Cargo.lock requirement

Author: hg-anssi

src/en/devenv.md

@@ -103,14 +103,45 @@ It has a fundamental role in most Rust development:
 - It’s also a front-end to run complementary tools such as those that are
   described below, in the form of sub-commands.
 
-> **Warning**
+Cargo enables automatic dependencies resolution before compilation 
+by checking their checksums.
+File `Cargo.lock` contains all dependencies checksums which are compared to
+the one downloaded.
+If a difference is detected, compilation fails:
+
+```
+error: checksum for `sha256 v1.6.0` changed between lock files
+
+this could be indicative of a few possible errors:
+
+    * the lock file is corrupt
+    * a replacement source in use (e.g., a mirror) returned a different checksum
+    * the source itself may be corrupt in one way or another
+
+unable to verify that `sha256 v1.6.0` is the same as when the lockfile was generated
+```
+
+When the `Cargo.lock` file is missing, it is generated on first build and records the
+dependencies' checksums, adhering to a TOFU (*Trust On First Use*) policy.
+This file can also be created manually with `cargo generate-lockfile`. If it already exists,
+the file is overwritten with the latest available version of every crate.
+
+> **Rule {{#check DENV-CARGO-LOCK | Track Cargo.lock in version control system}}**
 >
-> Like `rustup`, `cargo` does perform all downloads over HTTPS, but does not
-> validate the registry index. Ongoing discussions occur on how to best protect
-> and verify crates. For now, the security relies on the good security of the
-> website [crates.io] and the GitHub hosted repository containing the
-> registry index. In some cases, it may be preferable to opt for an alternative
-> installation method for dependencies.
+> `Cargo.lock` files must be tracked by version control system.
+
+<div class="warning">
+
+**Warning**
+
+Ongoing discussions occur on how to best protect
+and verify crates *on their first download* (according TOFU rule).
+For now, the security of the first download relies on the good security of the
+website [crates.io] and the GitHub hosted repository containing the
+registry index. In some cases, it may be preferable to opt for an alternative
+installation method for dependencies.
+
+</div>
 
 Cargo proposes many different commands and options to adapt the build process to
 your project needs, mainly through the manifest file `Cargo.toml`. For a

src/fr/devenv.md

@@ -114,15 +114,46 @@ permet notamment de :
 - lancer des outils complémentaires tels que ceux décrits ci-après, sous la
   forme de sous-commandes.
 
-> **Attention**
+Cargo permet la récupération automatique des dépendances avant compilation.
+L'utilitaire permet de vérifier l'intégrité des dépendances après téléchargement.
+Il utilise pour cela un fichier `Cargo.lock` qui, s'il est présent au moment de la compilation,
+contraint les sommes de contrôle des dépendances. En cas de différence entre
+les sources téléchargées et le fichier `Cargo.lock`, un erreur apparaît.
+
+```
+error: checksum for `sha256 v1.6.0` changed between lock files
+
+this could be indicative of a few possible errors:
+
+    * the lock file is corrupt
+    * a replacement source in use (e.g., a mirror) returned a different checksum
+    * the source itself may be corrupt in one way or another
+
+unable to verify that `sha256 v1.6.0` is the same as when the lockfile was generated
+```
+
+En cas d'absence du fichier `Cargo.lock`, il est créé automatiquement à la première compilation en suivant les
+sommes de contrôle des sources téléchargées (selon le principe TOFU : *Trust On First Use*).
+Ce fichier peut également être créé manuellement avec `cargo generate-lockfile`, et s'il
+est déjà présent, un nouveau fichier est créé avec les dernières versions compatibles de chaque crate.
+
+> **Règle {{#check DENV-CARGO-LOCK | Mise en dépôt du fichier Cargo.lock}}**
 >
-> Tout comme `rustup`, `cargo` effectue tous les téléchargements en HTTPS, mais
-> ne valide pas l'index du registre. Des discussions sont en cours pour
-> déterminer le meilleur moyen de protéger et de valider les *crates*. Pour le
-> moment, la sécurité de `cargo` repose sur la bonne sécurité du site web
-> [crates.io] ainsi que celle du dépôt, hébergé sur GitHub, contenant l'index du
-> registre de *crates*. Pour les cas les plus sensibles, il peut être préférable
-> d'opter pour une méthode d'installation alternative pour les dépendances.
+> Le fichier `Cargo.lock` doit être versionné avec le code source du programme Rust.
+
+<div class="warning">
+
+**Attention**
+
+Des discussions sont en cours pour
+déterminer le meilleur moyen de protéger et de valider les *crates* lors de leur ajout au projet
+(les téléchargements suivants sont vérifié par le fichier `Cargo.lock`). Pour le
+moment, la sécurité des premiers téléchargements de `cargo` repose sur la bonne sécurité du site web
+[crates.io] ainsi que celle du dépôt, hébergé sur GitHub, contenant l'index du
+registre de *crates*. Pour les cas les plus sensibles, il peut être préférable
+d'opter pour une méthode d'installation alternative pour les dépendances.
+
+</div>
 
 Cargo propose différentes commandes et options pour adapter le processus de
 compilation aux besoins de chaque projet, principalement au travers du fichier