从 StackOverFlow 复制过来的代码，结果......

（贸然复制代码的后果……）

StackOverflow 已经成为许多程序员的救星，包括我。

在编程中，我们经常会搜索问题或 bug ，然后跳转到 Stack Overflow 寻找答案。这个习惯很方便，但在无意中，我们可能会使用一些包含严重错误的代码。即使大家都知道从 StackOverflow 复制粘贴代码是一个坏主意，但开发人员仍然会这样做。

复制代码本身并不总是一件坏事。

代码重用可以提高软件开发效率，为什么要解决一个已经被解决好了的问题呢？

但是，当开发人员使用示例代码却没有试图理解其含义时，就可能出现问题。

—— 瑞安 - 多诺万

你可能会认为这是在危言耸听，但我可以向你保证，他不是。

最近我遇到了几件引起我注意的事情，我将对每一件事做一个简短的介绍。

Ctrl C + Ctrl V ，完成工作！

Illustration by Mateusz Kupilas

一、迄今为止，StackOverflow 上复制数最多的 Java 代码是有缺陷的！

我第一次看到这个是在一个博客上。而这篇博客文章，是由那段代码的作者亲自写的。

这段代码的作者安德里亚斯是 Palantir 的 Java 开发人员，也是 StackOverflow 排名最高的贡献者之一，他承认了这个缺陷。

2018 年，塞巴斯蒂安・巴尔特斯 (Sebastian Baltes) 在《实证软件工程》期刊上发表了一篇研究论文，其中指出安德里亚斯在 StackOverflow 上发布的一段代码片段是复制最多的 Java 代码，并在开源项目中被重复使用。它已经被复制和嵌入到 6000 多个 Github Java 项目中。

这个代码片段于 2010 年发布在 Stack Overflow 上，它的功能是将字节计数转换为更易于阅读的格式。例如将 1024 字节转换为 1kB 或将 1048576 字节转换为 1 MB。

在被 Sebastian Baltes 告知他的代码造成的影响后，安德里亚斯重新访问了代码，并在他的博客上发布了一个更正后的版本。

在文章的最后，安德里亚斯为开发者提供了一些有价值的建议:

• 堆栈溢出代码段可能会有 bug，即使它有着成千上万的赞成票。

• 请测试所有特殊情况，特别是从 StackOverflow 复制的代码。

• 在复制代码时，一定要注明代码的来源。

尽管这个 bug 是一个很小的事件，只会导致对文件大小的不准确估计，但实际情况可能更糟。让我们看更多的例子。

二、StackOverflow 上流传最广的 c++ 代码也有缺陷

Morteza Verdi 等人在 2019 年发表的一篇研究论文发现，在过去 10 年里，StackOverflow 上最流行的 c++ 代码片段中存在 69 个重大安全漏洞。

这 69 个代码片段被使用在 2589 个 GitHub 项目里。研究人员认为，其中最常见漏洞是 CWE150:

CWE 是社区开发的常见软件和硬件安全缺陷列表。它可以作为一种通用语言、安全工具的度量标准。

论文的研究人员开发了一个 chrome 扩展，可以提醒开发者他们正在查看的 StackOverflow 代码片段是否存在安全漏洞。

三、在 Windows 系统中，你不能同时打开 Docker 和雷蛇驱动，因为它们包含了 StackOverflow 的 Bug

两年前，windows 上的 Docker 出现了一个奇怪的问题。人们无法在 windows 系统中启动 Docker。这个奇怪的问题是一个 Github 用户发现的，其他的用户说他们也遇到过这个问题。

没有人知道到底哪里出了问题，直到 Reddit 的这篇文章出现。

当雷蛇驱动在后台运行时，如果您尝试运行 Docker 时就会遇到这个问题。Docker 会认为已经有一个实例在运行，所以不会启动。

两个应用程序都只希望运行自己的一个实例。尽管这似乎是一个合理的要求，但这可能是错误的根本原因。导致 Bug 的错误代码是这样的：

问题在于：返回的 GUID 是 System.Reflection.RuntimeAssembly  的 GUID 类型，并不是 Docker 中为 Windows 程序集定义的类型的 GUID。

有趣的是：

如果只有一个应用程序使用了上述的代码片段，是不会出现问题的。但如果两个程序都使用了错误的代码片段就会报错。

猜猜这两个应用程序的代码片段是从哪里来的呢？

—— StackOverflow

这就是他们获取错误代码的问题来源：

现在你已经看不到这个有缺陷的答案了，因为他们已经重新编辑过了。如果您想自己查看，可以访问该页面的旧存档。

四、我应该放弃复制代码吗？

并不是。

StackOverflow 对于当今的任何开发人员都是必不可少的，但是在项目中发现的大多数问题都是基本的安全错误。如果你知道你在复制什么，那么使用它也没什么坏处。但是为了使代码可以用于生产，你应该有足够的测试，特别是针对一些边缘情况的测试。

“如果你借东西，但不明白借的是什么，你就会陷入这些代码的陷阱，掉入潜在的漏洞。然后你又把这些东西传播开了。”

如果您要使用这些代码，先去理解它。

—— 瑞安・多诺万

最后，祝大家编程快乐！

作者：Mahdhi Rezvi

出处：https://medium.com/better-programming/why-code-snippets-from-stack-overflow-can-break-your-project-ced579a48ddb

翻译：实验楼

❞

完