖性变化的拉动请求，并识别任何新的依赖性是否有已知的漏洞。开发人员可以阻止它们被合并到代码中。GitHub在GitHub文档中提供了保护Rust存储库的指导。