Jebakan Library Pihak Ketiga
Categories:
- Jebakan Library Pihak Ketiga
Hari ini membahas celah keamanan terbaru dari library log pihak ketiga yang dapat dimanfaatkan dengan sangat mudah untuk mengeksekusi perintah jarak jauh. Sebuah library log dan perintah jarak jauh terlihat tidak ada hubungannya sama sekali, tetapi library pihak ketiga yang kelebihan fungsi tersebar di mana-mana.
Semakin banyak kode yang dibaca, semakin saya merasakan bahwa banyak kode sumber terbuka memiliki kualitas yang sangat buruk, tidak peduli berapa banyak bintang yang dimilikinya. Bintang mewakili permintaan, bukan tingkat pengembangan.
Keuntungan dari kode sumber terbuka adalah semakin banyak orang yang dapat mengembangkannya, keuntungannya adalah fitur-fitur cepat bertambah, bug bisa diselesaikan, dan kode bisa ditinjau, tetapi tingkatannya beragam.
Tanpa batasan komit yang kuat, kualitas kode sulit dijamin.
Semakin banyak kode, semakin besar permukaan serangan yang ditambahkan.
Meskipun tidak baik untuk membuat roda lagi, namun kebutuhan produk adalah seperti roda kereta bayi, roda plastik apa pun tidak akan rusak, tetapi jika dipasang roda pesawat, permukaan serangan dan biaya pemeliharaan akan bertambah. Oleh karena itu, jika hanya membutuhkan roda kereta bayi, tidak perlu menggunakan bahan besar untuk keperluan kecil.
Biaya pemeliharaan tinggi, library pihak ketiga membutuhkan proses dan personel khusus untuk pemeliharaan. Sebuah framework pengujian yang dimodifikasi Huawei menyebabkan kegagalan kasus pengujian saat mengupgrade compiler, konflik antara upgrade framework pengujian dan upgrade compiler, menghabiskan banyak waktu untuk modifikasi pada proses pemeliharaan. Sebagai peserta, saya merasakan betapa sulitnya memodifikasi library pihak ketiga. Jika modifikasi dimaksudkan untuk fitur-fitur yang bisa digabung kembali ke library sumber terbuka, itu masih bisa ditoleransi, tetapi jika modifikasi secara intrusif dilakukan demi kebutuhan sendiri, akan sulit dipelihara.
Huawei menciptakan serangkaian proses untuk menangani library pihak ketiga, bisa dibilang penuh hambatan.
Batas masuk dikendalikan sangat ketat, library pihak ketiga yang ditambahkan harus ditinjau oleh ahli tingkat 18 dan manajer tingkat 20, pada dasarnya hanya library pihak ketiga yang terkenal yang dapat digunakan.
Semua library pihak ketiga ditempatkan di folder thirdparty, perbandingan penuh dengan repositori sumber dilakukan saat kompilasi penuh, perubahan intrusif secara ketat dilarang.
Alat khusus digunakan untuk melacak semua versi library pihak ketiga, bagian ini menggunakan staf outsourcing untuk manajemen, jika pengembang mengajukan permohonan upgrade versi, harus mengajukan permohonan dan direview oleh manajer.
Sulit menemukan manajer untuk menangani hal seperti ini. Ketika sebuah proses sangat rumit, sebenarnya itu sedang membujuk Anda untuk tidak melakukannya.
Harus tetap menjaga sikap skeptis terhadap library pihak ketiga, percaya pada pengembang internal sendiri.