Pułapka bibliotek zewnętrznych

Tags:

• Gry
• Programiści

Categories:

• Gry

• Pułapka bibliotek zewnętrznych

Dzisiaj rozmawiałem o niedawnym漏洞 w bibliotece dzienników zewnętrznych, która może być wykorzystana w bardzo niskim stopniu, aby wykonać zdalne polecenia. Biblioteka dzienników i zdalne polecenia wydają się nie mieć nic wspólnego, ale nadmiarowe biblioteki zewnętrzne są wszędzie.

Im więcej kodu czytam, tym bardziej odczuwam, że poziom wielu kodów open source jest bardzo niski, niezależnie od tego, ile gwiazdek mają, gwiazdki reprezentują potrzeby, a nie poziom rozwoju.

Korzyścią open source jest to, że więcej osób może rozwijać, korzyścią jest to, że funkcje szybko rosną, błędy są naprawiane, a kod jest przeglądany, ale poziomy są różne.

Jeśli nie ma silnych ograniczeń przesyłania, trudno jest zapewnić jakość kodu.

Im więcej kodu, tym więcej powierzchni ataku się zwiększa

Choć nie jest dobrze powtarzać koła, ale wymagania produktu to koło wózka dla niemowląt, koło z tworzywa sztucznego i tak nie ulegnie uszkodzeniu, montowanie opony samolotu tylko zwiększa powierzchnię ataku i koszt utrzymania. Dlatego jeśli potrzebujesz tylko koła wózka dla niemowląt, nie ma potrzeby wykorzystywania dużych materiałów do małych zastosowań.

Wysoki koszt utrzymania, biblioteki zewnętrzne wymagają specjalnego procesu i personelu do utrzymania. Huawei zmodyfikowany framework testowy bezpośrednio powoduje awarię przypadków testowych przy uaktualnianiu kompilatora, uaktualnianie frameworka testowego i uaktualnianie kompilatora powodują konflikty, konieczne jest poświęcenie dużej ilości czasu na kontynuowanie tego procesu podczas utrzymania. Jako uczestnik głęboko odczułem trudności związane z modyfikowaniem bibliotek zewnętrznych. Jeśli zmodyfikowane są funkcje, które można połączyć z otwartym repozytorium, to jeszcze nie tak źle, ale inwazyjne dostosowanie do własnych potrzeb powoduje trudności w utrzymaniu.

Huawei stworzyło szereg procesów dotyczących bibliotek zewnętrznych, można powiedzieć, że opór jest ogromny.

Bariery są bardzo niskie, dodane biblioteki zewnętrzne wymagają przeglądu przez eksperta 18 stopnia i ministra 20 stopnia, podstawowo tylko słynne biblioteki zewnętrzne mogą zostać użyte.

Wszystkie biblioteki zewnętrzne są umieszczane w folderze thirdparty, podczas pełnej kompilacji CI porównuje z oryginalnym repozytorium, surowo zabrania inwazyjnych zmian.

Specjalne narzędzie śledzi wszystkie wersje bibliotek zewnętrznych, część ta zatrudnia pracowników zewnętrznych do zarządzania, jeśli developerzy chcą złożyć wniosek o uaktualnienie wersji, muszą złożyć wniosek, a minister musi go zatwierdzić.

Trudno znaleźć ministra, który zajmie się takimi sprawami, kiedy proces jest bardzo skomplikowany, w rzeczywistości nakłania do nie robienia tego.

Należy zachować podejście nieufności wobec bibliotek zewnętrznych, wierzyć w rozwój własnych ludzi.

• ←Poprzednia
• Następna→