Máy quét MOAD như một Thực hành Nông nghiệp Bền vững
Nguyên lý đầu tiên của nông nghiệp bền vững: quan sát trước khi hành động. Dành thời gian trong hệ thống bạn muốn thay đổi. Hiểu các luồng, tích tụ & dòng chảy chất thải của nó trước khi thiết kế can thiệp của bạn. Một người làm vườn quan sát nơi nước tập trung, nơi ánh sáng mặt trời chiếu đến, & nơi chất dinh dưỡng tập trung sẽ trồng cây hiệu quả hơn người thực hiện theo một kế hoạch chung chung.
Máy quét MOAD áp dụng nguyên lý này cho các hệ sinh thái phần mềm. Trước khi nộp một vấn đề duy nhất, quét qua các dự án & ngôn ngữ. Lập bản đồ phân phối của khiếm khuyết: có bao nhiêu dự án mang CWE-407? Cái nào mang nó trong các đường dẫn lưu lượng cao? Các gói thượng nguồn nào, nếu được vá, sẽ truyền bá bản sửa chữa cho hầu hết những người phụ thuộc? Quan sát hệ sinh thái trước khi hành động trên bất kỳ nút nào.
Đối chiếu điều này với thực hành khai thác: phát hiện một lỗ hổng, bán nó cho một nhà môi giới lỗ hổng, nhận thanh toán, tiếp tục. Nhà nghiên cứu đã khai thác vốn tài chính từ kiến thức & rời đi. Không có kiến thức nào được truyền bá. Không có hệ thống nào được cải thiện. Người dùng trong tương lai của mọi dự án bị ảnh hưởng vẫn dễ bị tổn thương. Nhà môi giới giữ kiến thức, cái mà giảm giá trị khi lỗ hổng tuổi tác mà không công khai.
Thực hành Permacomputer: phát hiện khiếm khuyết, vá nó, công khai, gửi thượng nguồn, phát hành bản vá dưới dạng công cộng. Kiến thức truyền bá mà không suy giảm — thực tế nó phức hợp: CVE công khai trở thành tham chiếu, bài viết MOAD dạy mô hình, các nhà nghiên cứu trong tương lai tìm thấy các trường hợp mới bằng cách sử dụng cùng một mô hình. Một vòng lặp kín hơn là một khai thác đầu cuối.
Quan sát nông nghiệp bền vững đi trước hành động nông nghiệp bền vững. Quét tạo ra dữ liệu về điểm tăng đột biến, biểu đồ phụ thuộc, & số lượng nút bị ảnh hưởng trước khi bất kỳ bản vá nào di chuyển. Dữ liệu này hình thành bản vá nào được gửi trước: các nút trung gian cao trước các nút lá, vì bản sửa chữa cho thư viện được phụ thuộc rộng rãi truyền bá xa hơn trên mỗi đơn vị nỗ lực.
Không Tạo ra Chất Thải: Ba Con Đường Công khai
Ba con đường mà một nhà nghiên cứu có thể thực hiện sau khi phát hiện một lỗ hổng nghiêm trọng trong thư viện mã nguồn mở phổ biến:
A. Bán nó cho một nhà môi giới lỗ hổng với giá $10,000.
B. Báo cáo nó riêng tư cho người bảo trì với bảng thời gian công khai 90 ngày, sau đó xuất bản bất kể trạng thái bản vá.
C. Gửi bản vá như một yêu cầu kéo ngay lập tức với công khai công cộng đồng thời.
Phức hợp trong Các Hệ thống Mở
Nguyên lý thứ hai của nông nghiệp bền vững: thu thập & lưu trữ năng lượng khi nó chảy dồi dào để bạn có dự trữ khi nó không chảy. Một hệ thống thu thập nước lưu trữ nước trong những trận mưa lớn để sử dụng trong những tháng khô hạn. Một khu rừng thực phẩm lưu trữ năng lượng mặt trời dưới dạng trái cây & khối lượng sinh học trên các mùa. Mục tiêu: khớp thời gian lưu trữ với thời gian dồi dào.
Kiến thức phức hợp của Hamming: mỗi kỹ thuật mới kết nối với danh sách các vấn đề quan trọng của bạn, nhân lên sản lượng sản xuất. Một ý tưởng duy nhất về entropy thông tin, đối với Shannon, đã mở khóa một thập kỷ công việc lý thuyết vì nó kết nối với mọi câu hỏi mở trong danh sách của anh ta cùng một lúc. Kiến thức được lưu trữ đã trả lãi kép.
Kép mã nguồn mở hoạt động khác với kép cá nhân. Bản sửa chữa được hợp nhất vào một kho lưu trữ chính quy lưu trữ năng lượng ở một nơi mà mọi nhánh hạ lưu sẽ tự động rút từ đó. Một bản vá được gửi đến thư viện asyncio của Python vào năm 2022 truyền bá cho mọi dự án sử dụng thư viện đó mà không cần bất kỳ hành động bổ sung nào từ nhà nghiên cứu ban đầu. Năng lượng lưu trữ tại nguồn & phức hợp thông qua biểu đồ phụ thuộc.
Các bài viết MOAD lưu trữ năng lượng khác: mỗi bài viết dạy mô hình quét thay vì chỉ công khai trường hợp cụ thể. Một nhà nghiên cứu đọc bài viết CWE-407 MOAD tìm hiểu không chỉ là Dự án X có lỗ hổng xả, mà mô hình xả trông như thế nào trong bất kỳ ngôn ngữ nào, cách tìm kiếm nó, & cách phân biệt nó với mã tương tự lành tính. Các nhà nghiên cứu trong tương lai tìm thấy các trường hợp mới bằng cách sử dụng mô hình được lưu trữ thay vì phát hiện lại nó từ những nguyên tắc đầu tiên.
Cơ chế lưu trữ năng lượng quan trọng như chính năng lượng. Kiến thức được lưu trữ trong một sổ tay riêng phức hợp chỉ cho chủ sở hữu sổ tay. Kiến thức được lưu trữ trong một repo công cộng phức hợp cho mọi người đọc nó. Kiến thức được lưu trữ trong cơ sở dữ liệu CVE phức hợp cho mọi người chạy máy quét bảo mật. Mỗi vị trí lưu trữ có những đặc điểm phức hợp khác nhau.
Trình theo dõi vấn đề & Danh sách Vấn đề Cá nhân
Hamming đã giữ một danh sách 10 vấn đề quan trọng mà anh ta quay lại liên tục. Danh sách đã chuẩn bị anh ta để nhận ra khi một kỹ thuật mới giải quyết một trong số chúng. Danh sách của anh ta hoạt động như năng lượng được lưu trữ cá nhân: một khoản đầu tư lâu dài trong kỹ năng khớp mẫu trả cổ tức mỗi khi một kỹ thuật mới xuất hiện.
Một Vòng lặp MOAD như một Hệ thống Kín
Nông nghiệp bền vững: trong một hệ thống được thiết kế tốt, đầu ra của một quá trình nuôi dưỡng đầu vào của một quá trình khác. Không có đầu ra nào thoát khỏi hệ thống dưới dạng chất thải. Một con gà trong một khu rừng thực phẩm sản xuất trứng (thực phẩm), phân (phân bón), kiểm soát dịch hại (dịch vụ), & cào xới (hiếu khí đất). Mỗi đầu ra định tuyến đến một quá trình phía hạ lưu thay vì rời khỏi hệ thống.
Mô hình nhà máy MOAD xây dựng một vòng lặp tương tự. Mỗi giai đoạn tạo ra những đầu ra nuôi dưỡng cái tiếp theo:
Quét tạo ra: một trường hợp khiếm khuyết xác nhận, một bản đồ vị trí của các nút bị ảnh hưởng, một ước tính mức độ nghiêm trọng dựa trên trung gian & lưu lượng.
Vá tạo ra: một sự sửa chữa mã, một bài kiểm tra đơn vị xác nhận bản sửa chữa, một bản vá có thể được xem xét bởi những người bảo trì.
Bài viết MOAD tạo ra: một bài viết công cộng giải thích lớp khiếm khuyết, mô hình quét, & cách tiếp cận sửa chữa. Vốn trí tuệ công cộng tồn tại vượt qua bất kỳ trường hợp duy nhất nào.
Công khai CVE tạo ra: một bản ghi tiêu chuẩn trong NVD, kích hoạt máy quét bảo mật tự động trên tất cả các cài đặt bị ảnh hưởng. Vốn xã hội cho cộng đồng bảo mật.
PR thượng nguồn tạo ra: bản sửa chữa trong nguồn chính tắc, truyền bá tự động cho tất cả các nhánh phía hạ lưu khi cập nhật phụ thuộc tiếp theo.
Mỗi đầu ra nuôi dưỡng lại: một bài viết MOAD dạy các nhà nghiên cứu tìm ra những trường hợp mới, tạo ra các lần quét mới. Bài kiểm tra đơn vị trở thành một đội bảo vệ hồi quy. Bản ghi CVE thúc đẩy việc áp dụng bản vá bởi các nhóm vận hành những người khác sẽ bỏ qua nó. Vòng lặp đóng lại.
Điều kiện dừng: một bản vá được công khai mà không xác nhận dung lượng phía hạ lưu làm ngập hàng đợi. MOAD-0001 & MOAD-0005 kết hợp: sửa O(N²) tại một nút trung gian cao & mọi bộ xử lý phía hạ lưu làm ngập đồng thời. Nguyên tắc thiết kế cho toàn bộ hệ thống của nông nghiệp bền vững cũng áp dụng ở đây: tối ưu hóa thành phần & bạn có thể tạo ra một tắc nghẽn mới phía hạ lưu.
Ánh xạ Các Đầu ra đến Vốn
Một đường dẫn MOAD tạo ra năm đầu ra: một kết quả quét, một bản vá, một bài viết MOAD, một công khai CVE, & một PR thượng nguồn.