[Rust] cargo audit

cargo audit은 crate 전용 보안 감사 환경이다.
오픈소스 모듈 환경에서 가장 문제가 되는 것이 바로 보안이다. 모듈들에는 자의로든 타의로든 심각한 보안 취약점이 존재할 수 있고, npm이나 pip가 특히 그런 문제들이 두드러지는 것 같다.

cargo는 패키지의 보안 취약점을 보고, 추적, 해결하며 문제 여부를 확인할 수도 있게 해주는 audit 환경과 CLI를 제공한다.

설치

cargo install을 통해서 간편하게 설치할 수 있다.

cargo install cargo-audit

기본 사용법

만약 아래와 같이 별 문제가 없는 프로젝트 구성이 있다고 가정하겠다.

iced나 tokio나 꽤나 안정적이라 할 수 있는 종류의 패키지라고 할 수 있다.

해당 프로젝트의 루트 경로에서 cargo audit을 실행해보면

딱히 뭐가 보이지는 않는다.
그럼 문제가 없다는 뜻이다.

이번에는 문제가 있는 종속성을 하나 추가해보겠다.
pqc_kyber라는 알고리즘 관련 모듈이다.

추가해서 돌려보면

뭐 문제가 있다고 바로 답을 준다.

저 링크로 들어가면 어떤 문제가 있고, 어떻게 해결이 되어가고 있고, 다른 대안이 있는지를 알려준다.

이 플랫폼을 통해서 audit 관리를 하는 것이다.

심심하면 이런데서 어떤 취약점들이 널려있는지 한번 훑어보는 것도 보안적인 성취를 얻기 좋을 것 같다.
https://rustsec.org/advisories/

https://github.com/rustsec/rustsec