Chromium hata ödülü sunan Money Tree Browser

 (lyra.horse)
2 puan yazan GN⁺ 2024-01-07 | 1 yorum | WhatsApp'ta paylaş

Chromium Money Tree Browser tanıtımı

  • Chromium Money Tree Browser, Chrome VRP (hata ödül programı) ödemelerini belirli dosyalardaki değişikliklerle (düzeltmelerle) ilişkilendiren bir web sitesidir.
  • Bu site oldukça basit şekilde hazırlanmıştır; kullanıcı deneyimi veya verilerin doğruluğu konusunda fazla beklentiye girmemek gerekir.
  • Hata ödülü dosya bazında paylaştırılır; örneğin $1000 değerindeki bir hatayı düzeltmek için 5 dosya değiştirildiyse, her dosyaya $200 atanır.
  • Veriler, Kasım 2023 başına kadarki bilgilere dayanmaktadır.

GN⁺ görüşü

  • Chromium Money Tree Browser, geliştiricilere ve güvenlik araştırmacılarına Chrome'un hata ödül programında hangi dosyaların düzeltildiğini ve buna bağlı ödüllerin nasıl dağıtıldığını görsel olarak gösteren ilgi çekici bir araçtır.
  • Bu site, hata düzeltmelerine yönelik ödüllerin nasıl hesaplandığına dair içgörü sunar ve güvenlik topluluğunda faydalı bilgilerin paylaşılmasına yardımcı olabilir.
  • Kullanıcı deneyimi ve veri doğruluğu konusundaki beklentileri düşük tutmak gerekse de, bu site açık kaynak projelerdeki güvenlik açıklarına yönelik farkındalığı artırmaya ve geliştiricileri güvenliği daha fazla önemsemeye teşvik etmeye katkı sağlayabilir.

İlgili okumalar

1 yorum

 
GN⁺ 2024-01-07
Hacker News yorumları

  • Geliştiricinin uzun süredir oluşturmak istediği bir özellikle benzer bir şeye duyulan ilgi

    • Bir dosyada veya dosyanın belirli bölümlerinde geçmişte yapılan değişikliklere dayanarak, belirli bir değişikliğin sorun çıkarma olasılığını hesaplama yönteminin kullanışlılığı üzerine düşünceler.
    • Her değişikliğe bir risk puanı verip bu puanı PR'a (Pull Request) bağlayarak kod gözden geçirenlere ekstra dikkat gerektiren kodu bildirmek ve dağıtım sırasında riskli değişiklikleri öne çıkaran bir sinyal olarak kullanma fikri.
    • Kod ekleme/silme nedeniyle yukarı veya aşağı kaydığında aynı kod bölümünü takip etmenin zor olması. Yalnızca satır numarasına dayanan algoritmalar sorunlu olabilir.
    • Yalnızca dosya düzeyinde yapılan çalışmanın bile yeterince faydalı olabileceğini düşündürüyor.

  • Belirli üçüncü taraf kütüphanelerdeki bazı düzeltmelerin eksik olduğuna dair işaret

    • Üçüncü taraf kütüphanelerdeki (ör. ffmpeg) bazı düzeltmeler eksik görünüyor. Bu tür düzeltmeler çoğu zaman önce upstream tarafta ele alındığı için takip edilmeleri zor olabilir.

  • Chrome tarayıcı arayüzündeki birçok hataya bakarken, performansın önemli olmadığı verilerde manuel bellek yönetiminin use-after-free sorunları üzerine düşünceler

    • "Dosya seç" iletişim kutusunun yaşam döngüsü gibi kodlarda, performans kritik olmamasına rağmen ortaya çıkan use-after-free sorunlarına dair gözlemler.
    • Bu tür kodlarda her zaman daha akıllı ama daha yavaş pointer'lar kullanmanın daha iyi olabileceğini düşündürüyor.
    • raw_ptr<T> gibi tiplerin bu konuda yardımcı olmak üzere tasarlanmış göründüğü ve gerçekten de [2]'deki çöküşe karşı savunmada başarılı olmuş olabileceği belirtiliyor.
    • Proje içinde performansa duyarlı kod ile performansın çok da önemli olmadığı kod arasında farklı bir lehçeye (dialect) geçiş yapmanın bir yolu olmaması üzücü bulunuyor.
    • Performansa duyarlı kısımlarla, çok sayıda asenkron durum nedeniyle hata çıkma ihtimali yüksek kısımları açıkça ayırmak için iki farklı dili karıştırmanın neredeyse değerli olup olmayacağı sorgulanıyor.

  • Görselleştirmenin etkisine övgü ve CPU kullanımıyla ilgili not

    • Çok temiz bir görselleştirme olduğu, ancak alanlar genişletildiğinde CPU kullanımının biraz yüksek olduğu belirtiliyor.
    • Chrome ekibinin içeride benzer araçlar kullanıyor olmasının beklendiği ve bunun saldırı yüzeyini anlamada yararlı olacağı söyleniyor.

  • Fikir ve uygulamaya övgü ile ham veriye dair soru

    • Fikrin harika olduğu ve uygulamanın da iyi yapıldığı yönünde övgü.
    • Ham veriye erişim olup olmadığı ve sunburst ya da tree map denemenin değerli olup olmayacağı soruluyor.

  • Belirli dosya türlerinin dahil edilmemesine yönelik öneri

    • DEPS, AUTHORS, BUILD.gn dosyalarının dahil edilmemesi yönünde ayrıntılı bir öneri.

  • Değiştirilen kod satırı sayısına göre ağırlık verme önerisi

    • Hatalara atanan 'para' miktarını, değiştirilen kod satırı sayısına göre ağırlıklandırmanın ilginç olacağı görüşü.
    • Dosya A'da 10 satır, dosya B'de 1 satır değiştirildiyse, hatanın büyük kısmı dosya A'dan geldiği için B'nin 1/11 oranında 'para' alması şeklinde bir öneri sunuluyor.

  • Dosya başına ortalama ödülü gösterme özelliği talebi

    • Her düğümde dosya başına ortalama ödülü gösteren bir özellik isteniyor.

  • Kod satırı sayısına göre normalize edilmiş tutar gösterimi fikri

    • Tutarların kod satırı sayısına göre normalize edilerek gösterildiği bir sürüm öneriliyor.

  • Çabanın hangi alanlara odaklanması gerektiğine dair görsel içgörüye övgü

    • Çabanın nereye yoğunlaştırılması gerektiğine dair görsel içgörü sunmasının çok etkileyici olduğu değerlendiriliyor.