oapi-codegen'ın GitHub Güvenli Açık Kaynak Fonu Deneyimleri

oapi-codegen projesi, GitHub Secure Open Source Fund'ın üçüncü dönemine katılarak önemli deneyimler edindi. Projenin ana geliştiricisi, bu program sayesinde en iyi güvenlik uygulamalarına odaklanmak için ayrılan zamanın paha biçilmez olduğunu belirtti. oapi-codegen, OpenAPI spesifikasyonlarından Go kodu üreten bir araç olup, API'lerle etkileşim için istemci veya sunucu tarafı iskeleler oluşturur ve API istek/yanıt tiplerini tanımlar. Projenin, HTTP istek ve yanıtlarını işleyerek hassas verilere ve kimlik bilgilerine erişme potansiyeli nedeniyle güvenliği kritik öneme sahiptir. Üretilen kodun her zaman kullanıcılar tarafından detaylıca incelenmeyebileceği gerçeği, projenin kendi içinde güvenli olmasını zorunlu kılmaktadır.

Programın bir diğer ana hedefi, oapi-codegen'ın tek kişilik geliştirici havuzunu genişletmekti. Yaklaşık iki yıldır projenin bakımını tek başına üstlenen geliştirici, bu büyük ve karmaşık projenin sürdürülmesinin zaman alıcı ve zorlayıcı olduğunu ifade etti. Projenin, istek/yanıt doğrulama ara yazılımları veya çalışma zamanı tip dönüşümleri gibi alt projeleri de bulunmakta ve bunların da bakıma ihtiyacı vardır. Birçok büyük şirketin oapi-codegen'ı kullanmasına rağmen geri bildirim veya katkı sağlamaması, projenin sürdürülebilirliğini zorlaştırmaktadır. Geliştirici havuzunu artırma arayışında, projenin güvenliğinden ödün verilmemesi temel bir öncelikti. Bu nedenle, yeni üyeler eklenirken projenin ve kullanıcılarının başarısı için gerekli özenin gösterildiğinden emin olmak amacıyla GitHub Secure Open Source Fund'a başvuruldu. Örneğin, yeni bir işbirlikçinin depoya yazma erişimiyle Git etiketi göndermesi veya PR'ları ana dala birleştirmesi, otomatik araçlar tarafından yeni bir sürüm olarak algılanıp yaygınlaşabilir, bu da potansiyel güvenlik riskleri taşır. Program, bu tür riskleri yönetme konusunda destek sağladı.