TravisCI漏洞被修复,为什么还会犯如此低级的错误?

9 月 13 日,Travis CI 发布的安全公告引起了社区的愤怒。

Szilágyi 不仅与几位社区成员一起抨击了该公告,而且网络开发人员 Jake Jarvis 还称其为“令人尴尬的安全公告”。”

这一切都是因为一个错误而开始的。

Travis CI 是一个开源的持续集成构建项目,已经积累了超过 90 万个开源项目和 60 万用户。由于其与 GitHub 和 Bitbucket 的无缝集成千行代码bug率合理性,现在大多数 GitHub 项目都已移入 Travis CI 的构建队列。

就在几天前,Travis CI 被爆出存在一个严重的安全漏洞——所有公共开源存储库的安全环境变量(所有公共开源项目的签名密钥、访问凭证和 API 令牌等)。包含在拉取请求构建中。

一旦这些环境变量被盗,该漏洞可能导致数千个开源项目的核心泄露。

错误出现八天后,有人将问题同步到 Travis 的公司。直到 9 月 10 日,这个 bug 才终于修复。

可能有人会问,Travis CI 已经是成熟的项目了,为什么会犯这么低级的错误呢?

实际上,一个程序可能有几千行代码,全靠程序员逐行输入,几乎不可能做到完全准确。

因此,即使您尝试避免它,由于代码问题而出现错误的情况并不少见。

就在上个月,谷歌程序员犯的一个错误在业界引起了轩然大波。由于代码中缺少字符“&”,导致大量用户无法解锁和登录 Chromebook。

另外,今年2月,Gab被黑,导致平台用户数据泄露70GB。

引人注目的是,这个严重的漏洞是由公司的首席技术官 Fosco Marotto 引入的。

请注意,Marotto 已经在该行业工作了 23 年,在 Facebook 工作了 7 年,并且是后端工具包 Parse 团队的重要成员。

由此可见,即使是世界顶级公司,即使是高级工程师,他们打出的代码也不一定可靠。

标准代码是保证产品质量的有效途径之一,否则容易造成质量隐患。

现在各大厂商基本上都有自己的代码标准和代码质量规则,但是这个体系在普通公司很难实施千行代码bug率合理性,因为对于研发人员来说,这些规范更像是一种无形的枷锁,被束缚了。

相比之下,自动化工具可以更有效地执行严格的代码规范。

去年底发布的 SoFlu 就是一个很好的证明。作为一个全自动软件工程平台,可以通过拖放组件绘制流程图,完成可视化编程。

SoFlu 团队在考虑了领先厂商使用的开发规范并结合遇到的实际问题,并考虑了效率和安全性等多方面,制定了自己的代码规范。比如每行代码的写法有限制,有些地方不允许SQL拼接,Join不能超过3次。

另外,所有代码必须经过严格测试,确认没有问题后才提交到代码仓库。同样,所有组件都必须经过代码质量管理工具扫描后,用户才能使用。

现在,SoFlu 自动化软件工程平台的质量管理平台已经有 1000 多个标准,并且还在不断地添加新的规则。

消灭BUG指日可待!

更重要的是,高质量的代码不仅可以节省时间,缩短项目周期,还可以减少人力投入,降低团队管理难度。

完美解决了艾瑞在《中国软件开发行业研究报告(2020)》)中指出的软件行业四大痛点:项目成本高、开发周期长、代码质量低,团队管理难。

正如中国工程院院士沉长祥所说:“全自动软件工程平台实现了更快更精准的软件开发,降低了人工成本,节省了人工。”

p>

最后我想说的是,就像制造业解放了工人的双手一样,解放劳动力也是一场革命。过去是工业革命,现在是信息技术革命。

当软件工程摆脱对人的依赖时,代码错误的时代将结束!

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论