『cargoプロジェクトで依存関係を継続的に管理する』を書いた

Author: kyu08

content/posts/manage-cargo-dependencies/index.md

@@ -0,0 +1,30 @@
+---
+title: "cargoプロジェクトで依存関係を継続的に管理する"
+tags: ["cargo", "rust", "OSS"]
+
+cover: "https://blog.kyu08.com/cover.png"
+description: ""
+date: 2025-05-11T14:22:40+09:00
+author: "kyu08"
+authorTwitter: "kyu08_"
+draft: false
+showFullContent: false
+readingTime: true
+hideComments: false
+color: ""
+---
+
+OSSに依存するプロジェクトでは依存しているライブラリのライセンスによってはライセンス表記なことがある。（というかほとんどのライブラリはライセンス表記を求めることが多いように思う）
+
+そのため、依存ライブラリが増えた場合にはライセンス表記を更新する必要があるが、依存ライブラリの依存ライブラリに対しても再帰的にライセンス表記を見に行って自リポジトリの依存ライセンス表記を更新して...というのを行うのは現実的ではない。
+
+他にもうっかりコピーレフトなライブラリに依存してしまうとプロジェクトのライセンスを変更しなければならなかったりと案外気をつける必要があるポイントが多い。
+
+Rustコミュニティにはこれらの労力を削減してくれるツールが存在していたので紹介する。
+
+## tl;dr
+以下のチェックをCIで実行することでcargoプロジェクトの依存関係を継続的に省力で管理することができる。
+
+- [`cargo-machete`](https://github.com/bnjbvr/cargo-machete)で不要な依存関係がないか
+- [`cargo-deny`](https://github.com/EmbarkStudios/cargo-deny)で依存ライブラリに許容しないライセンスが含まれていないか
+- [`cargo-about`](https://github.com/EmbarkStudios/cargo-about)で依存ライブラリのライセンス表記が最新か