El código es el elemento vital del mundo moderno, sin embargo, las herramientas para algunos entornos de programación pueden ser notablemente espartanas. Si bien los desarrolladores han tenido acceso durante mucho tiempo a entornos de programación gráfica (IDE) y perfiladores de rendimiento y depuradores, los productos avanzados para analizar y mejorar líneas de código han sido más difíciles de encontrar.
En estos días, la herramienta más típica del kit es un linter, que escanea el código para señalar fallas que podrían causar problemas. Por ejemplo, puede haber demasiados espacios en una línea, o una línea en particular puede tener una ambigüedad bien conocida que podría causar errores que son difíciles de diagnosticar y es mejor evitarlos.
Sin embargo, ¿qué pasaría si pudiéramos expandir el poder de los linters para hacer mucho más? ¿Qué pasaría si los programadores tuvieran un asistente que pudiera analizar su código y señalar activamente nuevos problemas de seguridad, código erróneo, problemas de estilo y mala lógica?
El análisis de código estático es una rama completamente interesante de la informática, y algunas de esas ideas se han filtrado al mundo real con herramientas como semgrep, que se desarrolló en Facebook para agregar herramientas de verificación de código más sólidas a su flujo de trabajo de desarrollador. Semgrep es un proyecto de código abierto y se comercializa a través de r2c, una startup que quiere llevar el poder de esta herramienta a las masas de desarrolladores.
Todo el proyecto ha encontrado suficiente tracción entre los desarrolladores que Satish Dharmaraj en Redpoint y Jim Goetz de Sequoia se unieron para invertir 13 millones de dólares en la empresa para su ronda de la Serie A, y también respaldaron a la empresa en una ronda de semillas anterior no anunciada.
La empresa fue fundada por tres graduados del MIT: el director ejecutivo Isaac Evans y Drew Dennison eran compañeros de cuarto en la universidad y se unieron al director de producto Luke O’Malley. A través de sus diversas experiencias, han trabajado en Palantir, la comunidad de inteligencia y compañías Fortune 500, y cuando Evans y Dennison eran EIR en Redpoint, exploraron ideas basadas en lo que habían visto en sus amplias experiencias de codificación.
El equipo de r2c, que supongo que solo escribe código sin errores. Foto de r2c.
“Facebook, Apple y Amazon están muy por delante cuando se trata de lo que hacen a nivel de código para mejorar la seguridad [into their products compared to] otras empresas, ni siquiera es divertido ”, explicó Evans. Las grandes empresas de tecnología han escalado enormemente su infraestructura de codificación para garantizar estándares de codificación uniformes, pero pocas otras tienen acceso al talento o la tecnología para estar en igualdad de condiciones. A través de r2c y semgrep, los fundadores quieren cerrar la brecha.
Con la tecnología de r2c, los desarrolladores pueden escanear sus bases de código bajo demanda o hacer cumplir una verificación de código regular a través de su plataforma de integración continua. La compañía proporciona sus propios conjuntos de reglas de plantilla (“paquetes de reglas”) para verificar problemas como agujeros de seguridad, errores complicados y otros errores potenciales, y los desarrolladores y las empresas pueden agregar sus propios conjuntos de reglas personalizados para hacer cumplir sus propios estándares. Actualmente, r2c admite ocho lenguajes de programación, incluidos Javascript y Python, y una variedad de marcos, y está trabajando activamente en una mayor compatibilidad.
Un enfoque único para r2c ha sido lograr que los desarrolladores se incorporen al modelo. La tecnología central sigue siendo de código abierto. Evans dijo que “si realmente quieres algo que va a obtener una amplia adopción por parte de los desarrolladores, tiene que ser predominantemente de código abierto para que los desarrolladores puedan realmente meterse con él y hackearlo y ver si es valioso o no sin tener que preocuparse por algún tipo de licencia súper restrictiva “.
Más allá de su modelo, la clave ha sido conseguir que los desarrolladores utilicen realmente la herramienta. A nadie le gustan los errores y ningún desarrollador quiere encontrar más errores que tenga que corregir. Sin embargo, con semgrep y r2c, los desarrolladores pueden obtener comentarios mucho más inmediatos y completos, ayudándolos a corregir errores complicados antes de seguir adelante y olvidar el contexto de lo que estaban diseñando.
“Creo que una de las cosas más interesantes para nosotros es que los desarrolladores nunca han adoptado ninguna de las herramientas existentes en el espacio, pero para nosotros, se trata de equipos de desarrolladores 50/50 que están entusiasmados con eso en comparación con los equipos de seguridad que se entusiasman con “, dijo Evans. Los desarrolladores odian encontrar más errores, pero también odian escribirlos en primer lugar. Evans señala que la métrica clave de la empresa es la cantidad de errores encontrados que los desarrolladores realmente corrigen, lo que indica que están ofreciendo “resultados buenos y procesables” a través del producto. Un área que r2c ha explorado es parchear activamente errores obvios, ahorrando tiempo a los desarrolladores.
Las infracciones, los errores y el tiempo de inactividad son la base del software, pero no tiene por qué ser así. Con más de una docena de empleados y una gran cantidad de capital, r2c espera mejorar la confiabilidad de todas las experiencias que disfrutamos y ahorrar tiempo a los desarrolladores en el proceso.
Source link