У меня мало опыта, так что скорее всего глупость скажу, но...
А правда невозможно превратить фикс CVE в просто патч? Разделить сборку на два уровня, "инфраструктурный" и "пользовательский" образы, аля Separation of concerns. Из этих двух образов собирается финальный образ просто через объединение артефактов из этих двух (тут можно всё и лишнее выкинуть, если distortless).
Инфраструктурный готовит системные библиотеки и базовые образы. Затем при необходимости Copacetic устанавливает фиксы слоями прямо поверх образа без полной пересборки. Если уязвимость критическая и не чинится обновлением, то можно изменить лишь пользовательский образ, отключив нужную фичу/приделав костыль. Тогда каждое обновление произведёт пересборку, но она будет сильно короче, поскольку обновление инфраструктурного уровня накатывается поверх текущего, без каскадного эффекта, не трогает пользовательский, а сборка финального-это просто копирование, оно быстрое.
Для уменьшения боли от повторных прогонов по пайплайнам можно облегчить тесты, просто чтобы убедится, что совместимость не потерялась от изменений.
Дополнительные слои Copacetic увеличат образ, но раз в N времени можно проводить "ротацию" пересобирая образ чистеньким.
Минусы в том, что нужно будет хранить не пачку базовых образов, а кучу промежуточных инфраструктурных, но учитывая пееиспользование слоёв, это будет не так дорого.
Просто очередной модный бум, как было с криптой и нфт. Переболеют. Токенмаксинг-это нелепо. В будущем над этим будут смеяться так же, как сейчас смеются над индусским кодом, когда эффективность программиста оценивалась количеством строчек кода.
Успокоятся, поймут, что ИИ-это просто инструмент, который повышает эффективность как джуна, так и синьора (пусть и в немного другой плоскости).
Увы. Все всегда хотят побольше и подешевле. До ИИ это было невозможно.
Сейчас ситуация изменилась. Один тратит 4 часа на задачу, второй справляется за 5 минут. Кого наймут? Даже если решение плохое, оно работает. Оно приносит деньги прямо сейчас.
Даже если есть желание учиться и делать качественно, без коммерческого опыта реальной разработки этого достичь невозможно. Не тяжело, невозможно.
До ИИ не было джунов, способных решать задачи за 5 минут. Поэтому бизнес процесс был подстроен под осознание этого факта.
Очень часто джун был бы рад, будь у него место в настоящей команде, где платят минимальные деньги (речь не о 30 000, а чтобы был свет, интернет и пачка сосисок с чаем) и ставили адекватные джуну задачи. Но он будет делать задачу 4 часа и практически всегда бизнесу выгоднее нанять оператора клода, а не классического джуна старого поколения. Классический джун со стороны бизнеса-это как платить за обучение студента без гарантии, что он останется работать у тебя. Вайбкодерский джун-это прото лоу грейд кодер, закрывающий задачи уже сейчас.
У меня мало опыта, так что скорее всего глупость скажу, но...
А правда невозможно превратить фикс CVE в просто патч? Разделить сборку на два уровня, "инфраструктурный" и "пользовательский" образы, аля Separation of concerns. Из этих двух образов собирается финальный образ просто через объединение артефактов из этих двух (тут можно всё и лишнее выкинуть, если distortless).
Инфраструктурный готовит системные библиотеки и базовые образы. Затем при необходимости Copacetic устанавливает фиксы слоями прямо поверх образа без полной пересборки. Если уязвимость критическая и не чинится обновлением, то можно изменить лишь пользовательский образ, отключив нужную фичу/приделав костыль. Тогда каждое обновление произведёт пересборку, но она будет сильно короче, поскольку обновление инфраструктурного уровня накатывается поверх текущего, без каскадного эффекта, не трогает пользовательский, а сборка финального-это просто копирование, оно быстрое.
Для уменьшения боли от повторных прогонов по пайплайнам можно облегчить тесты, просто чтобы убедится, что совместимость не потерялась от изменений.
Дополнительные слои Copacetic увеличат образ, но раз в N времени можно проводить "ротацию" пересобирая образ чистеньким.
Минусы в том, что нужно будет хранить не пачку базовых образов, а кучу промежуточных инфраструктурных, но учитывая пееиспользование слоёв, это будет не так дорого.
Просто очередной модный бум, как было с криптой и нфт. Переболеют. Токенмаксинг-это нелепо. В будущем над этим будут смеяться так же, как сейчас смеются над индусским кодом, когда эффективность программиста оценивалась количеством строчек кода.
Успокоятся, поймут, что ИИ-это просто инструмент, который повышает эффективность как джуна, так и синьора (пусть и в немного другой плоскости).
Увы. Все всегда хотят побольше и подешевле. До ИИ это было невозможно.
Сейчас ситуация изменилась. Один тратит 4 часа на задачу, второй справляется за 5 минут. Кого наймут? Даже если решение плохое, оно работает. Оно приносит деньги прямо сейчас.
Даже если есть желание учиться и делать качественно, без коммерческого опыта реальной разработки этого достичь невозможно. Не тяжело, невозможно.
До ИИ не было джунов, способных решать задачи за 5 минут. Поэтому бизнес процесс был подстроен под осознание этого факта.
Очень часто джун был бы рад, будь у него место в настоящей команде, где платят минимальные деньги (речь не о 30 000, а чтобы был свет, интернет и пачка сосисок с чаем) и ставили адекватные джуну задачи. Но он будет делать задачу 4 часа и практически всегда бизнесу выгоднее нанять оператора клода, а не классического джуна старого поколения. Классический джун со стороны бизнеса-это как платить за обучение студента без гарантии, что он останется работать у тебя. Вайбкодерский джун-это прото лоу грейд кодер, закрывающий задачи уже сейчас.