JIT 56 - Není všechno zlato, co se třpytí

Ahoj,
zelená fajfka v pipeline je sice fajn, ale co když ti lže do kapsy? Dnešní díl je o tom, nenechat se ukolébat falešným pocitem bezpečí. Podíváme se pod kapotu nástrojů, které používáš každý den, a ukážeme si, kde číhají pasti – od zrádných SVG filtrů přes děravé GitHub Actions až po "samoopravné" testy, které spíš maskují problémy. Ale neboj, nebude to jen strašení. Přihodíme i návod, jak z testů vytřískat víc informací, jak je zrychlit a jak díky cachování ušetřit balík na AI. Tak neváhej a pojď odhalit, co se skrývá pod povrchem!

SVG není jen na ikonky, ale i na krádeže

SVG není jen na hezké ikonky, ale nově i na krádeže kliků. Útočníci využívají filtry k deformaci UI přímo před očima uživatele, takže klikáš na něco úplně jiného, než vidíš. A nejhorší na tom je, že prohlížeč si myslí, že je vše v naprostém pořádku. Pokud nechceš, aby tvá appka sloužila jako loutka hackerům, musíš znát obranu.

Ruská ruleta v tvé pipeline

Změnil*a jsi nula řádků kódu, a přesto build padnul? Vítej ve světě nestabilních závislostí v GitHub Actions. Tím, že nemáš „lockfile“ pro své workflow, se ti při každém spuštění může stáhnout trochu jiný kód. A to je nejen otravné, ale hlavně nebezpečné z pohledu bezpečnosti. Článek rozebírá, proč je tenhle systém „broken by design“ a proč by pro tebe commit SHA měl být novým standardem, pokud to s integritou myslíš vážně.

Jen zelená to může být

Cesta do pekel produktu může vypadat různě. Přispět k tomu může i špatně pojatý self-healing testů. Testy, které AI opraví ještě za běhu. Bez žádné kontroly, což může vést k tomu, že nám na produkci projde nepěkný bug. Proto mysleme, když zapojujeme AI do vývoje, ať si zmytečně nezpůsobujeme problémy. V JITu 54 jsme sdíleli článek o self-healing procesu automatizovaných testů. Pointou článku bylo, že oprava probíhá v samostatné větvi a nakonci se vytvoří pull request na schválení.

10x spadl ten samý test?!

Představ si, že opravuješ spadlé automatizované testy. Opravíš je, pustíš je a oni spadnou hned na další kontrole. Je to frustrující a občas to žere čas. Zvlášť jde jen o víc kontrol za sebou. Bylo by příjemné vědět naráz, co vše je v háji. Autor v článku rozebírá možnost soft assertion, které neshodí test rovnou, ale nakonci dají shrnutí, co je rozbité. Tak neváhej a přečti si, kdy se ti to může hodit, a které nástroje to umožňují.

Rychleji! Rychleji!

Paralelizace byla v testování dlouho potíž. Ještě stále s ní můžeš bojovat (většinou u starších codebase). Playwright s tím problém nemá. Snaží se efektivně využívat zdroje tvého počítače. Ale co když tvůj počítač už nestačí a chceš mít rychlejší testy? Pak je tu sharding - možnost běžet testy paralelně na více zařízeních. Tak nezapomeň psát na sobě nezávislé testy, které si po sobě uklízí.

Přestaň pálit peníze za stejná slova

Posíláš modelu pokaždé ten samý systémový prompt nebo dlouhý kontext? Je to jako kupovat si nový lístek na vlak na každé zastávce. Prompt caching ti ušetří až 90 % nákladů tím, že si pamatuje už zpracované části vstupu (tzv. KV cache). Chceš chápat, jak fungují tokeny, kontextová okna a jak z AI dostat maximum bez zbytečných nákladů? Přesně tyhle principy (a mnohem víc) rozebíráme v našem kurzu Pochop AI. Přečti si článek a zjisti, jak zrychlit své agenty a přestat dotovat cloudové providery.

Kód je jen začátek

Je snadné propadnout dojmu, že seniorita se měří počtem frameworků, které znáš. Nebo schopností napsat ten ,,nejhustější, nejchytřejší” jednořádkový algoritmus, kterému nikdo nerozumí kromě tebe. V článku se dozvíš, že tomu tak není. Autor tvrdí, že nejúspěšnější engineeři nejsou ti nejlepší programátoři. Jsou to ti, kteří pochopili, jak funguje svět kolem vývoje - lidé, komunikace, byznys a řešení problémů. S nástupem AI se to ukazuje ještě víc.

Nestihl*a jsi předchozí díly? Máme archiv.

Pokud by sis chtěl*a o některém článku popovídat, rádi tě uvítáme na našem Discordu.