Los tokens pasan a la historia: los desarrolladores de Rust dormirán más tranquilos.
Publicar dejará de ser una entrada arriesgada y pasará a ser una rutina diaria.
La plataforma crates.io publicó una actualización de desarrollo de los últimos seis meses, presentando una serie de cambios destinados a fortalecer la seguridad, la transparencia y la usabilidad del ecosistema Rust. El equipo de la plataforma, dirigido por Tobias Binek, se centró en la protección de las cadenas de suministro, la modernización de la interfaz y en mejoras de la infraestructura.
En las páginas de los paquetes apareció una nueva sección que muestra datos sobre vulnerabilidades identificadas en la base RustSec. Esto permite evaluar de antemano los riesgos al añadir dependencias y ver los intervalos de versiones afectados por los problemas. El desarrollo se lleva a cabo con el apoyo de OpenSSF; la implementación la realizó Dirkjan Ochtman, y las capacidades de la sección se ampliarán.
El sistema de publicación confiable se amplió. Ahora no solo es compatible con GitHub Actions, sino también con GitLab CI/CD mediante autenticación OIDC, lo que permite publicar paquetes sin gestionar tokens de API. De momento solo se admite GitLab.com, pero la arquitectura ya está preparada para conectar otras plataformas, incluidas Codeberg y Forgejo. Los propietarios de paquetes también han obtenido la opción de activar un modo de publicación exclusivamente a través de canales de confianza, deshabilitando por completo los tokens, lo que reduce el riesgo de lanzamientos no autorizados. Además, se han bloqueado desencadenantes peligrosos de GitHub Actions que habían provocado incidentes anteriormente.
Las páginas de los paquetes obtuvieron una métrica del número de líneas de código fuente, calculada con el proyecto tokei. Esto ofrece una idea del tamaño de la biblioteca antes de incorporarla. También se añadió al índice un campo con la hora de publicación de las versiones, lo que permite implementar periodos de «enfriamiento» en Cargo, reproducir la resolución de dependencias para una fecha concreta y mejorar la precisión de servicios de actualización automática, como Renovate. La iniciativa fue propuesta por Rene Leonhardt y realizada con la participación de Ed Page.
Un grupo separado de actualizaciones se refiere a la interfaz. A finales de 2025 el equipo inició una migración experimental del frontend a Svelte manteniendo toda la funcionalidad actual. La nueva interfaz utiliza TypeScript y clientes generados automáticamente de la API con verificación de tipos basada en descripciones OpenAPI, lo que facilita el mantenimiento y el desarrollo del proyecto. En el trabajo sobre este enfoque participó eth3lbert.
Entre los cambios de infraestructura se señalan el filtrado de descargas por user-agent de Cargo para obtener estadísticas más precisas, el soporte del formato HTML en las notificaciones por correo, el cifrado de los tokens de GitHub en la base de datos, la aparición de un enlace a las fuentes a través de docs.rs, la migración del índice disperso a la CDN Fastly para ahorrar recursos de AWS, la corrección del renderizado de emojis y de caracteres CJK en las imágenes OpenGraph, así como la optimización de las tareas en segundo plano y de los mecanismos de limpieza de la caché de CloudFront.