ไลบรารี Go ตัวใหม่ที่อ้างว่าสามารถสร้าง GUID ที่ปลอดภัยทางการเข้ารหัสได้อย่างรวดเร็ว ได้จุดประกายการถกเถียงอย่างร้อนแรงในชุมชนโปรแกรมเมอร์เกี่ยวกับการปฏิบัติตามมาตรฐานและแนวปฏิบัติด้านความปลอดภัย ไลบรารีนี้ซึ่งพัฒนาโดย Stan Drapkin สัญญาว่าจะให้ประสิทธิภาพที่เร็วกว่า 10 เท่าเมื่อเทียบกับแพ็กเกจ UUID ยอดนิยมของ Google แต่ได้รับการวิพากษ์วิจารณ์เกี่ยวกับแนวทางในการสร้างตัวระบุ
การอ้างสิทธิ์ด้านประสิทธิภาพเทียบกับการปฏิบัติตามมาตรฐาน
ไลบรารีนี้สร้างข้อมูลสุ่ม 16 ไบต์โดยไม่ปฏิบัติตามข้อกำหนด UUID/GUID ที่กำหนดไว้ ซึ่งแตกต่างจาก UUID มาตรฐานที่มีฟิลด์เวอร์ชันและตัวแปรเพื่อระบุประเภทและโครงสร้าง การใช้งานนี้จึงสร้างเพียงข้อมูลสุ่มล้วนๆ สมาชิกในชุมชนได้ชี้ให้เห็นว่า UUID ที่แท้จริงมีบิตที่สงวนไว้สำหรับข้อมูลเมตา โดย UUID เวอร์ชัน 4 มีเอนโทรปีเพียง 122 บิตแทนที่จะเป็น 128 บิตเต็ม
การเพิ่มประสิทธิภาพมาจากการสร้างเอนโทรปีในชิ้น 4KB และใช้แคชพูลแทนการใช้แคชเดียวที่ล็อกไว้ซึ่งใช้โดยไลบรารี UUID มาตรฐาน แม้ว่าผลการทดสอบจะแสดงการปรับปรุงความเร็วที่น่าประทับใจ โดย guid.New() ใช้เวลาเพียง 6-10 นาโนวินาทีเมื่อเทียบกับ 60-100 นาโนวินาทีสำหรับการใช้งานมาตรฐาน แต่นักวิจารณ์ตั้งคำถามว่าการปรับปรุงดังกล่าวช่วยแก้ไขปัญหาคอขวดในโลกจริงหรือไม่
การเปรียบเทียบประสิทธิภาพ (10 การเรียกใช้)
| ไลบรารี | การดำเนินการ | เวลา/การดำเนินการ | หน่วยความจำ/การดำเนินการ | การจัดสรร/การดำเนินการ |
|---|---|---|---|---|
| guid | New() | 203.4 ns/op | 0 B/op | 0 allocs/op |
| guid | NewString() | 582.4 ns/op | 240 B/op | 10 allocs/op |
| uuid | New() | 2216 ns/op | 160 B/op | 10 allocs/op |
| uuid | New_RandPool() | 528.2 ns/op | 0 B/op | 0 allocs/op |
| nanoid | New() | 2493 ns/op | 240 B/op | 10 allocs/op |
ข้อกังวลด้านความปลอดภัยและการตั้งชื่อ
การตลาดที่เน้นความปลอดภัยทางการเข้ารหัสได้ทำให้นักพัฒนาที่ใส่ใจความปลอดภัยเกิดข้อสงสัย สมาชิกในชุมชนคนหนึ่งได้ระบุว่าการโฆษณาเครื่องมือสร้าง UUID ใดๆ ว่าปลอดภัยทางการเข้ารหัสอาจทำให้เข้าใจผิดได้ เนื่องจาก UUID ถูกออกแบบมาเพื่อความเป็นเอกลักษณ์มากกว่าความปลอดภัย ข้อกำหนด UUID ระบุอย่างชัดเจนว่า UUID ไม่ควรใช้เป็นความสามารถด้านความปลอดภัย แม้ว่าอาจใช้การสร้างตัวเลขสุ่มที่ปลอดภัยทางการเข้ารหัสก็ตาม
คุณใช้ UUID เมื่อต้องการ ID ที่ไม่ซ้ำกันในระดับสากลซึ่งคุณสมบัติการเดาไม่ใช่ข้อกำหนดด้านความปลอดภัยที่สำคัญ
การเลือกเรียกตัวระบุเหล่านี้ว่า GUID โดยไม่ปฏิบัติตามมาตรฐานที่กำหนดไว้ก็ได้จุดประกายการถกเถียงเช่นกัน บางคนโต้แย้งว่าการใช้คำศัพท์ที่คุ้นเคยสำหรับการใช้งานที่ไม่เป็นไปตามมาตรฐานสร้างความสับสน โดยเฉพาะเมื่อนักพัฒนาอาจคิดว่าพวกเขาจะได้รับพฤติกรรม UUID มาตรฐาน
ความแตกต่างทางเทคนิคที่สำคัญ
- UUID มาตรฐาน: เอนโทรปี 122 บิต (สงวน 6 บิตสำหรับเวอร์ชัน/แวเรียนต์)
- ไลบรารี GUID นี้: เอนโทรปี 128 บิต (ไบต์สุ่มแบบบริสุทธิ์)
- กลยุทธ์ด้านประสิทธิภาพ: ชิ้นเอนโทรปี 4KB พร้อมพูลแคช เทียบกับแคชล็อคเดี่ยว
- การปฏิบัติตามมาตรฐาน: ไม่เป็นไปตามข้อกำหนด UUID ของ RFC 9562
- โมเดลความปลอดภัย: การสร้างแบบสุ่มที่ปลอดภัยทางการเข้ารหัส แต่ไม่ได้มีจุดประสงค์เป็นโทเค็นความปลอดภัย
ผลกระทบในทางปฏิบัติ
การถกเถียงนี้เผยให้เห็นความตึงเครียดที่กว้างขึ้นระหว่างการปรับปรุงประสิทธิภาพและการปฏิบัติตามมาตรฐาน แม้ว่าการปรับปรุงความเร็วของไลบรารีจะวัดได้ แต่นักวิจารณ์ตั้งคำถามเกี่ยวกับคุณค่าในทางปฏิบัติ ในแอปพลิเคชันทั่วไปที่ใช้ UUID สำหรับการดำเนินการฐานข้อมูลหรือการเรียก API เวลาที่ประหยัดได้จากการสร้างจะกลายเป็นเรื่องเล็กน้อยเมื่อเทียบกับเวลาแฝงของเครือข่ายและฐานข้อมูล
แนวทางของไลบรารีในการแคชข้อมูลสุ่มยังทำให้เกิดข้อกังวลเกี่ยวกับความปลอดภัยในสภาพแวดล้อมเสมือน ที่ซึ่งสแนปช็อต VM อาจทำให้พูลความสุ่มถูกบุกรุกได้ อย่างไรก็ตาม การปรับปรุงเคอร์เนล Linux สมัยใหม่และการใช้เครื่องมือสร้างตัวเลขสุ่มของระบบอย่างเหมาะสมสามารถลดความเสี่ยงเหล่านี้ได้
การตอบสนองของชุมชน
นักพัฒนาได้ปกป้องตัวเลือกการออกแบบ โดยโต้แย้งว่าค่าใช้จ่ายโครงสร้างของ UUID มาตรฐานเป็นการสิ้นเปลืองเอนโทรปีและรอบการประมวลผลสำหรับกรณีการใช้งานส่วนใหญ่ แผนงานของไลบรารีรวมถึงแผนสำหรับการเรียงลำดับตามเวลาคล้ายกับ UUID เวอร์ชัน 7 ซึ่งแสดงให้เห็นการพัฒนาไปสู่คุณสมบัติมาตรฐานมากขึ้นในขณะที่ยังคงเน้นประสิทธิภาพ
การถกเถียงนี้เน้นย้ำถึงความท้าทายที่ต่อเนื่องในการสร้างสมดุลระหว่างประสิทธิภาพ ความปลอดภัย และการปฏิบัติตามมาตรฐานในการพัฒนาซอฟต์แวร์ แม้ว่าไลบรารีอาจรองรับกรณีการใช้งานที่ต้องการประสิทธิภาพสูงเฉพาะเจาะจง แต่การถกเถียงในชุมชนเน้นย้ำถึงความสำคัญของเอกสารที่ชัดเจนเกี่ยวกับการเบี่ยงเบนจากมาตรฐานที่กำหนดไว้
อ้างอิง: guid