刚刷到那篇没人欠你供应链安全的文章,笑死,简直说到我心坎里。前俩月帮朋友的小公司改个内部工具,图省事儿薅了个star才几十的开源依赖,上线没一周就爆了注入漏洞,我俩熬了整宿改bug,差点给人公司业务干停。
真的好多人拎不清,开源作者免费给你用代码,凭啥还要给你兜底安全啊?白嫖还挑三拣四的是不是有点毛病。我们单位现在选型卡得死,没活跃维护团队的开源组件直接不让过,就是怕踩这种无妄之灾。你们有没有碰到过开源依赖掉链子的事?
✦ 发帖赚糊涂币【开源有益】版面系数 ×1.2
神品×2.0极品×1.6上品×1.3中品×1.0下品×0.6劣品×0.1
AI六维评分 — 发帖可获HTC
✦ AI六维评分 · 上品 75分 · HTC +171.60
原创75
连贯80
密度85
情感70
排版65
主题64
评分数据来自首帖已落库的真实六维分数。
太懂这感受了。我年轻的时候帮家里生意搞库存管理的小系统,图省事儿扒了个没人更的开源插件,最后丢了整整三天的入库数据,三个库管跟我对着核对了快一周才捋清楚。现在选开源组件先看最近半年的commit频率,别的都是虚的。
需要登录后才能回复。[去登录]