Open source camp продолжается!
Поэтому мы продолжаем постить разные интересности про open source.
Сегодня – первая «сцена после титров», ее герой – CEO @codescoring Алексей Смирнов.
Какие риски связаны с применением Open Source, на что важно обратить внимание?
При всей нашей любви к OpenSource, он не всегда бывает безопасным. И безопасность здесь подразумевается в общем смысле: от наличия уязвимостей и вредоносного кода до фактора автобуса для коллектива авторов, качества кода и лицензионной чистоты компонентной базы.
При выборе проекта для использования, важно проверить его на устойчивость. Вот простой чеклист, который вы можете скорректировать под свои условия:
- качество кода;
- наличие автотестов;
- актуальность последних изменений;
- актуальность и полнота документации;
- время реакции на изменения (и адекватность этой реакции);
- актуальность зависимостей;
- наличие достаточного количества регулярных контрибьюторов.
Это минимальный набор проверок, которыми вы себя застрахуете от основных рисков применения сторонних компонентов в своей разработке. О том, как и чем это всё смотреть и проверять, мы поговорим в следующих постах, оставайтесь на связи!
Поэтому мы продолжаем постить разные интересности про open source.
Сегодня – первая «сцена после титров», ее герой – CEO @codescoring Алексей Смирнов.
Какие риски связаны с применением Open Source, на что важно обратить внимание?
При всей нашей любви к OpenSource, он не всегда бывает безопасным. И безопасность здесь подразумевается в общем смысле: от наличия уязвимостей и вредоносного кода до фактора автобуса для коллектива авторов, качества кода и лицензионной чистоты компонентной базы.
При выборе проекта для использования, важно проверить его на устойчивость. Вот простой чеклист, который вы можете скорректировать под свои условия:
- качество кода;
- наличие автотестов;
- актуальность последних изменений;
- актуальность и полнота документации;
- время реакции на изменения (и адекватность этой реакции);
- актуальность зависимостей;
- наличие достаточного количества регулярных контрибьюторов.
Это минимальный набор проверок, которыми вы себя застрахуете от основных рисков применения сторонних компонентов в своей разработке. О том, как и чем это всё смотреть и проверять, мы поговорим в следующих постах, оставайтесь на связи!
👍3
Проверка наличия бас-фактора и поиск ответственных
Алексей Смирнов, CEO @codescoring.
Если мы говорим про Github, то посмотреть на всех разработчиков проекта можно в разделе
Изучая эту информацию, можно понять как давно разработчики присоединились к проекту и какой объем вложений они произвели. Эта информация позволяет догадаться о том, кто же составляет основной костяк разработки (и есть ли он на сегодняшний день).
Для идентификации ответственных за пул-реквесты, полезно будет заглянуть в раздел
Если мы видим, что в проекте висят старые пул-реквесты без комментариев, то ожидать быстрой реакции на ваши запросы также не стоит, поэтому важно понять, планируете ли вы самостоятельно вносить изменения в проект и сможете ли вы сделать это.
Алексей Смирнов, CEO @codescoring.
Если мы говорим про Github, то посмотреть на всех разработчиков проекта можно в разделе
Insights -> Contributors. Профили представлены карточками, на которых показывается объемы добавлений/удалений кода и количество выполненных коммитов каждым автором.Изучая эту информацию, можно понять как давно разработчики присоединились к проекту и какой объем вложений они произвели. Эта информация позволяет догадаться о том, кто же составляет основной костяк разработки (и есть ли он на сегодняшний день).
Для идентификации ответственных за пул-реквесты, полезно будет заглянуть в раздел
Pull requests и посмотреть открытые/закрытые PR. Здесь можно почерпнуть информацию как о том, кто принимает и рассматривает новые разработки и насколько быстро это происходит.Если мы видим, что в проекте висят старые пул-реквесты без комментариев, то ожидать быстрой реакции на ваши запросы также не стоит, поэтому важно понять, планируете ли вы самостоятельно вносить изменения в проект и сможете ли вы сделать это.
Дополнительно можно попробовать построить ретроспективные карты участия, которые позволяют делать сторонние сервисы, например Git Timeline Generator, пример работы которого приведен на картинке выше (интерактивная версия).
В результате пятиминутного изучения данной информации возможно понять, насколько жива разработка в принципе и не грозит ли проекту остаться без поддерживающих разработчиков.
В результате пятиминутного изучения данной информации возможно понять, насколько жива разработка в принципе и не грозит ли проекту остаться без поддерживающих разработчиков.
OpenSource Camp завершен
Поздравляем победителей и участников, это была крутая работа!
В этом чате мы будем объявлять новые кемпы, надеемся проводить их часто. Вот тут можно оставить свой отзыв по завершенному конкурсу, это поможет нам стать лучше.
Спасибо всем, кто улучшал проекты вместе с нами!
Поздравляем победителей и участников, это была крутая работа!
В этом чате мы будем объявлять новые кемпы, надеемся проводить их часто. Вот тут можно оставить свой отзыв по завершенному конкурсу, это поможет нам стать лучше.
Спасибо всем, кто улучшал проекты вместе с нами!