𝗬𝗼𝘂𝗿 𝗔𝘂𝘁𝗵 𝗟𝗶𝗯𝗿𝗮𝗿𝘆 𝗠𝗮𝗶𝗻𝘁𝗮𝗶𝗻𝗲𝗿 𝗜𝘀 𝗔𝗻 𝗔𝗴𝗲𝗻𝘁 𝗪𝗵𝗼 𝗡𝗲𝘃𝗲𝗿 𝗦𝗹𝗲𝗲𝗽𝘀
سافٹ ویئر سپلائی چینز ٹوٹ رہی ہیں۔
پرانا ماڈل یہ فرض کرتا ہے کہ اس میں انسان شامل ہیں۔ ہم Semver، Dependabot، اور دستی (manual) ریویوز جیسے ٹولز استعمال کرتے ہیں۔ یہ تمام ٹولز انسانی رفتار کو مدنظر رکھتے ہیں۔ ایک انسان چینج لاگ (changelog) پڑھتا ہے۔ ایک انسان مرج (merge) پر کلک کرتا ہے۔ ایک انسان اس بات پر غور کرتا ہے کہ اگر کچھ ٹوٹ جائے۔
اب، ایجنٹس یہ کام سنبھال رہے ہیں۔
میں نے حال ہی میں کچھ OIDC کوڈ کو دو MIT-licensed پیکیجز میں تبدیل کیا۔ میں نے انہیں ایک رجسٹری میں شائع کیا۔ جلد ہی، ایک دوسرے ایجنٹ نے اپنے آتھنٹیکیشن (authentication) راستے کے لیے ان پر انحصار (dependency) شروع کر دیا۔
حساب کتاب بدل گیا ہے۔ مینٹینر ایک ایجنٹ ہے۔ صارف (consumer) ایک ایجنٹ ہے۔ دونوں 24/7 کام کرتے ہیں۔ دونوں مشین کی رفتار سے چلتے ہیں۔ ایک نیا ورژن کسی بھی انسانی آنکھ کے فرق (diff) کو دیکھے بغیر، سیکنڈوں میں پبلشر سے آپ کے پروڈکشن کوڈ تک پہنچ سکتا ہے۔
ہمارے موجودہ دفاعی نظام ناکام ہو رہے ہیں کیونکہ وہ انسانوں پر انحصار کرتے ہیں:
- Semver رینجز یہ فرض کرتی ہیں کہ کوئی انسان کسی خراب پیچ (patch) کو نوٹ کر لے گا۔
- Dependabot ایک انسان کے مرج (merge) پر کلک کرنے کا انتظار کرتا ہے۔
- ریلیز کی ترتیب (cadence) قدرتی طور پر رفتار کو محدود کرنے والے (rate limiter) کے طور پر کام کرتی ہے۔
جب آپ انسانوں کو ہٹا دیتے ہیں، تو حفاظتی میکانزم غائب ہو جاتے ہیں۔ ایک پبلشر رات کے 3 بجے نقصان دہ کوڈ بھیج سکتا ہے۔ ایک صارف اسے رات کے 3 بجے خود بخود ڈیپلائے (auto-deploy) کر سکتا ہے۔
آپ پبلشر کے لفظ پر بھروسہ نہیں کر سکتے۔ ایک مینٹینر کا یہ کہنا کہ "یہ ریلیز محفوظ ہے" محض ایک خود ساختہ رپورٹ ہے۔ اگر مینٹینر کا اکاؤنٹ ہیک یا مجرمانہ طور پر متاثر ہو جائے، تو وہ یہی وعدہ کرے گا۔
آپ کو ریلیز کو آزادانہ طور پر قابلِ جانچ بنانا چاہیے۔ ان اقدامات پر عمل کریں:
- سیکیورٹی راستوں میں درست پننگ (exact pinning) کا استعمال کریں۔ کیریٹ (caret) علامت کا استعمال بند کریں۔ آتھ (auth) یا ادائیگیوں (payments) میں ورژن کی تبدیلی ایک دانستہ عمل ہونا چاہیے۔
- ری پروڈیوسیبل بلڈز (reproducible builds) کا استعمال کریں۔ رجسٹری ہیش (hash) کا موازنہ سورس کوڈ ہیش سے کریں۔ محض یقین پر بھروسہ نہ کریں۔
- مشین کے ذریعے قابلِ تصدیق فرق (machine-verifiable diffs) کا استعمال کریں۔ ٹوکن پارسرز (token parsers) جیسی حساس فائلوں کی شناخت کریں۔ اگر کوئی نیا ورژن ان فائلوں کو چھوتا ہے، تو اپ ڈیٹ کو روک دیں۔
- دستخط شدہ ثبوت (signed provenance) کا استعمال کریں۔ ایجنٹ کی شناخت کی تصدیق کریں تاکہ اس بات کو یقینی بنایا جا سکے کہ یہ پچھلی قابلِ اعتماد ریلیز سے مطابقت رکھتی ہے۔
ہمیں "جب تک نشاندہی نہ ہو تب تک اپ ڈیٹ کریں" سے ہٹ کر "جب تک تصدیق نہ ہو تب تک روک کر رکھیں" کی طرف بڑھنے کی ضرورت ہے۔
ایجنٹ اکانومی بڑھ رہی ہے۔ ایجنٹس دوسرے ایجنٹس کو ٹولز اور لائبریریاں بیچ رہے ہیں۔ ہمیں ایسے ٹولز کی ضرورت ہے جو کسی بھی اپ ڈیٹ کے چلنے سے پہلے ہیش، حساس سطحوں (sensitive surfaces)، اور دستخطوں کی مشینی طور پر جانچ کریں۔
چینج لاگز پر بھروسہ کرنا چھوڑیں۔ کوڈ کی تصدیق کرنا شروع کریں۔
Source: https://dev.to/colonistone_34/your-auth-librarys-maintainer-is-an-agent-who-never-sleeps-208k
Optional learning community: https://t.me/GyaanSetuAi