This Week I Learned #8

The Weekly TWIL Newsletter

Refactoring Manifesto

ชอบที่ว่า “Because the world needs better code” โดยใน manifesto นี้มี 10 ข้อ แต่ละข้อก็โดนใจทั้งนั้น โดยเฉพาะข้อแรกเลย “Make your products live longer!” ซึ่งผมก็เห็น และได้ยินมาตลอดว่า เวลามีแนวคิดอะไรใหม่ ๆ หรืออะไรก็ตาม ส่วนใหญ่ก็มักจะบอกว่าให้ทำใหม่กัน ซึ่งผมก็เคยคิดแบบนี้นะ แต่เมื่อเอามาคิดดี ๆ แล้ว การที่เราสามารถทำให้ product ของเราพัฒนาต่อไปได้เรื่อย ๆ และสามารถมีคุณค่าที่มากขึ้นเรื่อย ๆ เป็นอะไรที่ผมจะรู้สึกประสบความสำเร็จกว่าเยอะมากจริง ๆ

สรุปคืออยากจะแนะนำให้ปริ้นท์ manifesto นี้แปะไว้ที่หน้าห้องเลย จะได้คอยเตือนสติตัวเองอยู่ตลอดเวลา

https://refactoringmanifesto.org/

---

วิสัยทัศน์ผู้บริหาร

เป็นภาพระหว่างคนทำงานจริง กับระดับผู้บริหารที่มักจะไม่ค่อยเห็นภาพเดียวกับสักเท่าไหร่ วิธีหนึ่งที่จะช่วยได้คือ Gemba หรือ การลงไปดูหน้างานจริง จะเป็นตัววัดความแตกต่างของผู้บริหารแต่ละคน

สิบปากว่าไม่เท่าตาเห็น ถ้าไม่ลงไปดูเองบ้าง เราจะแยกความคิดเห็นกับข้อเท็จจริงออกจากกันไม่ได้เลย

https://medium.com/odds-team/%E0%B8%A7%E0%B8%B4%E0%B8%AA%E0%B8%B1%E0%B8%A2%E0%B8%97%E0%B8%B1%E0%B8%A8%E0%B8%99%E0%B9%8C%E0%B8%9C%E0%B8%B9%E0%B9%89%E0%B8%9A%E0%B8%A3%E0%B8%B4%E0%B8%AB%E0%B8%B2%E0%B8%A3-c315039c8a70

---

Best-Practices for API Authorization

เป็นคำแนะนำในการทำ API authorization ว่าควรคิดถึงอะไรบ้าง และทำอย่างไร

1. เราต้องรู้ก่อนว่า actors หรือคนที่จะมาใช้ API เราคือใคร เค้าสามารถเข้ามาทำอะไรกับ API ของเราได้บ้าง

2. เราก็ต้องดูว่า authorization models ของเราจะใช้อะไร ซึ่งมี RBAC, ReBAC, ABAC อะไรพวกนี้ จะเลือกโมเดลมาผสม ๆ กันก็ได้

3. ดู API layers ซึ่งแต่ละ layer ก็จะมี control ที่แตกต่างกัน ก็จะมีตั้งแต่ API gateway ไปที่ infrastructure ไปที่ API code เรื่อย ๆ จนไปถึง data layer

4. อย่าเชื่อ JWT และ OAuth scopes เพียงอย่างเดียว ซึ่งตรงนี้บางทีอาจจะเกิดเหตุการณ์ที่เราเปลี่ยน policy แต่ของพวกนี้เปลี่ยนไม่ทันก็เป็นได้

5. ใช้ policy as code

6. ใช้ test environment ในการทดสอบ policy

7. ลองดู OPAL เป็นเครื่องมือในการจัดการ policy

8. ทำให้เรื่อง policy เป็น single source of truth

9. ทำ audit

10. ทำ decentralized enforcement เพื่อตอบโจทย์เรื่องการ scale

ถ้าทำได้ครบทุกข้อก็แจ่มเลย แต่ถ้ายังไม่ได้ก็ค่อย ๆ พัฒนาปรับปรุงกันไป มองภาพระยะยาวไว้ด้วย เพราะเรื่องบางเรื่องไม่สามารถเกิดได้ภายในวันเดียวแน่นอน

https://www.permit.io/blog/api-authorization-best-practices

---

Post-Mortem กับการทำ Software

บทความเกี่ยวกับ post-mortem และความสำคัญ แล้วก็ชอบที่แชร์ขั้นตอนการเขียน post-mortem ทำบน Miro ดูเรียบง่ายดี

https://medium.com/odds-team/post-mortem-%E0%B8%81%E0%B8%B1%E0%B8%9A%E0%B8%81%E0%B8%B2%E0%B8%A3%E0%B8%97%E0%B8%B3-software-8ee9e4eb75d2