התלמוד של המפתחמסכת פיתוח מאובטח
2 הלכות
גיל התלות
התלות שלא עודכנה שלושה חודשים — חשודה. שלא עודכנה שנה — מסוכנת. שלא עודכנה שנתיים — הרי זה כנעילת דלת עם מנעול שבור ושלט "אנא לא להיכנס."
שכן חורי אבטחה מתגלים כל יום, ותלות ישנה אינה מקבלת תיקונים. ומי שאמר "אם זה עובד, אל תיגע בזה" — יזכור כי Log4Shell, Heartbleed, ו-XZ Utils עבדו גם הם, עד שלא עבדו.
ארבעת הדוולופרים
ארבעה סוגי דוולופרים בכל הנוגע לעדכון תלויות. כולם מכירים את הבעיה. רק אחד פותר אותה.
הראשון אומר: "אעדכן היום" — ואינו מעדכן. השני אומר: "אעדכן כשיהיה זמן" — והזמן לא מגיע לעולם. השלישי אומר: "אם זה עובד, אל תיגע" — וביום שמגיע ה-CVE הקריטי, נוגע בו בבהילות ושובר הכל. הרביעי מגדיר Dependabot, מעדכן כל שבוע, ואינו יודע את גודל מצוותו. איזהו הרביעי? זה שצוותו אוהבו, ומנהלו אינו יודע מה הוא עושה — אבל שמח שהכל עובד.