فخ مكتبة الطرف الثالث
Categories:
- فخ مكتبة الطرف الثالث
اليوم ناقشت ثغرة حديثة في مكتبة تسجيل دخلت فيها طرف ثالث، يمكن استغلالها بسهولة لتنفيذ أوامر عن بعد. مكتبة السجل والأوامر عن بعد لا تبدو مترابطة، ولكن مكتبات الطرف الثالث الزائدة عن الحاجة منتشرة في كل مكان.
كلما قرأت المزيد من الكود، كلما أدركت أن مستوى العديد من الكود المفتوح المصدر ضعيف جدًا، بغض النظر عن عدد النجوم التي يمتلكها. النجوم تمثل الطلب، لا تمثل مستوى التطوير.
الميزة من مصادر مفتوحة أن يكون هناك المزيد من الناس لتطويرها، وتشمل المزايا زيادة السمات بسرعة، وجود من يصلح الأخطاء، وجود من يقوم بمراجعة الكود، ولكن المستويات متفاوتة.
إذا لم يكن هناك قيود قوية على الإرسال، سيكون من الصعب ضمان جودة الكود.
كلما زاد الكود، زادت مساحات الهجوم
مع أن إعادة اختراع العجلة ليس أمرًا جيدًا، إلا أن احتياجات المنتج تشبه عجلات عربة أطفال، عجلة بلاستيكية لا يمكن أن تتلف أبدًا، ولكن إذا قمت بتثبيت إطار طائرة، ستزيد مساحات الهجوم وتكاليف الصيانة. لذلك إذا كنت تحتاج فقط إلى عجلة عربة أطفال، لا حاجة لاستخدام شيء كبير في مهمة صغيرة.
ارتفاع تكلفة الصيانة، مكتبة الطرف الثالث تحتاج إلى عملية وموظفين مخصصين للصيانة. إطار اختبار معدل من هواوي، يؤدي مباشرة إلى فشل حالات الاختبار عند ترقية المترجم، وترقية إطار الاختبار وترقية المترجم تؤدي إلى تعارض، ويجب قضاء الكثير من الوقت في الصيانة لمتابعة التعديل المعدل. كمشارك، شعرت بعمق صعوبة تعديل مكتبة الطرف الثالث. إذا كان التعديل هو ميزة يمكن دمجها في مكتبة مفتوحة المصدر، فهذا أفضل، ولكن التخصيص الغازي لمتطلبات خاصة يؤدي إلى صعوبة في الصيانة.
تتعامل هواوي مع مكتبة الطرف الثالث من خلال إنشاء سلسلة من العمليات، يمكن القول إنها مليئة بالعقبات.
الحد الأدنى من العتبة، يتطلب إضافة مكتبة طرف ثالث مراجعة من خبير من المستوى 18 ورئيس من المستوى 20، وعادةً ما تكون فقط المكتبات الشهيرة من الطرف الثالث قادرة على الاستخدام.
يتم وضع جميع مكتبات الطرف الثالث في مجلد thirdparty، عند التجميع الكامل، تقوم CI بالمقارنة مع المستودع الأصلي، ويُمنع بشكل صارم التعديل الغازي.
أداة مخصصة لتتبع جميع إصدارات مكتبات الطرف الثالث، وهذه المهمة تم تعيينها لموظفي الباطن للإدارة، إذا طلب المطور ترقية الإصدار يجب تقديم طلب، ويتم مراجعة الرئيس.
من الصعب العثور على الرئيس للتعامل مع مثل هذه الأمور، عندما تكون العملية معقدة جدًا، فإنها في الواقع تنصحك بعدم القيام بذلك.
يجب الحفاظ على موقف عدم الثقة تجاه مكتبات الطرف الثالث، والثقة في تطوير أفراد شركتنا.