cargo-deny GitHub 行动教程
项目介绍
cargo-deny
是一个用于帮助管理 Cargo 包依赖关系和验证许可证的 GitHub 行动。它可以帮助开发者避免使用被禁止的包或不允许的开源许可证。通过创建一个 deny.toml
文件,开发者可以定义规则,cargo-deny
会根据这些规则检查项目中的依赖关系。
项目快速启动
安装和配置
-
克隆项目仓库:
git clone https://github.com/EmbarkStudios/cargo-deny-action.git cd cargo-deny-action
-
创建
deny.toml
文件: 在项目根目录下创建一个deny.toml
文件,并添加以下示例配置:[licenses] forbidden = ["GPL-3.0"]
-
配置 GitHub Actions: 在
.github/workflows
目录下创建一个cargo-deny.yml
文件,并添加以下内容:name: cargo-deny on: [push, pull_request] jobs: cargo-deny: runs-on: ubuntu-latest steps: - name: Checkout repository uses: actions/checkout@v2 - name: Run cargo-deny uses: EmbarkStudios/cargo-deny-action@v2.0.1 with: command: check
运行和验证
提交并推送更改后,GitHub Actions 将自动运行 cargo-deny
检查,并在发现任何被禁止的包或不允许的许可证时报告失败。
应用案例和最佳实践
应用案例
假设你有一个 Rust 项目,依赖于多个开源包。为了确保项目不违反许可证要求,你可以使用 cargo-deny
来检查所有依赖包的许可证。例如,你可以在 deny.toml
文件中禁止使用 GPL-3.0 许可证的包:
[licenses]
forbidden = ["GPL-3.0"]
最佳实践
-
定期更新
deny.toml
文件:随着项目的发展,依赖关系可能会发生变化。定期更新deny.toml
文件以确保所有依赖包的许可证符合要求。 -
使用最新版本的
cargo-deny
:定期检查并使用最新版本的cargo-deny
以获得最新的功能和改进。 -
集成到 CI/CD 流程中:将
cargo-deny
集成到 CI/CD 流程中,确保每次提交和合并请求都经过许可证检查。
典型生态项目
cargo-deny
主要用于 Rust 生态系统中的项目。以下是一些使用 cargo-deny
的典型项目:
- ash-molten:一个用于 Vulkan 的 Rust 绑定库。
- cargo-about:一个用于生成依赖关系许可证报告的工具。
- gitoxide:一个高性能的 Git 库。
- tonic:一个用于构建 gRPC 服务的 Rust 库。
这些项目都通过使用 cargo-deny
来确保其依赖关系的许可证合规性,从而维护了项目的可持续性和法律合规性。