在Cargo-Deny中忽略未维护的crate的方法

在Rust生态系统中，cargo-deny是一个强大的工具，用于检查项目依赖中的安全漏洞、许可证合规性等问题。当遇到未维护的crate时，开发者需要知道如何正确配置cargo-deny来忽略这些警告。

问题背景

在Rust项目中，有时会依赖一些已经不再维护的crate。cargo-deny会检测到这些未维护的crate并发出警告。例如，当项目中使用了safemem这个crate时，cargo-deny会报告RUSTSEC-2023-0081警告，指出该crate自2019年以来就没有更新，且仓库已被作者归档。

解决方案

许多开发者会尝试在deny.toml配置文件中使用ignore字段来忽略这些警告，例如：

[advisories]
version = 2
ignore = [
  "safemem",
  "safemem@0.3.3",
]

然而，这种方法实际上只适用于忽略被yank的crate，对于未维护的crate并不适用。正确的做法是通过忽略特定的安全警告ID来处理这个问题。

正确配置方法

要忽略未维护的crate警告，应该在deny.toml文件中指定要忽略的安全警告ID：

[advisories]
version = 2
ignore = [
  "RUSTSEC-2023-0081",
]

这种配置方式明确告诉cargo-deny忽略特定的安全警告，而不是尝试通过crate名称来忽略。这种方法更加精确，也更符合cargo-deny的设计理念。

最佳实践

1. 明确忽略原因：在忽略任何安全警告前，应该充分了解为什么可以安全地忽略它。对于未维护的crate，需要评估它是否真的不再需要更新。

2. 添加注释：在配置文件中添加注释说明忽略的原因，方便后续维护：

[advisories]
version = 2
ignore = [
  # safemem虽然未维护，但功能稳定且无已知漏洞
  "RUSTSEC-2023-0081",
]

3. 定期审查：即使暂时忽略了未维护的警告，也应该定期检查是否有替代方案可用。

通过正确配置cargo-deny，开发者可以在保证项目安全的同时，灵活处理那些虽然未维护但仍然可用的依赖项。