Codice pubblicato.
Vulnerabilità segnalate.
Nel cuore di Rust.

M4SS è attore nel migliorare Rust, non lo usa da spettatore.

I numeri del lavoro a monte.

Il nostro codice al servizio della community: oltre 1.100 Pull Request mergiate su più di 290 repository pubblici con un merge rate del 87,7%. Sei advisory RustSec pubblicate sul registro ufficiale di sicurezza Rust. Maintainer di lettre, libreria SMTP Rust in produzione su migliaia di progetti.

Strumenti pubblicati

Dopo averli scritti, cesellati, utilizzati in produzione, testati e documentati. Solo alla fine li rilasciamo con licenza Open Source.

  • watermelon: client NATS® interamente in Rust, alternativa al client ufficiale async-nats di Synadia. In produzione interna sulla piattaforma S451.
  • cargo-goggles: tool di verifica della riproducibilità delle build dei crate Cargo, ovvero uno strumento che verifica che il contenuto pubblicato su crates.io sia ricostruibile dai repository git ufficiali.
  • massping: libreria asincrona per il ping ICMP di più host in parallelo, costruita sul runtime tokio. Usa i ping socket di Linux, così non servono privilegi di root.
  • static-serve: estensione di axum che comprime gli asset statici e li incorpora nel binario in fase di compilazione. Un solo eseguibile, niente file da portarsi dietro.
  • benzina: estensione dell'ORM diesel che aggiunge i binding mancanti tra Rust e Postgres: enum, array, UUID, JSON e il supporto agli interi senza segno. Meno boilerplate, tipizzazione più forte.
  • cerniera: encoder ZIP zero-copy. Non tocca i dati: scrive solo la struttura ZIP attorno al contenuto. L'I/O lo gestisci tu: sendfile, mmap o quello che preferisci.
  • range-requests: interpreta e valida gli header HTTP Range e prepara la risposta parziale. Fondamentale per far ripartire download e streaming dal punto giusto.
  • deps.rs: piattaforma di analisi e trasparenza delle dipendenze Cargo. M4SS ne sponsorizza l'hosting.

Per la community Rust.

Partecipiamo attivamente e investiamo sul codice Open Source. Tutti i contributi li trovate sull'organizzazione GitHub M4SS-Code.

Advisory RustSec

Sei vulnerabilità pubblicate sul registro ufficiale di sicurezza Rust:

  • RUSTSEC-2021-0069 in lettre
  • RUSTSEC-2023-0027 e RUSTSEC-2023-0029 in nats.rs
  • RUSTSEC-2024-0400 in zstd-rs
  • RUSTSEC-2025-0132 in maxminddb-rust
  • RUSTSEC-2026-0002 in lru-rs

A queste si aggiungono segnalazioni responsabili con correzione mergiata a monte: TLS bypass in nats.rs, command injection NATS®, fix in tokio-rs, reqwest, tungstenite-rs. Nel caso di zstd-rs: advisory pubblicato, correzione scritta e propagazione nel compilatore Rust nell'arco di 24 ore.

Contributi

Contribuiamo regolarmente alle librerie centrali dell'ecosistema. Quando una libreria che usiamo ha un problema, di solito finiamo per risolverlo a monte e mandare la fix.

  • rust-lang/rust: il compilatore Rust stesso
  • tokio-rs/tokio: runtime asincrono di riferimento
  • seanmonstar/reqwest: client HTTP
  • rust-lang/futures-rs: async iterators e futures
  • tokio-rs/bytes: buffer I/O per async Rust
  • hyperium/hyper: HTTP a basso livello
  • rust-postgres/rust-postgres: client PostgreSQL®
  • deps-rs/deps.rs: analisi e trasparenza delle dipendenze Cargo

Maintainer librerie

M4SS è maintainer di lettre, libreria Rust di riferimento per la codifica di email e il protocollo SMTP, in produzione su migliaia di progetti. Manuteniamo le release, accogliamo Pull Request della comunità, rispondiamo alle issue. M4SS è inoltre co-maintainer di rust-postgres (client PostgreSQL® di riferimento).

# #

Parliamone.

Vuoi fare un audit alla supply chain o adottare Rust nel tuo progetto?

CONTATTACI
# #