Crates.io, Rust ekosisteminin paket yöneticisi, son altı ayda önemli geliştirmelerle güncellendi. En dikkat çekici yeniliklerden biri, paket sayfalarına eklenen "Güvenlik" sekmesi oldu. Bu sekme, RustSec veri tabanından alınan güvenlik uyarılarını göstererek geliştiricilerin bir paketi bağımlılık olarak eklemeden önce bilinen güvenlik açıklarını hızlıca görmesini sağlıyor. Bu özellik, OpenSSF'in finansmanıyla geliştirildi ve hala üzerinde çalışılıyor.
Güvenilir Yayınlama (Trusted Publishing) özelliği de büyük ölçüde geliştirildi. Daha önce GitHub Actions ile duyurulan bu özellik, artık GitLab CI/CD'yi de destekliyor. Bu sayede GitLab kullanıcıları da API token yönetimi olmadan OIDC tabanlı kimlik doğrulama akışıyla paket yayınlayabiliyor. Ayrıca, paket sahipleri artık paketleri için "Sadece Güvenilir Yayınlama" modunu etkinleştirerek geleneksel API token tabanlı yayınlamayı devre dışı bırakabiliyor. Bu, sızdırılmış API token'larından kaynaklanabilecek yetkisiz yayınlama riskini azaltıyor. Güvenlik nedeniyle, pull_request_target ve workflow_run GitHub Actions tetikleyicileri Güvenilir Yayınlama'dan engellendi.
Diğer önemli güncellemeler arasında, paket sayfalarında artık "Kaynak Kod Satırı" (SLOC) metriklerinin gösterilmesi yer alıyor. Bu, geliştiricilere bir paketin boyutuna dair fikir veriyor. Ayrıca, paket dizin girişlerine pubtime alanı eklenerek her sürümün yayınlanma zamanı kaydediliyor. Bu, Cargo'nun gelecekte yeni sürümler için bekleme süreleri uygulamasına veya bağımlılık çözümlemesini geçmiş bir tarihe göre tekrar oynatmasına olanak tanıyacak. Son olarak, Crates.io ekibi, kullanıcı arayüzünü modernize etmek için Svelte frontend geçişini değerlendiriyor.
Bu güncellemeler, Crates.io'nun güvenlik duruşunu güçlendirirken, yayınlama süreçlerini daha güvenli ve esnek hale getirerek Rust geliştiricileri için daha güvenilir ve verimli bir ekosistem sunuyor.