Токены уходят в прошлое. Rust-разработчики теперь будут спать спокойнее

Платформа crates.io опубликовала обновление разработки за последние шесть месяцев, представив серию изменений, направленных на усиление безопасности, прозрачности и удобства работы с экосистемой Rust. Команда платформы под руководством Тобиаса Бинека сосредоточилась на защите цепочек поставок, модернизации интерфейса и инфраструктурных улучшениях.

На страницах пакетов появился новый раздел, отображающий данные о выявленных уязвимостях из базы RustSec. Это позволяет заранее оценивать риски при подключении зависимостей и видеть диапазоны версий, на которые распространяются проблемы. Разработка ведётся при поддержке OpenSSF, реализацию выполнил Диркьян Охтман, при этом возможности раздела будут расширяться.

Система доверенной публикации была расширена. Теперь она поддерживает не только GitHub Actions, но и GitLab CI/CD с использованием OIDC-аутентификации, что позволяет публиковать пакеты без управления API-токенами. Пока поддерживается только GitLab.com, но архитектура уже подготовлена к подключению других платформ, включая Codeberg и Forgejo. Владельцы пакетов также получили возможность включать режим публикации исключительно через доверенные каналы, полностью отключая токены, что снижает риск несанкционированных релизов. Дополнительно были заблокированы опасные триггеры GitHub Actions, ранее становившиеся причиной инцидентов.

Страницы пакетов получили метрику количества строк исходного кода, рассчитываемую с помощью проекта tokei. Это даёт представление о размере библиотеки ещё до её подключения. В индекс также добавлено поле времени публикации версий, что позволяет реализовать периоды «охлаждения» в Cargo, воспроизведения разрешения зависимостей на конкретную дату и более точной работы сервисов автоматического обновления, таких как Renovate. Инициатива была предложена Рене Леонхардтом и реализована при участии Эда Пейджа.

Отдельная группа обновлений касается интерфейса. В конце 2025 года команда начала экспериментальную миграцию фронтенда на Svelte с сохранением всей текущей функциональности. Новый интерфейс использует TypeScript и автоматически создаваемые клиенты API с проверкой типов на основе OpenAPI-описаний, что упрощает поддержку и развитие проекта. В работе над подходом участвовал eth3lbert.

Среди инфраструктурных изменений отмечаются фильтрация загрузок по user-agent Cargo для более точной статистики, поддержка HTML-формата в почтовых уведомлениях, шифрование GitHub-токенов в базе данных, появление ссылки на исходники через docs.rs, переход разреженного индекса на CDN Fastly для экономии ресурсов AWS, исправление рендеринга эмодзи и CJK-символов в OpenGraph-изображениях, а также оптимизация фоновых задач и механизмов очистки кэша CloudFront.