English· Español· Deutsch· Nederlands· Français· 日本語· ქართული· 繁體中文· 简体中文· Português· Русский· العربية· हिन्दी· Italiano· 한국어· Polski· Svenska· Türkçe· Українська· Tiếng Việt· Bahasa Indonesia

un

gäst
1 / ?
tillbaka till lektioner

En MOAD-skanner som Permakulturell Praktik

Permakulturens första princip: observera innan du agerar. Tillbringa tid i det system du vill förändra. Förstå dess flöden, ackumulationer & avfallsströmmar innan du utformar din intervention. En trädgårdsmästare som observerar var vatten samlas, var solljus når & var näringsämnen koncentreras placerar växter mer effektivt än den som följer en generisk plan.

En MOAD-skanner tillämpar denna princip på programvaruekosystem. Innan du skapar ett enda ärende, skanna över projekt och språk. Kartlägg defektens distribution: hur många projekt bär CWE-407? Vilka bär den i högt trafikerade vägar? Vilka uppströmpaket, om de patchas, skulle sprida korrigeringen till flest beroenden? Observera ekosystemet innan du agerar på en enskild nod.

Permakultur Tillämpad på Kod: skanna 2192 lagra 2192 patcha 2192 avslöja 2192 slinga

Jämför detta med utvinnande praktik: upptäck en sårbarhet, sälj den till en sårbarhetsmäklare, ta emot betalning, gå vidare. Forskaren utvann finansiellt kapital från kunskapen och lämnade. Ingen kunskap spreds. Inget system förbättrades. Framtida användare av varje berört projekt förblev sårbara. Mäklaren håller kunskapen, som minskar i värde när sårbarheten åldras utan avslöjande.

Permacomputer-praktik: upptäck en defekt, patcha den, avslöja den, skicka uppströms, släpp patchen som allmän egendom. Kunskapen sprids utan försämring — faktiskt ackumuleras den: den avslöjade CVE:n blir en referens, ett MOAD-inlägg lär ut mönstret, framtida forskare hittar nya instanser med hjälp av samma mönster. En sluten slinga snarare än en terminal utvinning.

Permakulturell observation föregår permakulturell handling. Skanningen genererar data om surge scores, beroendediagram & antal berörda noder innan någon patch rör sig. Dessa data formar vilka patcher som skickas först: noder med hög mellanhet före lövnoder, eftersom en korrigering av ett brett beroende bibliotek sprider sig längre per insatsenhet.

Producera Inget Avfall: Tre Avslöjandevägar

Tre vägar en forskare kan ta efter att ha upptäckt en kritisk sårbarhet i ett populärt öppen källkod-bibliotek:

A. Sälj den till en sårbarhetsmäklare för 10 000 dollar.

B. Rapportera den privat till underhållaren med en 90-dagars avslöjandetidslinje, publicera sedan oavsett patchstatus.

C. Skicka in en patch som en pull request omedelbart med ett samtida offentligt avslöjande.

Tillämpa permakulturprincipen 'producera inget avfall' för att utvärdera varje alternativ. Identifiera vilka utgångar varje väg producerar, vart dessa utgångar går & vilka utgångar som lämnar systemet som avfall (odirigerad energi som inte gynnar någon).

Ackumulering i Öppna System

Permakulturens andra princip: fånga och lagra energi när den flödar rikligt så att du har reserver när den inte gör det. Ett regnuppsamlingssystem lagrar vatten under stormar för användning under torra månader. En matskog lagrar solenergi som frukt och biomassa över säsonger. Målet: matcha lagringstidpunkten med rikedomstidpunkten.

Hammings sammansatta kunskap: varje ny teknik kopplas till din lista med viktiga problem och multiplicerar produktiv produktion. En enda insikt om informationsentropin, för Shannon, låste upp ett decennium av teoretiskt arbete eftersom den kopplades till varje öppen fråga på hans lista simultant. Den lagrade kunskapen betalade sammansatt ränta.

Öppen källkod-ackumulering fungerar annorlunda än individuell ackumulering. En korrigering som slås samman i ett kanoniskt arkiv lagrar energi på en plats där varje nedströmsgaffel automatiskt hämtar från det. En patch som skickades till Pythons asyncio-bibliotek 2022 spreds till varje projekt som använde det biblioteket utan ytterligare åtgärder från den ursprungliga forskaren. Energin lagras vid källan och ackumuleras genom beroendegrafen.

MOAD-artiklar lagrar energi annorlunda: varje inlägg lär ut skanmönstret snarare än att bara avslöja den specifika instansen. En forskare som läser CWE-407 MOAD-artikeln lär sig inte bara att Projekt X hade en flush-sårbarhet, utan hur flush-mönstret ser ut på vilket språk som helst, hur man söker efter det & hur man skiljer det från liknande godartad kod. Framtida forskare hittar nya instanser med hjälp av det lagrade mönstret snarare än att återupptäcka det från grunden.

Energilagringsmekanismen är lika viktig som energin själv. Kunskap lagrad i ett privat anteckningsblock ackumuleras bara för anteckningsbokens ägare. Kunskap lagrad i ett offentligt arkiv ackumuleras för alla som läser det. Kunskap lagrad i en CVE-databas ackumuleras för alla som kör en säkerhetsskanner. Varje lagringsplats har olika ackumuleringsegenskaper.

Ärendehanterare & Personliga Problemlistor

Hamming höll en lista med 10 viktiga problem som han återvände till upprepade gånger. Listan förberedde honom att känna igen när en ny teknik adresserade ett av dem. Hans lista fungerade som personlig lagrad energi: en hållbar investering i mönsterigenkänning som gav utdelning varje gång en ny teknik dök upp.

Hur tjänar ett öppen källkod-projekts ärendehanterare en liknande funktion som Hammings personliga 10-problemlista? Hur skiljer den sig? Identifiera minst en fördel som ärendehanteraren har jämfört med den personliga listan och minst en fördel som den personliga listan har jämfört med ärendehanteraren.

En MOAD-slinga som Slutet System

Permakultur: i ett väldesignat system matar utgången från en process ingången i en annan. Ingen utgång lämnar systemet som avfall. En höna i en matskog producerar ägg (mat), gödsel (gödning), skadedjursbekämpning (tjänst) & skrapande (luftning av jord). Varje utgång dirigeras till en nedströmsprocess snarare än att lämna systemet.

En MOAD-fabriksmodell bygger en liknande sluten slinga. Varje steg producerar utgångar som matar nästa:

Skanning producerar: en bekräftad defektinstans, en platskarta över berörda noder, en svårighetsskattning baserad på mellanhet & trafik.

Patch producerar: en kodkorrigering, ett enhetstest som bekräftar korrigeringen, en diff som kan granskas av underhållare.

MOAD-inlägg producerar: en artikel i allmän egendom som förklarar defektklassen, skanmönstret & korrigeringsmetoden. Intellektuellt kapital som kvarstår bortom varje enskild instans.

CVE-avslöjande producerar: en standardiserad post i NVD, som utlöser automatiserade säkerhetsskannrar i alla berörda installationer. Socialt kapital för säkerhetscommunityt.

Uppströms PR producerar: korrigeringen i den kanoniska källan, som automatiskt sprids till alla nedströmsgafflar vid deras nästa beroendeuppdatering.

Varje utgång matar tillbaka: ett MOAD-inlägg lär forskare att hitta nya instanser, vilket genererar nya skanningar. Enhetstestet blir en regressionsvakt. CVE-posten driver adoption av patchen av operationsteam som annars skulle ignorera den. Slingan sluts.

Stoppvillkor: en patch som avslöjas utan att bekräfta nedströmskapaciteten översvämmar kön. MOAD-0001 & MOAD-0005 kopplas: fixa O(N²) vid en nod med hög mellanhet & varje nedströmsprocessor översvämmas simultant. Permakulturens designprincip för hela systemet gäller även här: optimera komponenten och du kan skapa en ny flaskhals nedströms.

Kartläggning av Utgångar till Kapital

En MOAD-pipeline producerar fem utgångar: ett skanresultat, en patch, ett MOAD-inlägg, ett CVE-avslöjande & en uppströms PR.

Kartlägg varje utgång till den kapitalform den primärt odlar. Identifiera sedan vilket enskilt steg, om det togs bort, som skulle producera mest 'avfall' — den mest odirigerade energin i systemet — och förklara varför.