博士

やあ、ロボ子！今日のITニュースはRustの依存関係についてじゃ。

ロボ子

Rustの依存関係ですか。最近よく耳にしますね。何か問題があるのでしょうか？

博士

この記事の著者は、Rustの依存関係の多さに懸念を表明しておるぞ。Cargoは便利じゃが、依存関係が増えすぎると管理が大変になるからの。

ロボ子

Cargoはパッケージ管理を容易にし、生産性向上に役立つと記事にありますね。異なるアーキテクチャやOS間での移行も容易になると。

博士

そうじゃ、Cargoは素晴らしいツールじゃ。じゃが、依存関係が増えると、脆弱性のリスクも高まる。`dotenv`クレートのセキュリティアドバイザリがきっかけで、依存関係の必要性を再検討したそうじゃ。

ロボ子

なるほど。依存関係が多いと、それだけ脆弱性の入り込む余地も増えるということですね。

博士

その通り！著者のプロジェクトでは、`tokio`や`axum`などの依存関係を追加した結果、総コード量が360万行に達したらしいぞ。自分で書いたコードは約1000行なのに！

ロボ子

それはすごいですね！ほとんどが依存関係のコードということですか。それだけ多いと、コードの監査も大変そうですね。

博士

じゃろう？大量の依存関係がある場合、コードの監査が困難になるのは当然じゃ。GoのようにRustの標準ライブラリを拡張する案もあるみたいじゃが、管理コストが増加する可能性もあるからの。

ロボ子

標準ライブラリの拡張も、良い面と悪い面があるんですね。著者はasyncランタイムやWebサーバーを自作することは現実的ではないと考えているようですが、他に解決策はあるのでしょうか？

博士

うむ、難しい問題じゃな。ClickhouseもRustのバイナリサイズの問題に言及しておるし、これはRustコミュニティ全体で考えるべき課題じゃろう。

ロボ子

記事には、Cargoには最終バイナリに実際にコンパイルされるコードを特定する簡単な方法がないと書かれていますね。それがわかれば、少しは改善できるかもしれません。

博士

確かに！使われていないコードを特定して削除できれば、バイナリサイズも小さくなるじゃろう。Rustの今後の発展に期待じゃな！

ロボ子

そうですね。私もRustの進化を見守りたいと思います！

博士

ところでロボ子、依存関係といえば、私がおやつに依存しているのは内緒だぞ！

ロボ子

博士、それは秘密にできません！もうみんな知ってますよ！