Debian APT 引入 Rust 硬依赖的分发构建管道工程化

Debian APT 作为核心包管理器，其构建管道引入 Rust 硬依赖标志着分发级内存安全转型的关键一步。这一决定并非简单语言迁移，而是针对解析 .deb/.ar/.tar 文件及 HTTP 签名验证等高危模块的工程化优化，能显著降低缓冲区溢出等漏洞风险。

Cargo 与 Debian 构建管道的深度集成

Debian Rust Team 已构建成熟工具链，确保 Cargo 项目无缝融入 deb 打包流程。核心工具 debcargo 可自动将 Cargo.toml 中的依赖映射为 debian/control 中的 Build-Depends，例如将 adw = {package = "libadwaita", version = "0.4", features = ["v1_3"]} 转换为 librust-libadwaita+v1_3-dev (>= 0.4)。在 debian/rules 中，通过设置 CARGO=/usr/share/cargo/bin/cargo 和 CARGO_HOME=$(CURDIR)/debian/cargo_home，实现离线 vendor 模式，避免网络依赖。

落地参数：

• 环境变量：export DEB_HOST_RUST_TYPE=$(RUSTC_BOOTSTRAP)，确保交叉编译一致。
• 构建命令：dh $@ --buildsystem=cargo，集成 dh-cargo sequence。
• 缓存清理：execute_after_dh_auto_clean: rm -rf debian/cargo_registry，防止污染。

对于 APT，此集成意味着 Rust 模块（如 sequoia-pgp 用于签名验证）可直接以 librust-sequoia-*-dev 形式拉入，编译时 cargo build 自动解析 transitive deps。

二进制分发兼容与优化

Rust 二进制在 Debian 中的分发需兼顾纯二进制 crate 与混合 C/Rust 项目。工具 cargo-deb 生成标准 .deb 包，路径 target/debian/<pkg>_<version>-1_<arch>.deb，支持 metadata.deb 配置自定义安装脚本。APT 的 Rust 部分将优先静态链接 stdlib，减少运行时 deps，同时 vendor crates.io 依赖至 debian/cargo_registry，确保 reproducible builds。

兼容清单：

1. 预检查：克隆 repo 后运行 cargo-debstatus，列出缺失 librust-*-dev。
2. 补包流程：缺失 crates 提交 Debian Rust Team Salsa repo，等待 autobuild。
3. 二进制阈值：仅对 tier-1 目标（如 amd64/arm64）提供预编译 wheel，旧端口 fallback C impl。
4. 大小控制：cargo build --release --target x86_64-unknown-linux-gnu，strip symbols 减小 20-30%。

Julian Andres Klode 在 deity ML 中指出：“APT 代码库的某些部分使用内存安全的 Rust 编程语言具有优势，因此有必要在 Debian 世界中强制要求使用 Rust。” 此举确保二进制在无 Rust runtime 的环境中兼容。

依赖解析优化策略

Cargo 的依赖解析在 Debian 中通过 patched Cargo.toml + dh-cargo 优化，避免 git deps 或 alpha 版冲突。关键是版本 pinning：Cargo.toml 指定 semver 范围，debcargo 注入系统 librust-*-dev，确保无循环 dep。针对 APT，Sequoia 生态 deps（如 rpgp）已打包为独立源包，解析时优先本地 registry。

优化参数：

• 树查看：cargo tree --duplicates，识别冗余，阈值 <5% deps 体积。
• 更新策略：cargo update -p <crate> --precise <version>，锁定安全版本。
• 审计：集成 cargo audit 到 ci.yml，CVE 阈值 zero-tolerance。
• vendor 脚本：cargo vendor --respect-source-config，生成 .cargo/config.toml 中的 source.crates-io.replace。

此优化使 APT 构建时间从小时级降至分钟，内存峰值控制在 4GB 内。

端口过渡与回滚策略

引入 Rust 最严风险是旧端口（如 m68k/HPPA）无 toolchain。Klode 要求 6 个月内补齐，否则 sunset。工程化过渡分三阶段：

1. 评估阶段（立即）：

   • 运行 rustup target list --installed 检查支持。
   • 阈值：若 bootstrap 失败率 >10%，标记 high-risk。

2. 集成阶段（2026-02 前）：

   • 交叉工具链：rustup target add m68k-unknown-linux-gnu（若可用）。
   • 测试矩阵：GitLab CI 多 arch 并行，超时 2h / 任务。

3. 生产阶段（2026-05）：

   • Canary 发布：APT 12.5.0-rc1 仅 amd64 测试 Rust 模块。
   • 监控：Prometheus 指标 rust_build_failures_total，告警 >5%。

回滚清单：

• 版本 pin：APT control 中 Conflicts: rustc (<1.80)。
• Feature flag：--disable-rust 编译选项，渐进启用。
• Fallback：纯 C parser 作为 optional dep。

阶段	检查点	阈值	工具
评估	toolchain 可用	100% tier-2 支持	rustup show
集成	构建成功率	>95%	cargo test --all
生产	运行时 perf	<5% 回归	perf record/compare

通过上述参数，Debian 确保 Rust 引入零中断。未来，此模式可扩展至 systemd 等核心组件。

资料来源：

• Debian deity ML: https://lists.debian.org/deity/2025/10/msg00071.html
• Debian Rust Packaging Wiki: https://wiki.debian.org/Teams/RustPackaging/
• LWN 讨论: https://lwn.net/Articles/1046841/