Kiek laiko užtrunka tokio masto auditas?

Priklauso nuo codebase'o dydžio. Mažas vibe-codintas produktas perskaitomas per porą dienų, dvylikos metų monolitas pareikalaus savaičių. Svarbiausia yra eilė, ne tempas - greitas pradžioje reiškia lėtas finiše.

Kodėl pradėt nuo žemėlapio, o ne nuo saugumo?

Be konteksto saugumo skenavimas yra teatras. DI randa generic dalykus, kurie dažnai net nėra problema toj konkrečioj sistemoj. Pirma duodam modeliui mermaid žemėlapį, o tik tada paleidžiam jį ieškot SQL injection, auth bypass'ų ir kitų realių spragų.

Ar šitas procesas tinka ir vibe-coderiams, kurie produktą paleido per mėnesį?

Taip, ir net labiau. Vibe-codintose sistemose DI mėgsta įmest naujausią paketą tik todėl, kad jis naujausias, palieka pagalbines funkcijas niekur nešaukiamas, ir nepaklausė apie .env failus ar hardkodintus API raktus. Visi septyni etapai galioja, kelias tik trumpesnis.

Ar tikrai 100% perimtų sistemų yra kiauros?

Pagal mūsų praktiką pastaraisiais metais - taip, kiekviena turėjo bent vieną kritinę saugumo problemą, kurios savininkas net nežinojo egzistuojant. Modeliai vis stiprėja, internetas pilnas automatizuotų skenerių, o legacy kodas savo vietoje stovi. Klausimas tik kada kažkas tą spragą suras pirmas.

Paveldėto kodo auditas su DI per septynis etapus

★ Svarbiausios įžvalgos

Per pastarąjį pusmetį auditavom dešimtis paveldėtų codebase'ų ir 100% jų turėjo bent vieną kritinę saugumo problemą, apie kurią savininkas net negirdėjo.
Gidas tinka dviem grupėm - vibe-coderiams, kurie su Claude Code ar Codex sustatė produktą per kelis mėnesius, ir senesnių sistemų savininkams su dvylikos metų monolitais.
Tvarka svarbiau už tempą. Septyni etapai: žemėlapis, paketai ir versijos, integracijos, asinchroninė dalis, negyvas kodas, infrastruktūra ir saugumas, prioritetai.
Modeliai per metus tapo siaubingai galingi randant spragas. Tai, ką saugumo specialistas rasdavo per savaitę, Claude ar Codex randa per valandą - ir tuo lygiai naudojasi automatizuoti puolėjai.
Negyvas kodas klaidina patį DI agentą. Standartinės /review ir /security-review komandos yra bazinis higienos minimumas, kurio dauguma komandų neišnaudoja.

#paveldėtas kodas#vibe-coding#saugumas#Claude Code#Codex#negyvas kodas#auditavimas

Dažnai užduodami klausimai

Kiek laiko užtrunka tokio masto auditas?: Priklauso nuo codebase'o dydžio. Mažas vibe-codintas produktas perskaitomas per porą dienų, dvylikos metų monolitas pareikalaus savaičių. Svarbiausia yra eilė, ne tempas - greitas pradžioje reiškia lėtas finiše.
Kodėl pradėt nuo žemėlapio, o ne nuo saugumo?: Be konteksto saugumo skenavimas yra teatras. DI randa generic dalykus, kurie dažnai net nėra problema toj konkrečioj sistemoj. Pirma duodam modeliui mermaid žemėlapį, o tik tada paleidžiam jį ieškot SQL injection, auth bypass'ų ir kitų realių spragų.
Ar šitas procesas tinka ir vibe-coderiams, kurie produktą paleido per mėnesį?: Taip, ir net labiau. Vibe-codintose sistemose DI mėgsta įmest naujausią paketą tik todėl, kad jis naujausias, palieka pagalbines funkcijas niekur nešaukiamas, ir nepaklausė apie .env failus ar hardkodintus API raktus. Visi septyni etapai galioja, kelias tik trumpesnis.
Ar tikrai 100% perimtų sistemų yra kiauros?: Pagal mūsų praktiką pastaraisiais metais - taip, kiekviena turėjo bent vieną kritinę saugumo problemą, kurios savininkas net nežinojo egzistuojant. Modeliai vis stiprėja, internetas pilnas automatizuotų skenerių, o legacy kodas savo vietoje stovi. Klausimas tik kada kažkas tą spragą suras pirmas.

Paveldėtas kodas ir DI. Gidas, kaip etapais susitvarkyti kodo bazę ir išrankioti kritines klaidas

Dažnai užduodami klausimai

Daugiau iš tinklaraščio

Kaip valdome kompiuterius iš esmės pasikeis. Taip mano, kaip DI eksperto, spėjimas.

Sugalvojau IT sistemą, kuri Lietuvoje sunaikintų korupciją ir nepotizmą

Pastačiau OpenAI prieš Google 8 cinematic scenose. Rezultatai ne tokie, kokių tikėjausi.