Rust Dependencies Scare Me
a year ago
- #Dependency Management
- #Rust
- #Software Development
- 作者对Rust的依赖管理表示担忧,特别是对crates.io的依赖以及未维护软件包带来的潜在风险。
- 通过亲身经历发现'dotenv' crate无人维护后,作者开始质疑某些依赖项的必要性。
- 作者指出项目中依赖的复杂性和规模——带依赖包的代码达360万行,而不带依赖的原始代码仅11,136行。
- 面对如此庞大的代码审计可行性表示担忧,尤其是当个人贡献代码仅约1,000行时。
- 作者探讨了在Rust标准库增加功能的权衡,需兼顾性能、安全性和模块化目标。
- 以Cloudflare和Clickhouse等公司同样依赖外部crates为例,强调依赖管理的普遍难题。
- 作者思考如何应对这些依赖管理挑战,暗示需要更好的工具或实践方案。