(Прежде чем вы это прочтете, Эффективное партнерство дает контекст)
В предыдущих статьях этой серии я рассказывал о файлах с последствиями для безопасности:
- Файлы конфигурации, которые предоставляют привилегии в соответствии с «Быстро развивающиеся команды не…» или которые позволяют проверенным инструментам помечать значения как доверенные в соответствии с «Смысл того, что вы говорите.
- Критический код, который блокирует личную идентификацию информации для предотвращения случайных утечек в Модулях с принципалами
- API, которые создают безопасные абстракции поверх небезопасных API в Быстро развивающиеся команды не…
Наши продукты выигрывают, когда задействуются сильные стороны разных людей, что часто означает, что их ищут для комментариев по PR, которые затрагивают критические части системы.
Такие инструменты, как инструмент обзора PR на Github, — отличное место для сбора различных
точек зрения, и вы можете использовать такие механизмы, как CODEOWNERS, чтобы зацикливаться на людях. Очевидно, что неаддитивные изменения в файле CODEOWNERS должны быть тщательно изучены.
Владельцы кода автоматически запрашиваются для проверки, когда кто-то открывает запрос на вытягивание, который изменяет принадлежащий им код.
Я трачу около недели каждый месяц или около того на ротацию, отвечая на вопросы людей, использующих API-интерфейсы, чувствительные к безопасности, и отвечая на вопросы разработчиков. По моему опыту, небольшая группа специалистов может поддерживать гораздо большую группу разработчиков, предоставляя хорошие инструменты, которые подходят для большинства вариантов использования, и обеспечивая достаточную гибкость, чтобы люди могли разобраться с остальными.
