#security #opa
#Безопасность #opa
Вопрос:
Я подумываю о том, чтобы взглянуть на Opa. Хотя мне нравится обычный способ создания веб-приложений, проект кажется очень интересным, и автоматическая обработка клиент-серверной связи является реальным плюсом.
Меня беспокоит только безопасность. Если обнаруживается новый тип атаки или уязвимости, я обычно могу принять меры предосторожности самостоятельно. Что, если я разработаю приложение Opa?
Я предполагаю, что MLState очень быстро отреагирует на добавление исправлений ошибок и безопасности, но достаточно ли этой гарантии? Компания небольшая, и на нее могут давить другие вещи.
Достаточно ли гибок Opa projectst, чтобы я мог самостоятельно исправлять ошибки безопасности?
Ответ №1:
говорит один из сотрудников MLstate :). Рад, что вам понравились концепции Opa. Теперь перейдем к вопросу.
Конечно, мы сделаем все возможное, чтобы устранить любые уязвимости в системе безопасности как можно быстрее. Можете ли вы исправить ошибки безопасности самостоятельно? Opa имеет полностью открытый исходный код, поэтому ничто не мешает вам создавать форк компилятора и вносить собственные исправления в своем собственном темпе. В этом случае, конечно, мы надеемся, что вы пришлете нам исправление для включения в официальную ветку. Это ответ на ваш вопрос?
Комментарии:
1. Это то, чего я ожидал, но это тоже не оптимально. Если я нахожу ошибку в фреймворке, скажем, в Django, я могу откатить исправление, потому что Django написан на Python, том же самом языке, который я использую для написания своего приложения. В Opa исправление ошибки означало бы работу с OCaml, с которым я не знаком, и работу на уровне компилятора, а не на уровне приложения. Так что это намного сложнее.
2. Я не думаю, что это так плохо. В Opa реализовано множество функций Opa (т. Е. Это stdlib). В частности, то, что может предложить вам веб-фреймворк (Django), почти исключительно находится в стандартной библиотеке плюс частично доступно через FFI (это был бы JavaScript). Таким образом, только исправления на уровне компилятора потребуют переделки с Ocaml, и эта часть Opa имеет тенденцию быть более стабильной, чем stdlib.
3. Это приятно знать и довольно обнадеживает :-). Большое вам спасибо