StackOverflow平台传播范围最广的代码段包含一个错误

电子说

1.3w人已加入

描述

对于开发者而言,Stack Overflow和GitHub是最为熟悉不过的两大平台,这些平台充斥着大量开源项目信息和解决各类问题的代码片段。而就在近日,Palantir的Java开发人员,也是StackQflow(与编程相关的问题的问答网站)中排名最高的参与者之一 Andreas Lundblad 却承认,一段自己十年前写的代码,也是Stack Overflow上复制次数最多、传播范围最广的代码段均包含一个错误。

据悉,2018年发表的一篇学术论文[PDF]确定了在网站上发布的代码片段Lundblad是从StackOverflow提取的复制最多的Java代码,然后在开源项目中重复使用。

该代码段以人类可读格式(例如123.5 MB)打印了字节数(123,456,789字节)。学者发现,此代码已被复制并嵌入到6,000多个GitHub Java项目中,比其他任何StackOverflow Java代码段都多。

JAVA

而在上周发布的博客文章中,Lundblad 则承认,该代码存在缺陷,并且错误地将字节数转换为人类可读的格式。他表示,在学习了学术论文及其结果之后,已重新审视了代码。同时再次查看了该代码,并在其博客上发布了更正的版本。

STACKOVERFLOW代码有时包含安全性错误

据了解,尽管Lundblad 的代码段是存在一个琐碎的转换错误,仅导致文件大小估计稍有不准确,但情况或许可能会更糟。例如,该代码可能包含安全漏洞。如果这样做的话,那么修复所有易受攻击的应用程序将花费数月甚至数年,使用户容易受到攻击。

事实上,即使普遍认为从StackOverflow复制粘贴代码是一个坏主意,但开发人员还是一直这样做。

2018年的研究论文显示了这种做法在Java生态系统中的普及程度,并揭示了复制流行的StackOverflow答案的绝大多数开发人员甚至都没有理会其来源。

从StackOverflow复制代码但没有署名的软件开发人员,实际上对其他编码人员隐藏了他们已经在项目内部引入未经审查的代码的情况。

这听起来像是一个过于警惕的声明,但在2019年10月发表的另一项学术研究项目[PDF]显示,StackOverflow代码段确实包含漏洞。该研究论文在过去十年中在StackOverflow上发布的69种最流行的C ++代码片段中发现了主要的安全漏洞。

研究人员透露,他们在总共2859个GitHub 项目中发现了这69个易受攻击的代码片段,显示了一个错误的StackOverflow答案如何对整个开源应用生态系统造成破坏。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分