第 155 期 - 庫拉皮卡總算有一點機會下船了!

本週專欄

Container Vulnerability Scanning — Not Just Shift Left Testing

近年來 DevSecOps 與 Shift Left Testing 在 DevOps 相關的技術討論中時常被提及,Container Scanning 便是其中一個相當重要的主題,一般想到的直覺做法就是在 CI/CD Pipeline 中加入 Container Image 掃描的步驟,當 Container Image 建置出來的時候就立即執行安全弱點掃描,假如掃描到風險高的安全弱點就將 CI/CD Pipeline 標為失敗,掃描不到具威脅性的安全弱點就允許部署到正式環境中,不過以資訊安全防禦方的角度來看,這樣就真的足夠了嗎?

答案當然是否定的,那麼要怎麼做會相對更安全,並且讓 DevSecOps 融入在開發流程的基因中,就是這篇文章想要探討的,文章會從什麼是 Container Scanning 開始談起,然後討論 Container 的生命週期,藉此暸解在每一個階段如何確保 Container 的安全無虞,最後提到當在 Container 中發現到安全弱點時該如何處置

前端開發

Futuristic CSS

作者他每年都會對開發者進行調查,詢問他們想要使用的工具和想學習的 CSS 技術(如果你也想成為數據之一,可以到這裡)。而在這篇文章中作者則會推測未來的 CSS 可能會走向什麼趨勢,作者提出來的特性都有想要解決的問題,可以看看哪些痛點也存在你我之間。 😂

Javascript Proxy: Using Javascript Proxies like a Pro

在不想要改變原有物件,但又需要在那之上增加一些行為的時候,使用 Proxy Pattern 通常都不失為一種解決方案,而且 Proxy 語法又是 JavaScript 本身提供的,使用起來真的相當方便!一起看看文章中的介紹吧!

What is CORS?

這篇文章會預設你已經擁有 HTTP 協定的相關知識(如果還不熟的話可以去看之前推薦的 這篇超可愛的文章),並向初學者說明的角度,用清楚的圖片解釋何謂 CORS,以及為什麼我們會碰到與它相關的錯誤。

軟體工程

如何進行 Code Review?

為了讓程式碼的品質維持在一定水準之上,code review 這個步驟非常重要。但具體來說,在做 code review 時到底要注意哪些地方呢?這篇文章給出了非常多實質的建議,讓你可以從各個方面去審核程式碼,才不會讓 code review 變成只是 merge 前過過水的固定儀式。

The 12 factor App 筆記

The 12 Factor App 這個概念雖然是好多年前發佈的了,但放到今日的軟體開發上還是非常有參考價值,在真的開始寫程式碼之前可以先參考 The 12 Factor App 的架構做設計,未來在開發、部署、維護的時候也許會比較輕鬆~

15 fundamental tips on REST API design

API 要怎麼設計一直都是門學問,有些設計得好那就算不讀文件也知道怎麼用,而有些亂寫一通的 API 就算有文件也是要讀得很辛苦才能搞懂(像是我公司的XD)。為了不想再看到爛 API,這篇文章分享了幾個在設計 REST API 時的重點,照著這個思維下去設計就能做出簡單、易讀、好用的 API Endpoint 喔~

網頁開發

When life gives you lemons, write better error messages

怎麼樣的錯誤訊息是好的呢?好的錯誤訊息又可以帶給我們什麼好處?這篇文章示範了什麼是好的錯誤訊息與如何撰寫的原則。由 UX 設計師撰寫的文章,讓錯誤訊息閱讀起來更加的有好的使用者體驗。

The HTTP crash course nobody asked for

作者以一個 HTTP 維護者的身分,提供了一個 HTTP 的快速攻略。本教學使用的是 Cargo,一個 Rust 的套件管理工具。教學從 HTTP 1.1 開始逐步進化到 HTTP 2 的過程。

SHA-3 Buffer Overflow

CVE-2022-37454這個漏洞讓 Python, PHP, PyPy, SHA3 for Ruby, and XKCP。而 XKCP 則是 SHA-3 的官方設計者的實作。所以影響的範圍讓 Python, PHP 等等的腳本語言都受到了影響。這篇文章帶我們看看 SHA-3 造成資安問題的原因與過程。

OpenSource

Postgres WASM

Postgres WASM 是一個運行於瀏覽器的 PostgreSQL Server,聽起來也太酷了,只要把該專案 git clone 下來之後執行 cd packages/runtime && npx serve,就可以使用瀏覽器拜訪 http://localhost:3000 來使用了!

cidr

身為一位 SRE 其實還滿常接觸到 IP Address 的,尤其是在設定防火牆規則的時候,對於 IP 的 CIDR 總是不像坐在旁邊的同事可以一眼就看出來他的範圍嗎?這時候就可以使用這個 cidr CLI 工具來偷作弊了,他可以幫你快速的計算出 CIDR 的範圍,告訴你這個 IP Address 是屬於哪個 CIDR 的!

Revup

想要成為 10 倍速工程師嗎?那可以考慮看看使用這個 Revup 小工具,他可以協助開發人員平行處理 Git Pull Request,透過對於 Commit Message 動手腳讓開發人員可以在本機端就同時建立多個 Git Pull Request,並且一樣也可以透過 Commit Message 來對於特定的 Pull Requet 去做後續操作,除此之外還有很多跟 Git 相關的功能,可以讓開發人員更有效率的開發。

StarBugs Weekly

StarBugs Weekly 由一群不寫文章就會想要亂花錢,但是又沒有那麼多錢,只好繼續寫文章的開發者所創立。
內容包含 Web 前端、中端、後端、DevOps、產品開發、精實創業,一切跟產品有關的知識,都是我們的守備範圍!
不想漏追科技新聞的人,趕緊把 StarBugs Telegram Bot 訂閱起來 https://t.me/starbugs_weekly_bot (對機器人說 /subscribe 即可)

另外,為了讓 Starbugs 的專欄有更多豐富、優質的內容,我們決定要開始誠徵 Writer 了。如果你本來就有在寫文章,對於文章的品質有要求、而且也樂於分享討論技術,那很歡迎你以 Writer 的身份加入我們。請動動手指頭私訊我們粉專 星巴哥技術週刊,並附上自我介紹跟最近寫的文章,就有機會加入我們唷 🙌

Writers:

  • @HannahLin - 從台灣到矽谷,熱愛前端的工程師女孩。
  • @KyleMo - 雜食性軟體工程師,喜歡的技術我都想學。
  • @Airwaves - Hi~我是 Airwaves,熱愛研究如何造輪子的前端工程師。
  • @Andy - 目標成為用嘴巴工作的工程師,專長為網頁開發以及 K8s。
  • @lazypro - 從 embedded 到 kernel,從 device 上雲端,程式無涯、無法靠岸,軟體的求道者。
  • @ianchen0119 - 5G 領域研究生,同時也是喜歡學習不同領域技術的工程師。
  • @00-talk - 我是 00,脖子痠痛的前端生命鬥士。

Maintainers:

  • @GQSM - Hi!我是神 Q 超人,一個先衝再說的男人。
  • @LarryLu - 我是 Larry,傳說中的 0.1 倍工程師!
  • @LukaTW - 一名全身都是死角的工程師。
  • @smalltown - 熱愛鑽研各種可以提升雲端服務品質及增進團隊開發效率的開源技術。
  • @RicoChen - 熱愛許多技術且努力看透技術的本質,如果有什麼好玩的技術,還請各位歡迎直接找我聊聊。

Feedback

本週呈現主題方式做了一些改變,希望讓讀者能夠更快速精準的找到自己要的資訊。也加入社群活動這個區塊,每週更新社群活動的資訊。如果有任何建議,歡迎私訊 星巴哥技術週刊 FB 粉絲專頁 與我們聯繫。