الأقل هو أكثر أمانا: كيف يقلل حجر السج من مخاطر هجمات سلسلة التوريد هجمات سلسلة التوريد هي تحديثات ضارة تتسلل إلى التعليمات البرمجية مفتوحة المصدر التي تستخدمها العديد من التطبيقات. إليك كيفية تصميم Obsidian للتأكد من أن التطبيق بيئة آمنة وخاصة لأفكارك. الأقل أكثر أمانا قد يبدو الأمر واضحا ولكن الطريقة الأساسية لتقليل مخاطر هجمات سلسلة التوريد هي تجنب الاعتماد على رمز الطرف الثالث. يحتوي Obsidian على عدد قليل من التبعيات مقارنة بالتطبيقات الأخرى في فئتنا. اطلع على قائمة المكتبات مفتوحة المصدر على صفحة الاعتمادات الخاصة بنا. تم تنفيذ ميزات مثل Bases و Canvas من البداية بدلا من استيراد مكتبات جاهزة. هذا يمنحنا تحكما كاملا في ما يعمل في حجر السج. - بالنسبة لوظائف المرافق الصغيرة ، نقوم دائما بإعادة تنفيذها في التعليمات البرمجية الخاصة بنا. - بالنسبة للوحدات المتوسطة ، نقوم بتقطيعها والاحتفاظ بها داخل قاعدة التعليمات البرمجية الخاصة بنا إذا سمحت التراخيص بذلك. - بالنسبة للمكتبات الكبيرة مثل pdf.js و Mermaid و MathJax ، نقوم بتضمين ملفات معروفة ومقفلة بالإصدار ولا نقوم بالترقية إلا من حين لآخر ، أو عندما تهبط إصلاحات الأمان. نقرأ ملاحظات الإصدار ، وننظر إلى تغييرات المنبع ، ونختبر بدقة قبل التبديل. يحافظ هذا النهج على الرسم البياني للتبعية ضحلا مع عدد قليل من التبعيات الفرعية. تقلل مساحة السطح الأصغر من فرصة تسلل التحديث الضار. ما الذي يتم شحنه بالفعل في التطبيق فقط عدد قليل من الحزم هي جزء من التطبيق الذي تقوم بتشغيله ، على سبيل المثال Electron و CodeMirror و moment.js. تساعدنا الحزم الأخرى في إنشاء التطبيق وعدم شحنها أبدا إلى المستخدمين ، مثل esbuild أو eslint. تثبيت الإصدار وقفل الملفات يتم تثبيت جميع التبعيات بشكل صارم على الإصدار والالتزام بملف قفل. ملف القفل هو مصدر الحقيقة للإصدارات حتى نحصل على عمليات تثبيت حتمية. يمنحنا هذا مسار تدقيق مباشر عند مراجعة التغييرات. نحن لا نقوم بتشغيل البرامج النصية بعد التثبيت. هذا يمنع الحزم من تنفيذ تعليمات برمجية عشوائية أثناء التثبيت. ترقيات بطيئة ومتعمدة عندما نقوم بتحديثات التبعية، فإننا: ...