Masomo yaliyopatikana kutoka kwa wakati wa `oapi-codegen` katika Mfuko wa GitHub Secure Open Source Fund

\u003ch2\u003e Masomo yaliyopatikana kutoka wakati wa `oapi-codegen` katika Mfuko wa GitHub Secure Open Source\u003c/h2\u003e \u003cp\u003e Hazina hii ya chanzo huria ya GitHub inawakilisha mchango mkubwa kwa mfumo ikolojia wa wasanidi programu. Mradi unaonyesha mbinu za kisasa za maendeleo na usimbaji shirikishi.\u003c/p\u003e \u003ch3\u003e Sifa za Kiufundi\u003c/h3\u003e \u003cp\u003eHuenda hazina ni pamoja na:\u003c/p\u003e \u003cul\u003e \u003cli\u003eSafi, msimbo ulioandikwa vizuri\u003c/li\u003e \u003cli\u003e README ya kina yenye mifano ya matumizi\u003c/li\u003e \u003cli\u003eMwongozo wa ufuatiliaji na michango ya suala\u003c/li\u003e \u003cli\u003eSasisho na matengenezo ya mara kwa mara\u003c/li\u003e \u003c/ul\u003e \u003ch3\u003eAthari ya Jumuiya\u003c/h3\u003e \u003cp\u003e Miradi ya programu huria kama hii inakuza ushiriki wa maarifa na kuharakisha uvumbuzi wa kiufundi kupitia msimbo unaofikiwa na maendeleo shirikishi.\u003c/p\u003e

Maswali Yanayoulizwa Sana

Hazina ya GitHub Secure Open Source ni nini na oapi-codegen ilinufaikaje nayo?

Hazina ya GitHub Secure Open Source ni mpango ambao hutoa usaidizi wa kifedha kwa miradi muhimu ya chanzo huria ili kuboresha mkao wao wa usalama. Kwa oapi-codegen, ushiriki ulimaanisha muda maalum wa kukagua vitegemezi, kuimarisha utayarishaji wa msimbo, na kuanzisha mbinu bora za uchapishaji. Hazina iliwezesha watunzaji kuchukulia usalama kama jambo la daraja la kwanza badala ya kufikiria baadaye, na hivyo kusababisha zana inayoaminika zaidi kwa mfumo ikolojia wa Go.

Ni masomo gani muhimu zaidi ya usalama tuliyojifunza kutokana na tukio hili?

Njia kuu zaidi za kuchukua ni pamoja na umuhimu wa kubandika utegemezi, miundo inayoweza kuzaliana, na kudumisha mchakato wa wazi wa ufichuzi wa athari. Watunzaji waligundua kuwa hata zana za kutengeneza msimbo zinaweza kuanzisha hatari za ugavi ikiwa utegemezi wao wenyewe hautadhibitiwa kwa uangalifu. Kuanzisha faili ya SECURITY.md, kuwezesha kuchanganua utegemezi kiotomatiki, na kufanya ukaguzi wa mara kwa mara ni miongoni mwa hatua madhubuti zilizochukuliwa ili kupunguza hatari katika maisha yote ya mradi.

Wasanidi wanawezaje kujumuisha oapi-codegen kwa usalama katika miradi yao wenyewe?

Watengenezaji wanapaswa kubandika oapi-codegen kwenye toleo mahususi, lililokaguliwa badala ya kufuatilia @latest. Kuendesha zana katika CI iliyo na vitegemezi vilivyofungwa na kuthibitisha matokeo yanayotokana dhidi ya msingi unaojulikana huongeza safu nyingine ya ulinzi. Kwa timu zinazosimamia rafu changamano za API, mifumo kama Mewayz — inayotoa moduli 207 zilizounganishwa kwa $19/mo - inaweza kurahisisha utiririshaji kazi wa API bila kuhitaji kila timu kusanidi kwa mikono msururu wa zana zao kuanzia mwanzo.

Je, oapi-codegen itaendelea kupokea matengenezo yanayozingatia usalama baada ya kipindi cha hazina kuisha?

Ndiyo. Mojawapo ya matokeo muhimu ya ushiriki wa GitHub Secure Open Source Fund ilikuwa kupachika mazoea ya usalama moja kwa moja kwenye miongozo ya uchangiaji wa mradi na mchakato wa kuachilia, ili kuendelea hadi muda uliofadhiliwa. Watunzaji waliandika utiririshaji wote wa usalama ili kuhakikisha mwendelezo. Kwa wasanidi programu wanaotegemea wateja wa API waliozalishwa kwa kiwango kikubwa, kuoanisha oapi-codegen na mfumo unaosimamiwa kama Mewayz (module 207, $19/mo) kunaweza kupunguza zaidi mzigo wa uendeshaji wa kusasisha miunganisho.