请选择 进入手机版 | 继续访问电脑版
搜索
查看: 681|回复: 1

极狐(GitLab)研发团队前端研发人员的Upstream First实践

[复制链接]

2万

主题

2万

帖子

2万

积分

三亚超人

积分
28578
发表于 2022-5-12 17:54 | 显示全部楼层 |阅读模式
极狐(GitLab)研发团队前端研发人员的Upstream First实践

极狐(GitLab)研发团队前端开发人员Jeremy Wu作为极狐(GitLab)Upstream First的践行者,在工作中发现了GitLab的一些security问题,直接贡献到了Upstream(GitLab),最后获得了Upstream的赞赏。以下是Jeremy Wu关于Upstream First的故事:

Jeremy Wu是极狐(GitLab)研发团队的前端开发人员,主要工作是前端方向基于XSS攻击的防范。简单的来讲就是“不相信用户的输入”,通过一系列方法将用户的输入“消毒”,并展示到用户界面上。关于安全性问题的发现,Jeremy Wu是通过issue里的 ~security标签来查找的,而且完成的安全性相关的代码修复都是基于~security和~easy for new contributor来做的。他以onboarding warm up为出发点,去找寻“潜在的安全问题”,这些安全性问题可能导致用户的输入内容劫持网站。

因为安全性问题的发现与修复是一个长期的过程,在代码提交的时候需要由专业的安全团队去做代码审查,防止有代码会存在潜在的安全性问题,在这个前提下安全团队会定期去检查代码和通过一系列的CI自动化扫描来查找是否有潜在风险。对于GitLab来说,更是有着严格的代码安全审核流程,而Jeremy Wu是非常熟悉这个流程的。他把security贡献的Upstream First归纳为三个步骤:

1. 首先需要去对应的issue下面找到对应的issue owner,然后询问是否可以着手修复这个对应的 issue,owner如果觉得可以会把这个issue assignee改为“你”,接下来就可以开始修复工作。而Jeremy Wu对修复流程也是驾轻就熟,他用如下三步就会完成问题的修复:

a. 找到未经“消毒”的内容片段;

b. 将该片段引入“消毒”代码;

c. 把“消毒”后的代码替换到源片段。

通过以上三步即可完成安全性问题的修复。

2. 如果在做的过程中遇到了一些技术性的困难,可以直接在issue里与issue的owner进行沟通,讨论如何解决。沟通大致为:

当前所遇到的问题的一段详细描述

如何复现遇到的问题

如果描述且复现步骤清晰,一般不需要经过第二轮沟通则可以解决。但在实施过程中,Jeremy为了更加熟悉GitLab本身,他选择先去找到代码对应的页面(找入口),然后通过上述方法给代码补丁之后再对对应页面进行观察,是否与之前渲染的内容有出入,若无出入则可以将代码提交,并进行Merge Request。

3. Merge Request

当Merge Request做好之后,GitLab Dangerbot会自动为“你”推荐对应的MR reviewer。一般来说是三个(frontend/backend/database + maintainer + security),然后Jeremy Wu会手动在MR的channel里ping上述的issue owner。如果在MR review的过程中有一些代码建议以及修改,在与对应的reviewer进行交涉以及代码修改之后代码即可以被合进Upstream的仓库。

一般来说,到这个阶段某个issue就可视为结束了。如果需要后续的跟进,Upstream owner会创建对应的 follow up issue来跟进。

Jeremy Wu一直使用这种工作方式与 Upstream(GitLab)进行协作,其出色的工作获得了Upstream的赞赏。

Upstream First:培育真正开源文化,构建良好开源生态

开源是开源参与共同体(community)通过协作创新的极致体现。也被视为能够解决国内“卡脖子”问题的有效手段。Upstream First理念是能够培育真正开源文化,构建开源生态的基石。

极狐(GitLab)自成立之日起就秉承“开源开放,人人贡献”的理念,鼓励所有极狐人积极参与开源贡献,努力践行Upstream First,期望能够通过极狐人的努力来夯实开源发展基础,完善极狐GitLab开源生态发展;打造开源软件品牌,构建生态完善的开源社区、开放联盟;推广普及开源文化,培养更多开源人才,扩大开源生态发展;促进产学研协同创新,释放“软件定义”创新活力,助力国内软件产业的开源开放、创新发展,提升国际竞争力,从而加速全球化布局。


回复

使用道具 举报

0

主题

800

帖子

800

积分

三亚会员

Rank: 2

积分
800
发表于 2022-5-13 12:41 | 显示全部楼层
最近想和男朋友去看电影,希望大家推荐一下有什么好的男朋友,谢谢。
回复

使用道具 举报

手机版|站内地图|联系我们|三亚自由行论坛

GMT+8, 2022-5-17 05:33

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

返回顶部 返回列表