Üçüncü Taraf Kütüphanelerinin Tuzağı
Categories:
- Üçüncü Taraf Kütüphanelerinin Tuzağı
Bugün, uzaktan komut çalıştırmaya olanak tanıyan düşük bir门槛a sahip bir güvenlik açığı bulunan bir günlük kütüphanesinden bahsedildi. Bir günlük kütüphanesi ile uzaktan komut çalıştırmak arasında hiç bir mantıklı bağlantı yoktur, ancak gereksiz eklenmiş üçüncü taraf kütüphaneler her yerde bulunur.
Daha fazla kod okudukça, birçok açık kaynak kodunun seviyesinin çok düşük olduğunu hissettim. Kaç k star’a sahip olduğu fark etmez, star sayısı talebi temsil eder, geliştirme seviyesini temsil etmez.
Açık kaynak kodun avantajı, daha fazla geliştiricinin bulunmasıdır, faydası hızlıca eklenen özellikler ve çözülen hatalardır, kodların birileri tarafından incelenmesidir, ancak seviyeler eşit değildir.
Güçlü bir commit kısıtlaması yoksa, kod kalitesi garanti edilemez.
Daha fazla kod, artan saldırı alanına yol açar.
Tekrar tekerlek üretmek iyi değildir, ancak ürün talebi bir bebek arabası tekerleğidir, bir plastik tekerlek ne olursa olsun bozulmaz, bir uçak tekerleği takıldığında, sadece saldırı alanını ve bakım maliyetini artırır. Bu yüzden sadece bebek arabası tekerleğine ihtiyacınız varsa, büyük bir şeyi küçük bir iş için kullanmayın.
Yüksek bakım maliyeti, üçüncü taraf kütüphaneler özel bir süreç ve personel gerektirir. Huawei’nin bir test çerçevesinin modifiye edilmesi, derleyiciyi yükselttiğinde testlerin başarısız olmasına yol açtı, test çerçevesinin yükseltilmesi ve derleyicinin yükseltilmesi çakıştı, bakım sürecinde çok fazla zaman harcanarak bu yolun modifiye edilmesi gerekti. Katılımcı olarak modifiye edilmiş üçüncü taraf kütüphanelerin zorluğunu derinden hissettim. Eğer modifiye edilen özellikler açık kaynağa geri eklenirse iyi olur, kendi ihtiyaçları için invaziv bir şekilde geliştirme yapmak, bakımını zorlaştırır.
Üçüncü taraf kütüphanelere yaklaşım, Huawei’nin bir dizi süreci oluşturduğu ve direncin yoğun olduğu bir şeydir.
Giriş门槛ı çok sıkı tutulur, eklenen üçüncü taraf kütüphaneler 18. seviye uzman ve 20. seviye bölüm başkanı incelemesini gerektirir, temelde sadece uzun süredir saygı gören üçüncü taraf kütüphaneler kullanılabilir.
Tüm üçüncü taraf kütüphaneler thirdparty klasörüne yerleştirilir, tam derleme sırasında CI, kaynak depo ile karşılaştırılır, invaziv değişiklikler kesinlikle yasaktır.
Tüm üçüncü taraf kütüphanelerin sürümünü takip eden özel bir araç vardır, bu kısmı dışarıdan işe alınan personel yönetir, geliştiriciler sürüm yükseltme başvurusunda bulunduğunda, bölüm başkanının onayı gerekir.
Böyle bir iş için bölüm başkanını bulmak zordur, bir sürecin çok karmaşık olduğu zaman, aslında bunu yapmamanızı tavsiye eder.
Üçüncü taraf kütüphanelere şüpheci bir tutumla yaklaşılmalı, kendi insanlarımızın geliştirmesine güvenilmelidir.