直接修改第三方库的内部实现,之所以在软件工程中,被视为一个极其糟糕的、应被严格禁止的坏习惯,其根本原因在于这种行为,会立即地、不可逆地,切断你的项目,与该库官方的“升级与维护”的生命线,从而,将你的项目,置于一个与世隔绝的、高风险的“技术孤岛”之上。这种看似“走捷径”的临时解决方案,会在未来,引发一系列灾难性的后果。这些后果,主要涵盖五个方面:会立即切断与官方的“升级路径”、使项目陷入“无法维护”的技术孤岛、极大地增加了“协作”与“交接”的成本、可能引入“未知的”安全漏洞与缺陷、以及违反了软件设计中最基本的“开闭原则”。
其中,切断与官方的“升级路径”,是最直接、也最具破坏力的后果。这意味着,从你修改那行代码的瞬间起,你就放弃了,未来,从官方,获取所有“安全补丁”、“性能优化”和“新功能”的权利。当官方发布一个修复了严重安全漏洞的新版本时,你将无法,通过简单的“一键升级”来获得保护,而必须,进行一次极其痛苦的、高风险的“手动代码合并”,这个过程,常常,比重新开发,还要困难。
一、问题的“诱惑”、为何开发者会“忍不住”修改源码
在探讨其“危害”之前,我们有必要,首先,去理解,是什么样的“诱惑”,在驱使着开发者,去冒着巨大的风险,打开那个不应被触碰的“潘多拉魔盒”。
通常,促使开发者,去修改第三方库源码的动机,往往是看似“合理”且“紧急”的:
紧急的“缺陷修复”:你,在项目开发中,发现,你所依赖的一个第三方库,存在一个致命的缺陷,这个缺陷,直接阻塞了你核心功能的开发。你,向官方,提交了问题报告,但官方的修复版本,可能,需要数周甚至数月,才能发布。而你的项目,却必须,在下周上线。此时,“自己动手,丰衣足食”,直接修改那行错误的代码,看起来,是唯一可行的“救火”方案。
“缺失的”微小功能:你需要的某个功能,99%的逻辑,那个库,都已经为你实现了。但就是,缺少了一个小小的、你所必需的“自定义”选项。此时,去阅读该库数万行的源码,找到那个关键点,并增加一个if判断,看起来,远比,在外部,重新,去实现一整套复杂的逻辑,要“经济”得多。
“不符合”预期的行为:库的某个默认行为,与你产品的业务逻辑,存在着微小但却关键的“不兼容”。例如,一个日期格式化库,其默认的“本地化”输出,不符合你产品用户的阅读习惯。
正是这些,源于“短期效率”和“项目压力”的巨大诱惑,使得许多开发者,最终,选择了“饮鸩止渴”,踏出了这危险的第一步。
二、代价一、升级的“炼狱”
这是直接修改源码,所带来的、最直接、也最痛苦的“惩罚”。
1. 创建“事实”上的“分叉”
当你,在自己的项目中,对一个从外部下载的、版本为1.1的库,哪怕只修改了一个字符,并将其,用于你的项目时。从这一刻起,你所使用的,就已经不再是那个公开的、标准的1.1版本了。你实际上是创造了一个全新的、全世界只有你一个人在使用的、一个被称为“分叉”的、私有的1.1.my-custom-fix版本。
2. 合并“上游”变更的痛苦
现在,假设,在一个月后,该库的官方,发布了一个极其重要的1.2版本。这个新版本,修复了10个严重的“安全漏洞”,并提升了30%的“运行性能”。此时,你作为一个负责任的开发者,必须将这些重要的更新,同步到你的项目中来。
然而,你已经无法,再像其他所有正常的用户一样,通过包管理工具,运行一条简单的update命令,来自动地,完成升级了。你所面临的,将是一场手动的、极其繁琐、且极易出错的“代码合并”的炼狱:
你需要,下载1.1版本的官方源码、1.2版本的官方源码、以及你自己修改过的那个1.1版本的源码。
然后,你需要,使用专业的“代码差异对比”工具,首先,去对比,两个官方版本之间,到底,变更了哪些文件、哪些代码行。
然后,,需要,再将这些官方的“变更集”,小心翼翼地,手动地,“移植”到你自己的那个、被修改过的版本之上。
在这个过程中,你有极大的概率,会遇到“合并冲突”——即,官方的修改,和你自己的修改,恰好,发生在同一行代码上。此时,你需要,像一位“代码考古学家”一样,去深入地,理解双方修改的“意图”,并做出一个艰难的、正确的“取舍”。
这个过程,对于一次小小的修订号升级,可能,还尚可应付。但如果你需要,从1.1版本,直接升级到一个全新的、包含了数千行代码改动的2.0主版本,那么,这次“手动合并”的工作量和风险,将是灾难性的。
3. 安全补丁的“永久缺失”
更致命的是,在很多情况下,因为合并的成本过高,团队,会选择“放弃”升级。这意味着,你的项目,将永远地,停留在那个陈旧的、包含了已知安全漏洞的版本之上,如同在网络世界中“裸奔”,随时,都可能,受到攻击。
三、代价二、协作与维护的“黑洞”
一个被私自修改过的库,会成为团队协作中的一个“信息黑洞”和“知识诅咒”。
知识的“孤岛化”:关于“我们到底,修改了,这个库的哪些地方?”以及“当初,为何要,做出这样的修改?”这些至关重要的“隐性知识”,通常,只存在于,那个最初进行修改的、单一开发者的“大脑”之中。它,没有被任何官方文档所记录。
新成员的“入职”噩梦:当一个新成员,加入团队时,他/她,会很自然地,根据项目中声明的X库 1.1版本,去网络上,查找并学习其“官方文档”。然而,当他/她,依据官方文档的说明,来调用库的某个函数时,却发现,其“实际行为”,与文档的描述,完全不符。这种“现实”与“文档”之间的割裂,会给新成员,带来巨大的困惑,并极大地,延长其融入项目的周期。
无法寻求“社区”帮助:当你在使用这个被“魔改”过的库,并遇到了一个诡异的问题时,你,将无法,去像Stack Overflow这样的、全球最大的开发者社区,去寻求帮助。因为,你所描述的问题,是发生在一个“独一无二”的、全世界只有你一个人在运行的“特供版”软件之上,任何外部的专家,都无法,为你,提供有效的帮助。
四、正确的“姿势”:遵循“开闭原则”
既然,直接修改源码,是一条通往“地狱”的“捷径”,那么,当我们,确实,需要对一个第三方库,进行“行为扩展”或“缺陷修复”时,“正确”的、“优雅”的姿势,应该是什么?
答案,就在于,软件设计中,那条最核心、最经典的“开闭原则”。 开闭原则,指的是,一个软件实体(如一个类、一个模块、一个函数),应该,对于“扩展”是“开放的”,而对于“修改”是“关闭的”。
这意味着,一个设计良好的第三方库,其本身,就应该,为我们,预留出一些“安全”的、“官方”的“扩展点”,来让我们,在不触及其内部源码的前提下,去实现我们的自定义逻辑。
1. 方案一:继承与多态 如果,库的作者,将其核心功能,封装在了一个“非终结”的类中,那么,我们就可以,通过“继承”,来创建出一个我们自己的“子类”。然后,在我们的子类中,去“重写”那个我们希望改变其行为的“父类方法”。
2. 方案二:组合与装饰器模式 这是一种比“继承”更灵活、耦合度更低的扩展方式。我们可以,创建一个自己的“包装类”,将那个第三方库的“原始对象”,作为我们包装类的一个“内部成员”。然后,在我们的包装类中,去实现与原始对象,完全相同的接口。对于那些,我们不关心的方法,我们的包装类,可以直接地,“委托”给内部的原始对象去处理。而对于那个,我们希望改变其行为的方法,我们则可以,在我们的包装类中,编写全新的、自定义的实现逻辑。
3. 方案三:利用“钩子”与“插件”系统 一个设计得更现代、更开放的库,通常,会提供一套明确的“事件钩子”或“插件”机制。它允许我们,编写一个独立的“插件”模块,并将其,“注册”到库的生命周期中的某个特定“扩展点”上。
4. 方案四(最后的手段):猴子补丁 在一些动态语言(如JavaScript, Python)中,存在一种被称为“猴子补丁”的、在“运行时”,动态地,去替换掉一个已存在类或对象的方法的技术。这,本质上,是一种“非官方”的、高风险的“热修复”手段,应被极度审慎地使用,并必须,附带详尽的、醒目的注释。
五、在流程与规范中“防范”
编码规范中的“红线”:团队的《编码规范》中,必须有一条“红线”级别的规则:“严禁,在未经正式的、由架构师和技术负责人共同参与的、高级别的技术方案评审的情况下,对任何第三方库的源码,进行直接的修改。”
代码审查的“警惕”:在进行代码审查时,审查者,应将“检查是否存在对第三方依赖的非标准使用或修改”,作为一个重要的检查点。
建立“技术决策”记录:如果,在万不得已的情况下,团队,经过了最审慎的评估,最终,决定,必须,对一个(例如,已经停止维护的)开源项目,进行“分叉”和“内部维护”,那么,这个重大的技术决策,及其背后的所有风险评估和长期的维护计划,都必须,被正式地、书面化地,记录在团队共享的知识库中(例如,一个由项目管理工具,所提供的知识库功能)。
常见问答 (FAQ)
Q1: 如果我只是修改了一行注释,或者一个打印语句,也有问题吗?
A1: 是的,依然有严重问题。因为,你的这个修改,同样,会改变这个文件的“哈希值”或“校验和”。这会导致,你的这个文件,与官方的、纯净的版本,产生“差异”,从而,在你未来的升级过程中,引发潜在的“合并冲突”。
Q2: “分叉”一个开源项目,和我们讨论的“直接修改”,是一回事吗?
A2: “分叉”,是一种公开的、正式的、遵循开源社区规范的“另立山头”的行为。它意味着,你,愿意,为这个新的“分支”,承担起长期的、公开的维护责任。而我们本文所批判的“直接修改”,则是一种私下的、临时的、不负责任的“篡改”行为,它只会,将你的项目,引入一个封闭的、无法维护的死胡同。
Q3: 什么是“猴子补丁”?它为什么有风险?
A3: “猴子补丁”,是一种在“运行时”,动态地,替换掉一个模块或类中,已有方法或属性的技术。其风险在于,它,是一种“全局性”的污染。你,在一个地方,打的“补丁”,可能会,以一种你完全意想不到的方式,“副作用”到系统中,另一个完全无关的、也使用了同一个库的模块。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:百晓生,转转请注明出处:https://www.chuangxiangniao.com/p/638886.html
微信扫一扫 
支付宝扫一扫 
