恶意 crate: faster_log 和 async_println

crates.io 团队通报了 2025 年 9 月 24 日发现的两个恶意 Rust crate：faster_log 和 async_println。 其中包含运行时（非构建时）的恶意行为，扫描以下内容：

• 以 0x 开头的64位十六进制 Ethereum 私钥
• Solana 风格的 Base58 私钥
• 方括号括起的字节数组

并将适配到的数据发送到 https://mainnet.solana-rpc-pool.workers.dev/。

crates.io 团队在接到 Socket 威胁研究团队的 Kirill Boychenko 报告后，于当日15:34 删除了这两个 crate 并封禁相关用户。这两个恶意用户没有发布其他 crate，且恶意 crate 在 crates.io 上无下游依赖。

文章也提醒社区注意依赖安全，警惕拼写混淆攻击。

原文：https://blog.rust-lang.org/2025/09/24/crates.io-malicious-crates-fasterlog-and-asyncprintln/

Temporal_rs: 一个日期时间库，正式发布

temporal_rs v0.1 正式发布，这是一个基于 ECMAScript Temporal API 的 Rust 日期与时间库，具备日历和时区感知能力。起源于 JavaScript 引擎 Boa 的 Temporal 实现，经过两年开发，为支持多引擎复用而拆分为独立 crate。早期支持自定义日历和时区，后因 ECMAScript 规范调整（2024 年移除自定义日历）大幅简化 API。

• 实现了 Temporal 规范中的 8 种核心类型（如 PlainDate、ZonedDateTime、Duration、Instant 等）。
• 依赖 ICU4X 处理国际化、日历计算和时区数据。
• 通过 timezone_provider crate 支持多种时区数据源（编译内嵌、文件系统、ICU 的 zoneinfo64）。

原文：https://boajs.dev/blog/2025/09/24/temporal-release

Github: https://github.com/boa-dev/temporal

SedonaDB：地理空间分析优化的分析型数据库

Apache Sedona 社区于 2025 年 9 月 24 日正式发布 SedonaDB： 一个单机版、开源、专为地理空间分析优化的分析型数据库引擎。

核心特点：

• 空间优先（Geospatial-first）： 空间数据类型、坐标参考系统（CRS）、空间函数（如 ST_Intersects、ST_DWithin、ST_KNN）和空间连接均为原生支持，无需插件或扩展。
• 基于 Rust 构建： 利用 Rust 的高性能与内存安全特性，底层集成 Apache DataFusion（向量化 SQL 引擎）和 Apache Arrow，并兼容 GeoArrow、GeoParquet 等现代地理空间数据标准。
• 多语言接口： 提供 Python（主要）、SQL、R 和 Rust API，与 GeoPandas 无缝互操作。
• 智能 CRS 管理： 自动跟踪和校验坐标系，防止跨 CRS 的错误计算；若 CRS 不匹配，会明确报错并建议使用 ST_Transform() 转换。
• 高效空间查询： 内置空间索引、动态优化策略和数据剪枝，显著提升点面关联、KNN（最近邻）、距离连接等复杂空间操作的性能。

性能表现（基于 SpatialBench 基准测试）：

• 在 SF1 和 SF10（1x 与 10x 数据规模）下，SedonaDB 表现均衡且可扩展。
• 相比 DuckDB Spatial，在复杂空间连接和 KNN 查询上更具优势。
• 相比 GeoPandas，无需手动优化即可高效处理中等规模数据。

原文：https://sedona.apache.org/latest/blog/2025/09/24/introducing-sedonadb-a-single-node-analytical-database-engine-with-geospatial-as-a-first-class-citizen/

官网：https://sedona.apache.org/sedonadb/latest/

--

From 日报小组 Yuan YQ

社区学习交流平台订阅：

• Rustcc 论坛: 支持 RSS
• 微信公众号：Rust语言中文社区