דאניש קאהן, גיטהאב: "קהילת מפתחי הקוד הפתוח חייבת לעמוד בכללים ברורים של התנהגות ותמיכה"
"למפתחים יש כוונות טובות, אבל הם בדרך כלל אנשים עסוקים, שכותבים את הקוד הפתוח בזמנם הפנוי", אמר קאהן ב-Rails Israel - ועידת ה-Ruby on Rails הבינלאומית הראשונה בישראל ● הפתרון, לדבריו, הוא מניפסט הקוד הפתוח ● אנתוני אקומאצו מ-אנג'ין-יארד דיבר בכנס על המיחשוב שנמצא בכל מקום ● אורי נתיב מקלרנה הסביר על אבטחת אתרים
"אם רוצים שהקוד הפתוח יהיה משהו שאפשר לסמוך עליו, קהילת המפתחים חייבת לעמוד בכללים ברורים של התנהגות ותמיכה. לשם כך פיתחנו את מניפסט הקוד הפתוח", כך אמר דאניש קאהן מ-גיטהאב (Github). קאהן אמר את הדברים ב-Rails Israel – ועידת ה-Ruby on Rails הבינלאומית הראשונה בישראל, שנערכה הבוקר (ב') באקסודיה תל אביב בהפקת אנשים ומחשבים.
"למפתחים יש כוונות טובות", אמר קאהן, "אבל הם בדרך כלל אנשים עסוקים, שכותבים את הקוד הפתוח בזמנם הפנוי, שגם כך הוא מצומצם. כתוצאה מכך, אחת התופעות הבעייתיות ביותר בתחום, היא שאנשים נוטשים פרויקט ברגע שהם עסוקים מדי או סתם מאבדים עניין. כתוצאה מכך, כל מי שמעוניין להשתמש בקוד נותר עם הקוד שנזנח, ונאלץ למצוא פתרון אחר לפרויקטים שלו שהסתמכו על הקוד הזה".
כדי להימנע ממצב כזה, הסביר קאהן, "יש לנקוט כמה צעדים. אחד החשובים שבהם הוא לשתף פעולה ולעבוד בצוות עם מפתחים אחרים. תופעה מתסכלת נוספת היא היעדר תיעוד בקוד הפתוח. לכן מאוד חשוב שיהיה קובץ עם כל ההיסטוריה של הקוד ושל מטרותיו. הנקודה השלישית היא לאתר אנשים שיתחזקו את הקוד ברמה שוטפת. המפתח המקורי לא יכול להתמודד לבד עם כל התחזוקה והתמיכה".
אנתוני אקומאצו מ-אנג'ין-יארד (Engine Yard) דיבר בכנס על המיחשוב שנמצא בכל מקום. "אני שואל את עצמי, מה יקרה כשהמיטה שלי תוכל לדבר עם המנורה שלי והאם אני אתחיל לקבל הודעות טוויטר (Twitter) מהמקרר? כדי שמידע יעבור בצורה חכמה ומועילה, הדבר הראשון בחשיבותו הוא ההקשר (קונטקסט). ברגע שהמחשבים יוכלו להבין את ההקשר, למיחשוב בכל מקום יהיה כוח אדיר. הכוונה היא להקשרים כמו מיקום פיזי, רגשות וכו'".
נקודה נוספת, הדגיש, היא איסוף הנתונים: "במקום שתצטרכו לבקש מהמחשב להזכיר לכם מתי לקנות חלב, תאפשרו לו לאסוף נתונים מכל מקום, למשל לגבי צריכת החלב שלכם, כך שהוא יוכל להודיע לכם מתי נגמר החלב".
"הסוגייה החשובה השלישית היא מי ישלוט בכל המיחשוב הזה", הוסיף אקומאצו. "הרעיון הוא שהמכשיר עצמו יהיה Thin Client והמידע ישמר בתוכנה – ולא בחומרה. אם המידע יהיה מבוסס חומרה, אז כשהשכן שלי יקנה מקרר הרבה יותר מתקדם מהמקרר שלי, אני לא אוכל לרוץ ולקנות מקרר דומה. אהיה חייב להישאר לארבע השנים הקרובות עם המקרר שקניתי. אבל אם המקרר יהיה Thin Client, אני אוכל פשוט לשדרג את השרת, והמקרר שלי ישתדרג אוטומטית".
לבסוף, סיכם, יש את נושא האות'נטיקציה: "אני לא סומך על הטוסטר שלי ומעוניין להגביל את המידע שהוא יוכל לקבל. כך, יהיה צורך להגביל את המידע שמגיע לכל מכשיר וממנו".
אורי נתיב, מנהל הפיתוח בקלרנה (Klarna), הסביר כי קלרנה היא פתרון אבטחה באינטרנט שמאפשר לנסות את המוצר לפני ששילמתם. לדבריו, "הנקודה השובה באבטחת אתרים היא לא לסמוך על הקבצים שמגיעים מהמשתמשים. בהתקפת CSRF, למשל, נשלח דואר אלקטרוני שמציע הצעה אטרקטיבית בתמורה להקשה על לינק. כניסה לאתר שהלינק מוביל אליו, מאפשרת לתוקף להכניס קוד זדוני לאתר המותקף. אחד הדברים החשובים לזכור הוא, שגם כשהקוד הוא לגיטימי לחלוטין, אם מעבירים ב-URL את ה-Edit Token, התוקף יכול לאפס את הסיסמה של כל אחד ממשתמשי האתר שהקיש על 'שכחתי סיסמה'".
לסיכום, אמר, כי "חשוב להכיר את כל האיומים. נקודת התחלה טובה היא להכיר את ה-OWASP Top 10".
תגובות
(0)