各位是从哪里获取code review的动力的？

水木社区手机版

主题:各位是从哪里获取code review的动力的？
42楼|leadu|2021-12-01 17:54:27|展开
楼上诸位对于公司给的code review的任务都如此嫌弃，那为啥会有人认同Linux宣传的“有无数只眼睛帮你检查，很安全”呢？
--
FROM 123.116.198.*
45楼|leadu|2021-12-01 23:07:14|展开
查出来的可以说是review有效的，也可以说还有海恩法则，后面还有很多未暴露的。
取决于以乐观角度还是以悲观角度看。安全问题以乐观角度看，还是太乐观了，哈哈
而且还有Linux heartbleed漏洞呢

所以我觉得Linux所谓的有无数只眼睛帮你看着，也许就是个自欺欺人的说法
全球开发人员负责，其实就是全都不负责。
漏洞可能逃过code review，code review了也查不出来，最后还都不需要负责
【在 z16166 的大作中提到: 】
: 公司是拿钱干活。当然可以拔高，并不妨碍要求高的人往高层次的地方去想，“为了跟公司一起实现自我价值”、“为了服务用户/客户”等等言论都是OK的。但基本面就是一份拿钱的工作，一旦出问题被罚，应该能体会到资本/绩效的无情，这是它的下限。视工作为盖大教堂的，和视工作为砌墙搬砖的，可以区分对待。
: linux那个代码review、fuzzy啥的，不同的人有各种目的。
: 前一阵还有人吐槽华为有人往里面提交低质量的代码，
: ...................
--
FROM 123.116.198.*
46楼|leadu|2021-12-01 23:09:09|展开
豆大，给钱压kpi都出现如此多的问题的流程，用爱就可以克服么？
【在 adoal 的大作中提到: 】
: 打工让快乐的劳动异化^o^
:
--
FROM 123.116.198.*
48楼|leadu|2021-12-01 23:39:06|展开
【在 iMx 的大作中提到: 】
: 花钱让人看不愿意，但是找代码copy自己用估计会看的
谁用Linux之前会把Linux代码看一遍，增量的也不会看
: 问题是，发现问题了，并不意味着会曝光并修复
对，这个也是个问题，对于黑客来说，自己偷着用获利可能更高
:
: ...................
--
FROM 123.116.198.*
90楼|leadu|2021-12-13 12:09:38|展开
https://www.mysmth.net/nForum/#!article/Programming/198651
这个用户群可都是开发者，咋也这么大漏洞呢？开源的号称的无数人帮你review，是真的吗？
【在 moudy 的大作中提到: 】
: 开发者看代码和用户看代码，那效率天壤之别
--
FROM 123.116.198.*
92楼|leadu|2021-12-13 19:07:42|展开
没出问题说review有效果，出了问题也说review有效果...

这次明显就是安全团队的做事风格，是安全研究发现还是监测发现还说不好。
研发人员发现问题一般是直接补，而不是四处爆。安全人员发现漏洞算产出，行为不一样。
安全团队的叫漏洞利用，可不叫review。绝大部分安全人员的精力也是在windows等几个商业软件身上的。

这次明显是log4j社区的code review完全失效，被不知道哪的安全人员发现利用。log4j的开发人员也不需要为此负责。商业软件要出这事，开发人员的奖金没了，同事之间声誉也会受到影响

所以开源软件那句“全球无数人员帮你review”纯粹是自己给自己贴金

【在 z16166 的大作中提到: 】
: 这不就是阿里review出来的？
: 知道JNDI会导致RCE，然后去找哪些可能有JNDI的。不过我这是放马后炮，哈哈
:
--
FROM 123.116.198.*
94楼|leadu|2021-12-13 19:14:15|展开
这个就是无关讨论了。总之不能把漏洞爆破当成review的效果，这是review失效的结果

【在 z16166 的大作中提到: 】
: 第一句有问题。没出问题，不等于review有效果啊
: fuzzy test不是通常说的代码review，只能算是测试。前面没严格区分这个东西。
:
--
FROM 123.116.198.*
96楼|leadu|2021-12-13 19:21:50|展开
ok，那你也认为质量最终还是靠测试和其他手段。
说起其他手段来，纯社区开源的产品哪有事后追责手段？也没有。专业测试力量？也没有。
纯社区开源的其他的手段，就是一句：不爽自己改

【在 z16166 的大作中提到: 】
: 哪里有写着开源代码的质量仅仅靠全世界的code review而没靠测试和其他手段就得到保证的？
:
--
FROM 123.116.198.*
97楼|leadu|2021-12-13 19:37:35|展开
无数开源吹无数次说过的事情，为啥会有别人立靶子的错觉呢。百度一下开源眼睛
https://www.zhihu.com/question/43647982
https://blog.csdn.net/weixin_34291004/article/details/90355028
https://baike.baidu.com/item/%E5%9F%83%E9%87%8C%E5%85%8B%C2%B7%E5%8F%B2%E8%92%82%E6%96%87%C2%B7%E9%9B%B7%E8%92%99%E5%BE%B7/9716573
https://baike.baidu.com/item/%E6%9E%97%E7%BA%B3%E6%96%AF%E5%AE%9A%E5%BE%8B

【在 z16166 的大作中提到: 】
: 哪里有写着开源代码的质量仅仅靠全世界的code review而没靠测试和其他手段就得到保证的？
: “开源代码的质量仅仅靠全世界的code review就比闭源软件质量高”，这估计是某些人自己想象出来的一种论调，然后就把这个论调当靶子批了吧
:
--
FROM 123.116.198.*
102楼|leadu|2021-12-14 00:04:19|展开
没有哪个主要，只是表示这个讨论是需要一下common sense的，而不是所谓的别人立个靶子

【在 z16166 的大作中提到: 】
: 这里面主要的是下面这个吧？
:
: 真的有人会认为“眼睛”只代表review代码，而不包含测试代码等？
: ...................
--
FROM 123.116.198.*