cargo-crev 到 cargo-vet 转换器

Crev 和 Vet 是用于审计 Rust/Cargo 依赖项的供应链安全工具。

此工具 (crevette) 是为 cargo-crev 用户提供的辅助工具，它将 Crev 审查导出为 audits.toml 文件，以便与 cargo-vet 一起使用。

安装

您必须已设置 cargo-crev，添加了一些 受信任的仓库 并获取了审查（尝试 cargo crev repo fetch all）。

它需要最新稳定的 Rust 版本。如果您的包管理器有过时的 Rust 版本，请切换到 rustup。

cargo install crevette

使用方法

在此初始版本中，该工具没有配置。它使用您的默认 cargo crev 身份和配置。它导出您（间接地）信任的所有审阅者的几乎所有审查。运行 crevette 将打印 audits.toml 文件的路径。您可能想审查它以确保您同意其内容。

要生成和上传 audits.toml

crevette
cargo crev publish

然后在 cargo vet 方面，前往您想要验证的 Rust/Cargo 项目，并运行

# cargo vet init (if you haven't already)
cargo vet import 'https://raw.githubusercontent.com/<your github username>/crev-proofs/HEAD/audits.toml'
cargo vet

如果您在其他地方托管您的仓库，请相应地调整 HTTPS 链接。

每次添加更多 Crev 审查时，请重新运行 crevette 以生成 audits.toml 的更新版本。

重要限制

该工具根据对crev代码审查的信任、评分、全面性和理解属性的模糊组合来估计safe-to-run和safe-to-deploy标准。目前，负面评论未映射到vet的violation功能，因此没有任何效果！