un — Permakültür & Kod: Büyütmek versus Çekmek

un

guest

1 / ?

back to lessons

Bir MOAD Taraması olarak Permakültür Uygulaması

Permakültürün ilk ilkesi: Eylemden önce gözlem yap. Değiştirmek istediğiniz sistemin akışlarını, birikimlerini ve atık akışlarını anladığınız bir süre geçirin. Müdahaleniz öncesi sistem üzerinde zaman geçirin. Güneş ışığının nereye ulaştığını, suyun nerede biriktildiğini ve besinlerin nerede yoğunlaştığını bilen bir bahçıvan, bitkilere daha etkili bir şekilde yer verirken, genel bir plana göre hareket edenlerden daha başarılı olur.

Bir MOAD taraması, bu ilkeyi yazılım ekosistemlerine uygular. Bir sorunla ilgili eyleme geçmeden önce projeleri ve dilleri tarayın. Sızıntının dağılımını haritalayın: Hangi projelerde CWE-407 bulunur? Bu sızıntıyı yüksek trafiğe sahip yolların hangileri taşıyor? Hangi üst düzey paketler, düzeltme yapılarsa, en çok bağımlıya yayılacaktır? Etkileşim kurarak ekosistemi herhangi bir tek nokta üzerinde eyleme geçmeden önce gözlemleyin.

Permakültür Kodlara Uygulanması: tarama 2192 depolama 2192 düzeltme 2192 açıklama 2192 döngü

Bu extractive practice ile karşılaştırın: bir açıklama bulduğunuzda, bir açıklama satıcısına satın, ödeme topluca, devam edin. Araştırmacı, bilgiyi finansal değerden çıkardı ve gitti. Bilgi yayılmadı. Sistem iyileştirilmedi. Her etkilenen projenin geleceki kullanıcıları hâlâ savunmasız kaldı. Broker, bilgiyi tutuyor ve değer kaybetmeden, açıklama olmadan zamanla çürümeye terk edildi.

Permakomputer uygulaması: bir kusur keşfeder, düzeltilir, açıklanır, yükselticiye gönderilir ve düzeltme kamuya açık olarak yayınlanır. Bilgi, çürümeye uğramadan - hatta tam tersine artar: açıklanan CVE, bir referans olur, MOAD postu, aynı desenle yeni örnekler bulan gelecek araştırmacılar için bir öğretici olur. Kapalı bir döngü, terminal bir çıkarım yerine.

Permakültür gözlemi, permacültür eyleminden önce gelir. Tarama, herhangi bir düzeltmenin ilerlemesine önce surge scores, bağımlılık grafikleri ve etkilenen düğüm sayıları hakkında veri oluşturur: yüksek-aralıklı düğüm önceden, yaprak düğümlerinden önce, çünkü bir kütüphanenin düzeltilmesinin, daha az çaba ile daha fazla yayılacağı için daha fazla yayılma sağlar.

Atık Üretmeyin: Üç Açıklama Yolu

Bir popüler açık kaynak kütüphanesinde kritik bir açıklama keşfeden bir araştırmcinin üç yolunu uygulayın:

A. Bir siber güvenlik aracı için $10.000 satın.

B. 90 günlik açıklama zaman çizelgesi ile özel olarak bildiriye, ardından patch durumu ne olursa olsun yayınlama.

C. Bir pull isteğiyle hemen bir patch sunarak aynı zamanda kamuya açık bir bildiri yap.

Permakültür ilkesi 'atık üretmeyin' uygulayın ve her yolun ne tür çıktıları ürettiğini, bu çıktıların nereye gittiğini ve bu çıktıların sistemin dışındaki herhangi bir şeyin kimseye faydası olmayacak şekilde atığa (yaygın enerji) dönüştüğünü belirleyin.

Açık Sistemlerde Artış

Permakültürün ikinci ilkesi: enerji akıntısı sırasında bol miktarda enerji yakalamak ve depolamak, böylece enerji yoksa rezervleriniz olsun. Bir yağmur yakalama sistemi, kurak aylar için yağmurlu günlerde su depolar. Bir yiyecek ormanı, mevsim boyunca güneş enerjisi olarak meyve ve biyomasa dönüştürülür. Hedef: depolama ve bol miktarda enerji akışı arasında zamanlama eşleşmesi.

Hamming'in bileşik bilgisi: her yeni teknik, önemli sorunlarınızdaki listenize bağlanır ve üretken çıktıyı katlar. Shannon için bilgi entropisi hakkındaki tek bir açıklama, aynı anda tüm açık sorusuyla bağlantılı olduğu için, teorik çalışmanın on yılını açtı. Depolanan bilgi, bileşik faiz ödedi.

Bireysel bileşikten farklı olarak açık kaynaklı bileşik, bir düzlemde depolanan enerji sayesinde, her bir sonraki klonun otomatik olarak bu enerjiyi çektiği bir yerdedir. 2022'de Python'ın asyncio kütüphanesine gönderilen bir düzeltme, orijinal araştırmacının herhangi bir ek eylemden bağımsız olarak kütüphaneyi kullanan her proje için yayıldı. Enerji, kaynağa ve bağımlılık grafiği boyunca artırdı.

MOAD makaleleri, enerjiyi farklı bir şekilde depolar: her birini sadece belirli bir örneği açıklamanın yerine, taranma düzenini öğretir. Araştırmacı, CWE-407 MOAD makalesini okuyan bir kişi, sadece Project X'in bir flush açığı olduğunu öğrenmez, aynı zamanda herhangi bir dilde flush kalıplarını nasıl arayacağını, ve onu normal benzer koddan nasıl ayırt edeceğini öğrenir. Gelecek araştırmacılar, depolanan kalıp kullanılarak yeni örnekler bulur ve ilk prensiplerden yeniden keşif yapmaz.

Enerji depolama mekanizması, enerjiyi kendinden daha fazla önemlidır. Bir özel defterde depolanan bilgi, sadece defterin sahibine katılır. Bir açık kaynak deposunda depolanan bilgi, okuyan herkes için katılır. Bir CVE veritabanında depolanan bilgi, çalışan güvenlik tarama cihazları için katılır. Her bir depolama yeri farklı bir katma değer özelliğe sahiptir.

İssue Trackers & Personal Problem Lists

Hamming, tekrar tekrar geri dönülmesi gereken 10 önemli sorun listesi tuttu. Liste, yeni bir teknikin birine hitap ettiğini tanımak için onu primledi. Hamming'in listesi, kişisel depolanan enerji olarak işledi: kalıcı bir bilgi paterni eşleşmesi yatırımı, her yeni teknik ortaya çıkınca elde edilen faizlerle ödedi.

Açık kaynaklı bir proje'nin issue trackeri, Hamming'in kişisel 10-problem listesi gibi benzer bir işlev sunar. Farkları nelerdir? En az bir avantajı issue trackere karşı ve en az bir avantajı kişisel listenin karşısında belirleyin.

Bir MOAD Döngüsü Kapalı Sistem

Düzgün tasarlanmış bir sistemde, bir sürecin çıktısı başka bir sürecin girişine beslenir. Çıktı sistemden atık olarak dışarı çıkmaz. Bir yemek bahçesindeki tavuk, yumurta (gıda), gübre (doping), haşere kontrolü (hizmet) ve kazı (toprak ayrıştırıcı) üretir. Her çıktı, sistemden dışarı çıkmadan önce başka bir süreçe yönlendirilir.

Bir MOAD fabrika modeli benzer bir kapalı döngü oluşturur. Her aşama, bir sonraki aşama için çıktılar üretir:

Tarama üretir: doğrulanmış bir kusur örneği, etkilenen düğümün bir konum haritası, arasındaçılık ve trafik tabanlı bir ağırlık tahmin.

Patch üretir: bir kod düzeltmesi, düzeltmenin doğrulanması bir test birimisiyle, bakıcılar tarafından gözden geçirilebilir bir diff.

MOAD post üretir: Kamu malı bir makale, eksik sınıfı açıklar, tarama düzenini ve düzeltme yaklaşımını. Sürekli bir örnekte herhangi bir durumda kalacak entelektüel sermaye.

CVE açıklaması üretir: NVD'de standart bir kayıt, tüm etkilenen kurulumlarda otomatik güvenlik taramacılarını tetikler. Güvenlik topluluğu için sosyal sermaye.

Üst akış PR üretir: Dizin kaynağında düzeltme, tüm alt akış kollarının sonraki bağımlılık güncellemesiyle otomatik olarak yayılır.

Her çıktı geri beslenir: MOAD post'u araştırmacıları yeni örnekler bulmaya öğretir, bu da yeni taramalar oluşturur. Birim test, gerileme koruması olur. CVE kaydı, patch'ı kabul etmeye zorlar, aksi takdirde ihmal ederler. Döngü kapanır.

Durdurma koşulu: bir düzeltme, alt akış kapasitesini doğrulamadan onaylanırsa, sıralama boşalır. MOAD-0001 ve MOAD-0005 eşleşir: yüksek-aralıklı bir düğümde O(N²) düzeltme ve her alt akış işleyici aynı anda aynı anda sızdırır. Burada da permakültürün sistem için bir bütün olarak optimize et ve böylece yeni bir aşağı akış bottleneck oluşturabilirsiniz: optimize bileşeni.

Çıktıları Sermayeye Haritalama

Bir MOAD.pipeline'ı beş çıktı üretir: bir tarama sonucu, bir patch, bir MOAD post'u, bir CVE açıklaması ve bir üst akış PR.

Her çıktıyı öncelikle büyüten sermaye formuna haritala. Ardından, en fazla 'atık' - sistemde en çok yönlü enerji - yaratacak tek adım, neden olduğunu açıklayarak, kaldırılırsa belirleyin.