feat: Add cargo-deny #4539

haecker-felix · 2025-09-08T14:46:45Z

Current results, without touching anything else:

fxhash (no longer maintained)
paste (no longer maintained)
tracing-subscriber (vulnerability)

Detailed Results

error[unmaintained]: fxhash - no longer maintained
    ┌─ /Users/haecker-felix/Documents/Projekte/pixi/Cargo.lock:209:1
    │
209 │ fxhash 0.2.1 registry+https://github.com/rust-lang/crates.io-index
    │ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ unmaintained advisory detected
    │
    ├ ID: RUSTSEC-2025-0057
    ├ Advisory: https://rustsec.org/advisories/RUSTSEC-2025-0057
    ├ The fxhash crate is no longer maintained.
      
      The repository is stale and owner is no longer active on GitHub.
      
      Please take a look at [rustc-hash](https://github.com/rust-lang/rustc-hash) instead.
      ```
    ├ Announcement: https://github.com/cbreeden/fxhash/issues/20
    ├ Solution: No safe upgrade is available!
    ├ fxhash v0.2.1
      ├── path_resolver v0.2.0
      │   └── rattler v0.37.0
      │       ├── pixi_cli v0.1.0
      │       │   ├── pixi v0.54.2
      │       │   └── pixi_docs v0.1.0
      │       ├── pixi_command_dispatcher v0.1.0
      │       │   ├── pixi_cli v0.1.0 (*)
      │       │   ├── pixi_core v0.1.0
      │       │   │   ├── (dev) pixi v0.54.2 (*)
      │       │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   ├── pixi_global v0.1.0
      │       │   │   │   └── pixi_cli v0.1.0 (*)
      │       │   │   └── pixi_task v0.1.0
      │       │   │       ├── (dev) pixi v0.54.2 (*)
      │       │   │       └── pixi_cli v0.1.0 (*)
      │       │   ├── pixi_global v0.1.0 (*)
      │       │   └── pixi_reporters v0.1.0
      │       │       ├── pixi_cli v0.1.0 (*)
      │       │       ├── pixi_core v0.1.0 (*)
      │       │       └── pixi_global v0.1.0 (*)
      │       ├── pixi_config v0.1.0
      │       │   ├── (dev) pixi v0.54.2 (*)
      │       │   ├── pixi_cli v0.1.0 (*)
      │       │   ├── (dev) pixi_command_dispatcher v0.1.0 (*)
      │       │   ├── pixi_core v0.1.0 (*)
      │       │   ├── pixi_global v0.1.0 (*)
      │       │   ├── pixi_utils v0.1.0
      │       │   │   ├── (dev) pixi v0.54.2 (*)
      │       │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   ├── pixi_git v0.0.1
      │       │   │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   │   ├── pixi_pypi_spec v0.1.0
      │       │   │   │   │   ├── (dev) pixi v0.54.2 (*)
      │       │   │   │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   │   │   ├── pixi_manifest v0.1.0
      │       │   │   │   │   │   ├── (dev) pixi v0.54.2 (*)
      │       │   │   │   │   │   ├── pixi_build_discovery v0.1.0
      │       │   │   │   │   │   │   ├── (dev) pixi_build_discovery v0.1.0 (*)
      │       │   │   │   │   │   │   ├── pixi_build_frontend v0.1.0
      │       │   │   │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   │   │   │   │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   │   │   │   │   │   └── pixi_global v0.1.0 (*)
      │       │   │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   │   │   │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   │   │   │   │   └── pixi_global v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_build_type_conversions v0.1.0
      │       │   │   │   │   │   │   ├── pixi_build_discovery v0.1.0 (*)
      │       │   │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   │   │   │   │   └── pixi_core v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_global v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_task v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_uv_conversions v0.1.0
      │       │   │   │   │   │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   │   │   │   │   └── pixi_core v0.1.0 (*)
      │       │   │   │   │   │   └── pypi_modifiers v0.1.0
      │       │   │   │   │   │       ├── pixi_cli v0.1.0 (*)
      │       │   │   │   │   │       └── pixi_core v0.1.0 (*)
      │       │   │   │   │   └── pixi_uv_conversions v0.1.0 (*)
      │       │   │   │   ├── pixi_record v0.1.0
      │       │   │   │   │   ├── (dev) pixi v0.54.2 (*)
      │       │   │   │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   │   │   └── pixi_uv_conversions v0.1.0 (*)
      │       │   │   │   ├── pixi_reporters v0.1.0 (*)
      │       │   │   │   ├── pixi_spec v0.1.0
      │       │   │   │   │   ├── (dev) pixi v0.54.2 (*)
      │       │   │   │   │   ├── pixi_build_discovery v0.1.0 (*)
      │       │   │   │   │   ├── pixi_build_type_conversions v0.1.0 (*)
      │       │   │   │   │   ├── pixi_cli v0.1.0 (*)
      │       │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   │   │   ├── pixi_core v0.1.0 (*)
      │       │   │   │   │   ├── pixi_global v0.1.0 (*)
      │       │   │   │   │   ├── pixi_manifest v0.1.0 (*)
      │       │   │   │   │   ├── pixi_pypi_spec v0.1.0 (*)
      │       │   │   │   │   ├── pixi_record v0.1.0 (*)
      │       │   │   │   │   ├── pixi_reporters v0.1.0 (*)
      │       │   │   │   │   ├── pixi_spec_containers v0.1.0
      │       │   │   │   │   │   ├── pixi_build_discovery v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │       │   │   │   │   │   ├── pixi_global v0.1.0 (*)
      │       │   │   │   │   │   └── pixi_manifest v0.1.0 (*)
      │       │   │   │   │   └── pixi_uv_conversions v0.1.0 (*)
      │       │   │   │   └── pixi_uv_conversions v0.1.0 (*)
      │       │   │   └── pixi_global v0.1.0 (*)
      │       │   └── pypi_mapping v0.1.0
      │       │       ├── (dev) pixi v0.54.2 (*)
      │       │       └── pixi_core v0.1.0 (*)
      │       ├── pixi_core v0.1.0 (*)
      │       ├── pixi_global v0.1.0 (*)
      │       └── pixi_reporters v0.1.0 (*)
      ├── rattler_cache v0.3.32
      │   ├── pixi_consts v0.1.0
      │   │   ├── (dev) pixi v0.54.2 (*)
      │   │   ├── pixi_cli v0.1.0 (*)
      │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │   │   ├── pixi_config v0.1.0 (*)
      │   │   ├── pixi_core v0.1.0 (*)
      │   │   ├── pixi_global v0.1.0 (*)
      │   │   ├── pixi_manifest v0.1.0 (*)
      │   │   ├── pixi_task v0.1.0 (*)
      │   │   ├── pixi_utils v0.1.0 (*)
      │   │   └── pypi_mapping v0.1.0 (*)
      │   ├── rattler v0.37.0 (*)
      │   └── rattler_repodata_gateway v0.24.2
      │       ├── pixi_cli v0.1.0 (*)
      │       ├── pixi_command_dispatcher v0.1.0 (*)
      │       ├── pixi_config v0.1.0 (*)
      │       ├── pixi_core v0.1.0 (*)
      │       ├── pixi_global v0.1.0 (*)
      │       └── pixi_reporters v0.1.0 (*)
      ├── rattler_conda_types v0.39.1
      │   ├── (dev) pixi v0.54.2 (*)
      │   ├── pixi_build_discovery v0.1.0 (*)
      │   ├── pixi_build_frontend v0.1.0 (*)
      │   ├── pixi_build_type_conversions v0.1.0 (*)
      │   ├── pixi_build_types v0.1.0
      │   │   ├── pixi_build_discovery v0.1.0 (*)
      │   │   ├── pixi_build_frontend v0.1.0 (*)
      │   │   ├── pixi_build_type_conversions v0.1.0 (*)
      │   │   └── pixi_command_dispatcher v0.1.0 (*)
      │   ├── pixi_cli v0.1.0 (*)
      │   ├── pixi_command_dispatcher v0.1.0 (*)
      │   ├── pixi_config v0.1.0 (*)
      │   ├── pixi_consts v0.1.0 (*)
      │   ├── pixi_core v0.1.0 (*)
      │   ├── pixi_default_versions v0.1.0
      │   │   ├── pixi_core v0.1.0 (*)
      │   │   └── pypi_modifiers v0.1.0 (*)
      │   ├── pixi_docs v0.1.0 (*)
      │   ├── pixi_global v0.1.0 (*)
      │   ├── pixi_manifest v0.1.0 (*)
      │   ├── pixi_record v0.1.0 (*)
      │   ├── pixi_reporters v0.1.0 (*)
      │   ├── pixi_spec v0.1.0 (*)
      │   ├── pixi_spec_containers v0.1.0 (*)
      │   ├── pixi_stable_hash v0.1.0
      │   │   ├── pixi_build_types v0.1.0 (*)
      │   │   └── pixi_command_dispatcher v0.1.0 (*)
      │   ├── pixi_task v0.1.0 (*)
      │   ├── pixi_utils v0.1.0 (*)
      │   ├── pypi_mapping v0.1.0 (*)
      │   ├── pypi_modifiers v0.1.0 (*)
      │   ├── rattler v0.37.0 (*)
      │   ├── rattler_cache v0.3.32 (*)
      │   ├── rattler_lock v0.24.0
      │   │   ├── (dev) pixi v0.54.2 (*)
      │   │   ├── pixi_cli v0.1.0 (*)
      │   │   ├── pixi_core v0.1.0 (*)
      │   │   ├── pixi_global v0.1.0 (*)
      │   │   ├── pixi_manifest v0.1.0 (*)
      │   │   ├── pixi_record v0.1.0 (*)
      │   │   ├── pixi_spec v0.1.0 (*)
      │   │   ├── pixi_task v0.1.0 (*)
      │   │   └── pixi_uv_conversions v0.1.0 (*)
      │   ├── rattler_menuinst v0.2.24
      │   │   ├── pixi_global v0.1.0 (*)
      │   │   └── rattler v0.37.0 (*)
      │   ├── rattler_package_streaming v0.23.2
      │   │   ├── pixi_build_frontend v0.1.0 (*)
      │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │   │   ├── rattler v0.37.0 (*)
      │   │   ├── rattler_cache v0.3.32 (*)
      │   │   └── rattler_repodata_gateway v0.24.2 (*)
      │   ├── rattler_repodata_gateway v0.24.2 (*)
      │   ├── rattler_shell v0.24.10
      │   │   ├── pixi_cli v0.1.0 (*)
      │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │   │   ├── pixi_core v0.1.0 (*)
      │   │   ├── pixi_global v0.1.0 (*)
      │   │   ├── pixi_utils v0.1.0 (*)
      │   │   ├── rattler v0.37.0 (*)
      │   │   └── rattler_menuinst v0.2.24 (*)
      │   ├── rattler_solve v3.0.2
      │   │   ├── pixi_cli v0.1.0 (*)
      │   │   ├── pixi_command_dispatcher v0.1.0 (*)
      │   │   ├── pixi_core v0.1.0 (*)
      │   │   ├── pixi_manifest v0.1.0 (*)
      │   │   └── rattler_lock v0.24.0 (*)
      │   └── rattler_virtual_packages v2.1.4
      │       ├── (dev) pixi v0.54.2 (*)
      │       ├── pixi_cli v0.1.0 (*)
      │       ├── pixi_command_dispatcher v0.1.0 (*)
      │       ├── pixi_core v0.1.0 (*)
      │       ├── pixi_global v0.1.0 (*)
      │       ├── pixi_manifest v0.1.0 (*)
      │       └── pypi_modifiers v0.1.0 (*)
      └── rattler_lock v0.24.0 (*)

error[unmaintained]: paste - no longer maintained
    ┌─ /Users/haecker-felix/Documents/Projekte/pixi/Cargo.lock:384:1
    │
384 │ paste 1.0.15 registry+https://github.com/rust-lang/crates.io-index
    │ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ unmaintained advisory detected
    │
    ├ ID: RUSTSEC-2024-0436
    ├ Advisory: https://rustsec.org/advisories/RUSTSEC-2024-0436
    ├ The creator of the crate `paste` has stated in the [`README.md`](https://github.com/dtolnay/paste/blob/master/README.md) 
      that this project is not longer maintained as well as archived the repository
      
      ## Possible Alternative(s)
      
      - [pastey](https://crates.io/crates/pastey), a fork of paste and is aimed to be a drop-in replacement with additional features for paste crate
    ├ Announcement: https://github.com/dtolnay/paste
    ├ Solution: No safe upgrade is available!
    ├ paste v1.0.15
      └── rmp v0.8.14
          └── rmp-serde v1.3.0
              ├── rattler_repodata_gateway v0.24.2
              │   ├── pixi_cli v0.1.0
              │   │   ├── pixi v0.54.2
              │   │   └── pixi_docs v0.1.0
              │   ├── pixi_command_dispatcher v0.1.0
              │   │   ├── pixi_cli v0.1.0 (*)
              │   │   ├── pixi_core v0.1.0
              │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   ├── pixi_global v0.1.0
              │   │   │   │   └── pixi_cli v0.1.0 (*)
              │   │   │   └── pixi_task v0.1.0
              │   │   │       ├── (dev) pixi v0.54.2 (*)
              │   │   │       └── pixi_cli v0.1.0 (*)
              │   │   ├── pixi_global v0.1.0 (*)
              │   │   └── pixi_reporters v0.1.0
              │   │       ├── pixi_cli v0.1.0 (*)
              │   │       ├── pixi_core v0.1.0 (*)
              │   │       └── pixi_global v0.1.0 (*)
              │   ├── pixi_config v0.1.0
              │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   ├── pixi_cli v0.1.0 (*)
              │   │   ├── (dev) pixi_command_dispatcher v0.1.0 (*)
              │   │   ├── pixi_core v0.1.0 (*)
              │   │   ├── pixi_global v0.1.0 (*)
              │   │   ├── pixi_utils v0.1.0
              │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   ├── pixi_git v0.0.1
              │   │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   ├── pixi_pypi_spec v0.1.0
              │   │   │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   │   ├── pixi_manifest v0.1.0
              │   │   │   │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   │   │   │   ├── pixi_build_discovery v0.1.0
              │   │   │   │   │   │   │   ├── (dev) pixi_build_discovery v0.1.0 (*)
              │   │   │   │   │   │   │   ├── pixi_build_frontend v0.1.0
              │   │   │   │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   │   │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   │   │   │   │   └── pixi_global v0.1.0 (*)
              │   │   │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   │   │   │   └── pixi_global v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_build_type_conversions v0.1.0
              │   │   │   │   │   │   │   ├── pixi_build_discovery v0.1.0 (*)
              │   │   │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   │   │   │   │   └── pixi_core v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_global v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_task v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_uv_conversions v0.1.0
              │   │   │   │   │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   │   │   │   │   └── pixi_core v0.1.0 (*)
              │   │   │   │   │   │   └── pypi_modifiers v0.1.0
              │   │   │   │   │   │       ├── pixi_cli v0.1.0 (*)
              │   │   │   │   │   │       └── pixi_core v0.1.0 (*)
              │   │   │   │   │   └── pixi_uv_conversions v0.1.0 (*)
              │   │   │   │   ├── pixi_record v0.1.0
              │   │   │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   │   └── pixi_uv_conversions v0.1.0 (*)
              │   │   │   │   ├── pixi_reporters v0.1.0 (*)
              │   │   │   │   ├── pixi_spec v0.1.0
              │   │   │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   │   │   ├── pixi_build_discovery v0.1.0 (*)
              │   │   │   │   │   ├── pixi_build_type_conversions v0.1.0 (*)
              │   │   │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   │   ├── pixi_global v0.1.0 (*)
              │   │   │   │   │   ├── pixi_manifest v0.1.0 (*)
              │   │   │   │   │   ├── pixi_pypi_spec v0.1.0 (*)
              │   │   │   │   │   ├── pixi_record v0.1.0 (*)
              │   │   │   │   │   ├── pixi_reporters v0.1.0 (*)
              │   │   │   │   │   ├── pixi_spec_containers v0.1.0
              │   │   │   │   │   │   ├── pixi_build_discovery v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
              │   │   │   │   │   │   ├── pixi_global v0.1.0 (*)
              │   │   │   │   │   │   └── pixi_manifest v0.1.0 (*)
              │   │   │   │   │   └── pixi_uv_conversions v0.1.0 (*)
              │   │   │   │   └── pixi_uv_conversions v0.1.0 (*)
              │   │   │   └── pixi_global v0.1.0 (*)
              │   │   └── pypi_mapping v0.1.0
              │   │       ├── (dev) pixi v0.54.2 (*)
              │   │       └── pixi_core v0.1.0 (*)
              │   ├── pixi_core v0.1.0 (*)
              │   ├── pixi_global v0.1.0 (*)
              │   └── pixi_reporters v0.1.0 (*)
              ├── uv-cache v0.0.1
              │   ├── (dev) pixi v0.54.2 (*)
              │   ├── pixi_core v0.1.0 (*)
              │   ├── uv-client v0.0.1
              │   │   ├── pixi_cli v0.1.0 (*)
              │   │   ├── pixi_core v0.1.0 (*)
              │   │   ├── uv-dispatch v0.0.1
              │   │   │   └── pixi_core v0.1.0 (*)
              │   │   ├── uv-distribution v0.0.1
              │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   ├── pixi_reporters v0.1.0 (*)
              │   │   │   ├── uv-build-frontend v0.0.1
              │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   └── uv-dispatch v0.0.1 (*)
              │   │   │   ├── uv-dispatch v0.0.1 (*)
              │   │   │   ├── uv-installer v0.0.1
              │   │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   ├── pixi_reporters v0.1.0 (*)
              │   │   │   │   └── uv-dispatch v0.0.1 (*)
              │   │   │   ├── uv-requirements v0.1.0
              │   │   │   │   └── pixi_core v0.1.0 (*)
              │   │   │   └── uv-resolver v0.0.1
              │   │   │       ├── pixi_core v0.1.0 (*)
              │   │   │       ├── pixi_reporters v0.1.0 (*)
              │   │   │       ├── pixi_uv_conversions v0.1.0 (*)
              │   │   │       ├── uv-dispatch v0.0.1 (*)
              │   │   │       └── uv-requirements v0.1.0 (*)
              │   │   ├── uv-python v0.0.1
              │   │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   ├── pixi_uv_conversions v0.1.0 (*)
              │   │   │   ├── uv-build-frontend v0.0.1 (*)
              │   │   │   ├── uv-dispatch v0.0.1 (*)
              │   │   │   ├── uv-installer v0.0.1 (*)
              │   │   │   ├── uv-resolver v0.0.1 (*)
              │   │   │   ├── uv-types v0.0.1
              │   │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   │   ├── pixi_uv_conversions v0.1.0 (*)
              │   │   │   │   ├── uv-build-frontend v0.0.1 (*)
              │   │   │   │   ├── uv-dispatch v0.0.1 (*)
              │   │   │   │   ├── uv-distribution v0.0.1 (*)
              │   │   │   │   ├── uv-installer v0.0.1 (*)
              │   │   │   │   ├── uv-requirements v0.1.0 (*)
              │   │   │   │   └── uv-resolver v0.0.1 (*)
              │   │   │   └── uv-virtualenv v0.0.4
              │   │   │       └── uv-build-frontend v0.0.1 (*)
              │   │   ├── uv-requirements v0.1.0 (*)
              │   │   ├── uv-requirements-txt v0.0.1
              │   │   │   ├── pixi_cli v0.1.0 (*)
              │   │   │   ├── pixi_core v0.1.0 (*)
              │   │   │   ├── uv-requirements v0.1.0 (*)
              │   │   │   └── uv-resolver v0.0.1 (*)
              │   │   └── uv-resolver v0.0.1 (*)
              │   ├── uv-configuration v0.0.1
              │   │   ├── (dev) pixi v0.54.2 (*)
              │   │   ├── pixi_cli v0.1.0 (*)
              │   │   ├── pixi_core v0.1.0 (*)
              │   │   ├── pixi_reporters v0.1.0 (*)
              │   │   ├── pixi_task v0.1.0 (*)
              │   │   ├── pixi_utils v0.1.0 (*)
              │   │   ├── pixi_uv_conversions v0.1.0 (*)
              │   │   ├── uv-build-frontend v0.0.1 (*)
              │   │   ├── uv-client v0.0.1 (*)
              │   │   ├── uv-dispatch v0.0.1 (*)
              │   │   ├── uv-distribution v0.0.1 (*)
              │   │   ├── uv-extract v0.0.1
              │   │   │   ├── uv-distribution v0.0.1 (*)
              │   │   │   └── uv-python v0.0.1 (*)
              │   │   ├── uv-installer v0.0.1 (*)
              │   │   ├── uv-python v0.0.1 (*)
              │   │   ├── uv-requirements v0.1.0 (*)
              │   │   ├── uv-requirements-txt v0.0.1 (*)
              │   │   ├── uv-resolver v0.0.1 (*)
              │   │   ├── uv-types v0.0.1 (*)
              │   │   ├── uv-virtualenv v0.0.4 (*)
              │   │   └── uv-workspace v0.0.1
              │   │       ├── pixi_core v0.1.0 (*)
              │   │       ├── uv-build-frontend v0.0.1 (*)
              │   │       ├── uv-dispatch v0.0.1 (*)
              │   │       ├── uv-distribution v0.0.1 (*)
              │   │       ├── uv-requirements v0.1.0 (*)
              │   │       ├── uv-resolver v0.0.1 (*)
              │   │       └── uv-types v0.0.1 (*)
              │   ├── uv-dispatch v0.0.1 (*)
              │   ├── uv-distribution v0.0.1 (*)
              │   ├── uv-installer v0.0.1 (*)
              │   ├── uv-python v0.0.1 (*)
              │   └── uv-types v0.0.1 (*)
              ├── uv-client v0.0.1 (*)
              ├── uv-distribution v0.0.1 (*)
              └── uv-python v0.0.1 (*)

error[vulnerability]: Logging user input may result in poisoning logs with ANSI escape sequences
    ┌─ /Users/haecker-felix/Documents/Projekte/pixi/Cargo.lock:665:1
    │
665 │ tracing-subscriber 0.3.19 registry+https://github.com/rust-lang/crates.io-index
    │ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ security vulnerability detected
    │
    ├ ID: RUSTSEC-2025-0055
    ├ Advisory: https://rustsec.org/advisories/RUSTSEC-2025-0055
    ├ Previous versions of tracing-subscriber were vulnerable to ANSI escape sequence injection attacks. Untrusted user input containing ANSI escape sequences could be injected into terminal output when logged, potentially allowing attackers to:
      
      - Manipulate terminal title bars
      - Clear screens or modify terminal display
      - Potentially mislead users through terminal manipulation
      
      In isolation, impact is minimal, however security issues have been found in terminal emulators that enabled an attacker to use ANSI escape sequences via logs to exploit vulnerabilities in the terminal emulator.
      
      This was patched in [PR #3368](https://github.com/tokio-rs/tracing/pull/3368) to escape ANSI control characters from user input.
    ├ Announcement: https://github.com/advisories/GHSA-xwfj-jgwm-7wp5
    ├ Solution: Upgrade to >=0.3.20 (try `cargo update -p tracing-subscriber`)
    ├ tracing-subscriber v0.3.19
      ├── (dev) pixi v0.54.2
      ├── pixi_cli v0.1.0
      │   ├── pixi v0.54.2 (*)
      │   └── pixi_docs v0.1.0
      └── pixi_utils v0.1.0
          ├── (dev) pixi v0.54.2 (*)
          ├── pixi_cli v0.1.0 (*)
          ├── pixi_command_dispatcher v0.1.0
          │   ├── pixi_cli v0.1.0 (*)
          │   ├── pixi_core v0.1.0
          │   │   ├── (dev) pixi v0.54.2 (*)
          │   │   ├── pixi_cli v0.1.0 (*)
          │   │   ├── pixi_global v0.1.0
          │   │   │   └── pixi_cli v0.1.0 (*)
          │   │   └── pixi_task v0.1.0
          │   │       ├── (dev) pixi v0.54.2 (*)
          │   │       └── pixi_cli v0.1.0 (*)
          │   ├── pixi_global v0.1.0 (*)
          │   └── pixi_reporters v0.1.0
          │       ├── pixi_cli v0.1.0 (*)
          │       ├── pixi_core v0.1.0 (*)
          │       └── pixi_global v0.1.0 (*)
          ├── pixi_core v0.1.0 (*)
          ├── pixi_git v0.0.1
          │   ├── pixi_cli v0.1.0 (*)
          │   ├── pixi_command_dispatcher v0.1.0 (*)
          │   ├── pixi_core v0.1.0 (*)
          │   ├── pixi_pypi_spec v0.1.0
          │   │   ├── (dev) pixi v0.54.2 (*)
          │   │   ├── pixi_cli v0.1.0 (*)
          │   │   ├── pixi_core v0.1.0 (*)
          │   │   ├── pixi_manifest v0.1.0
          │   │   │   ├── (dev) pixi v0.54.2 (*)
          │   │   │   ├── pixi_build_discovery v0.1.0
          │   │   │   │   ├── (dev) pixi_build_discovery v0.1.0 (*)
          │   │   │   │   ├── pixi_build_frontend v0.1.0
          │   │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
          │   │   │   │   │   ├── pixi_core v0.1.0 (*)
          │   │   │   │   │   └── pixi_global v0.1.0 (*)
          │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
          │   │   │   │   ├── pixi_core v0.1.0 (*)
          │   │   │   │   └── pixi_global v0.1.0 (*)
          │   │   │   ├── pixi_build_type_conversions v0.1.0
          │   │   │   │   ├── pixi_build_discovery v0.1.0 (*)
          │   │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
          │   │   │   │   └── pixi_core v0.1.0 (*)
          │   │   │   ├── pixi_cli v0.1.0 (*)
          │   │   │   ├── pixi_core v0.1.0 (*)
          │   │   │   ├── pixi_global v0.1.0 (*)
          │   │   │   ├── pixi_task v0.1.0 (*)
          │   │   │   ├── pixi_uv_conversions v0.1.0
          │   │   │   │   ├── pixi_cli v0.1.0 (*)
          │   │   │   │   └── pixi_core v0.1.0 (*)
          │   │   │   └── pypi_modifiers v0.1.0
          │   │   │       ├── pixi_cli v0.1.0 (*)
          │   │   │       └── pixi_core v0.1.0 (*)
          │   │   └── pixi_uv_conversions v0.1.0 (*)
          │   ├── pixi_record v0.1.0
          │   │   ├── (dev) pixi v0.54.2 (*)
          │   │   ├── pixi_cli v0.1.0 (*)
          │   │   ├── pixi_command_dispatcher v0.1.0 (*)
          │   │   ├── pixi_core v0.1.0 (*)
          │   │   └── pixi_uv_conversions v0.1.0 (*)
          │   ├── pixi_reporters v0.1.0 (*)
          │   ├── pixi_spec v0.1.0
          │   │   ├── (dev) pixi v0.54.2 (*)
          │   │   ├── pixi_build_discovery v0.1.0 (*)
          │   │   ├── pixi_build_type_conversions v0.1.0 (*)
          │   │   ├── pixi_cli v0.1.0 (*)
          │   │   ├── pixi_command_dispatcher v0.1.0 (*)
          │   │   ├── pixi_core v0.1.0 (*)
          │   │   ├── pixi_global v0.1.0 (*)
          │   │   ├── pixi_manifest v0.1.0 (*)
          │   │   ├── pixi_pypi_spec v0.1.0 (*)
          │   │   ├── pixi_record v0.1.0 (*)
          │   │   ├── pixi_reporters v0.1.0 (*)
          │   │   ├── pixi_spec_containers v0.1.0
          │   │   │   ├── pixi_build_discovery v0.1.0 (*)
          │   │   │   ├── pixi_command_dispatcher v0.1.0 (*)
          │   │   │   ├── pixi_global v0.1.0 (*)
          │   │   │   └── pixi_manifest v0.1.0 (*)
          │   │   └── pixi_uv_conversions v0.1.0 (*)
          │   └── pixi_uv_conversions v0.1.0 (*)
          └── pixi_global v0.1.0 (*)

advisories FAILED, bans ok, licenses ok, sources ok

haecker-felix · 2025-09-10T07:50:02Z

Depends on conda/rattler#1674 to fix the fxhash warning.

Hofer-Julian · 2025-09-10T09:47:01Z

I think we don't need security checks, we already have renovate which works pretty well for that.
License check would be good though.

haecker-felix · 2025-09-11T06:20:36Z

Only checks the licenses now 👍

Hofer-Julian

Looks good!

haecker-felix added the CI Related to CI workflows label Sep 8, 2025

haecker-felix added 3 commits September 11, 2025 08:17

feat: Add cargo-deny

3583447

Ignore RUSTSEC-2025-0055

898014f

Whitelist RUSTSEC-2024-0436 as well

c4d8c24

haecker-felix force-pushed the cargo-deny branch from ea234aa to 4f205f7 Compare September 11, 2025 06:19

Only use cargo-deny to check licenses of dependencies

08f6c9e

haecker-felix force-pushed the cargo-deny branch from 4f205f7 to 08f6c9e Compare September 11, 2025 06:19

haecker-felix requested a review from Hofer-Julian September 11, 2025 06:20

Hofer-Julian approved these changes Sep 11, 2025

View reviewed changes

Hofer-Julian merged commit b4a1777 into prefix-dev:main Sep 11, 2025
42 checks passed

BrewTestBot mentioned this pull request Sep 15, 2025

pixi 0.55.0 Homebrew/homebrew-core#242720

Merged

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Uh oh!

feat: Add cargo-deny #4539

feat: Add cargo-deny #4539

haecker-felix commented Sep 8, 2025

Uh oh!

haecker-felix commented Sep 10, 2025

Uh oh!

Hofer-Julian commented Sep 10, 2025

Uh oh!

haecker-felix commented Sep 11, 2025

Uh oh!

Hofer-Julian left a comment

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants

feat: Add cargo-deny #4539

feat: Add cargo-deny #4539

Conversation

haecker-felix commented Sep 8, 2025

Uh oh!

haecker-felix commented Sep 10, 2025

Uh oh!

Hofer-Julian commented Sep 10, 2025

Uh oh!

haecker-felix commented Sep 11, 2025

Uh oh!

Hofer-Julian left a comment

Choose a reason for hiding this comment

Uh oh!

Uh oh!

Reviewers

Assignees

Labels

Projects

Milestone

Development

Uh oh!

2 participants