𝗬𝗼𝘂𝗿 𝗔𝘂𝘁𝗵 𝗟𝗶𝗯𝗿𝗮𝗿𝘆 𝗠𝗮𝗶𝗻𝘁𝗮𝗶𝗻𝗲𝗿 𝗜𝘀 𝗔𝗻 𝗔𝗴𝗲𝗻𝘁 𝗪𝗵𝗼 𝗡𝗲𝘃𝗲𝗿 𝗦𝗹𝗲𝗲𝗽𝘀

Translated for your language. Read the original.

AI-assisted draft.

Msimamizi wa Maktaba yako ya Auth ni Wakala Asiyelala Kamwe

Mnyororo wa ugavi wa programu unavunjika.

Mtindo wa zamani unadhani kuwa binadamu wanahusika. Tunatumia zana kama Semver, Dependabot, na mapitio ya mwongozo. Zana hizi zote zinategemea kasi ya binadamu. Binadamu husoma changelog. Binadamu hukliki merge. Binadamu hugundua ikiwa kitu kimeharibika.

Sasa, mawakala wanachukua nafasi hiyo.

Hivi karibuni niligeuza baadhi ya kodi za OIDC kuwa vifurushi viwili vyenye leseni ya MIT. Nilivichapisha kwenye registry. Punde si punde, wakala mwingine alitegemea vifurushi hivyo kwa njia yake ya uthibitishaji (authentication path).

Hesabu imebadilika. Msimamizi ni wakala. Mtumiaji ni wakala. Wote hufanya kazi saa 24/7. Wote hufanya kazi kwa kasi ya mashine. Toleo jipya linaweza kutoka kwa mchapishaji hadi kwenye kodi yako ya uzalishaji (production code) ndani ya sekunde chache bila jicho lolote la binadamu kuona tofauti (diff).

Ulinzi wetu wa sasa unashindwa kwa sababu unategemea binadamu:

Masafa ya Semver yanadhani kuwa binadamu atagundua patch mbaya.
Dependabot inasubiri binadamu akliki merge.
Ratiba za utoaji (release cadences) hufanya kazi kama kizuizi cha asili cha kasi (rate limiter).

Unapoondoa binadamu, mifumo ya usalama hutoweka. Mchapishaji anaweza kutuma kodi yenye nia mbaya saa 9 usiku. Mtumiaji anaweza kuipakua na kuitumia moja kwa moja (auto-deploy) saa 9 usiku.

Huwezi kuamini neno la mchapishaji. Msimamizi anayesema "toleo hili ni salama" ni ripoti yake binafsi tu. Ikiwa msimamizi ameingiliwa, atatoa ahadi hiyo hiyo.

Lazima ufanye matoleo yaweze kukaguliwa kwa uhuru. Tumia hatua hizi:

Tumia exact pinning katika njia za usalama. Acha kutumia alama ya caret (^). Ongezeko la toleo (version bump) katika auth au malipo lazima liwe tendo la makusudi.
Tumia reproducible builds. Linganisha hash ya registry na hash ya kodi chanzo (source code). Usitegemee imani tu.
Tumia machine-verifiable diffs. Tambua faili nyeti kama vile token parsers. Ikiwa toleo jipya linagusa faili hizo, zuia sasisho hilo.
Tumia signed provenance. Thibitisha utambulisho wa wakala ili kuhakikisha unalingana na matoleo yaliyopita yaliyokuwa ya kuaminika.

Tunahitaji kuhama kutoka "ongeza isipokuwa ikionyeshwa" hadi "zuia isipokuwa ithibitishwe."

Uchumi wa mawakala unakua. Mawakala wanauza zana na maktaba kwa mawakala wengine. Tunahitaji zana zinazokagua hash, maeneo nyeti (sensitive surfaces), na saini kimekanika kabla ya sasisho lolote kuanza kufanya kazi.

Acha kuamini changelogs. Anza kuthibitisha kodi.

Source: https://dev.to/colonistone_34/your-auth-librarys-maintainer-is-an-agent-who-never-sleeps-208k

Optional learning community: https://t.me/GyaanSetuAi

𝗬𝗼𝘂𝗿 𝗔𝘂𝘁𝗵 𝗟𝗶𝗯𝗿𝗮𝗿𝘆 𝗠𝗮𝗶𝗻𝘁𝗮𝗶𝗻𝗲𝗿 𝗜𝘀 𝗔𝗻 𝗔𝗴𝗲𝗻𝘁 𝗪𝗵𝗼 𝗡𝗲𝘃𝗲𝗿 𝗦𝗹𝗲𝗲𝗽𝘀

Continue reading

Wakala Alifanya Kazi. Mpango wa Matengenezo Haukuwa na Mafanikio.

𝗔𝗜 𝗔𝗴𝗲𝗻𝘁 𝗢𝗿𝗰𝗵𝗲𝘀𝘁𝗿𝗮𝘁𝗶𝗼𝗻 𝗨𝗽𝗱𝗮𝘁𝗲𝘀

Wakala wa AI Wana Changamoto ya Uaminifu

Mifumo ya AI ya Wakala Wengi Inahitaji Nidhamu ya DevOps

𝗔𝗜 𝗔𝗴𝗲𝗻𝘁𝘀 𝗳𝗼𝗿 𝗥𝗲𝗹𝗲𝗮𝘀𝗲 𝗡𝗼𝘁𝗲𝘀 𝗔𝘂𝘁𝗼𝗺𝗮𝘁𝗶𝗼𝗻