本文介绍了开源许可证的选择与合规操作，提供决策树帮助工程师选择合适的许可证。内容包括撰写LICENSE文件、处理版权声明、生成NOTICE文件及组织第三方依赖目录等实用指南。强调使用SPDX标识符和遵循义务最小化原则，并提供多种编程语言的许可证合规工具和示例，以简化开源项目的合规流程。

本文介绍了在Python中使用unittest.mock和responses库模拟第三方依赖的四种策略：策略一适用于客户端类，使用patch和MagicMock；策略二适用于工厂模式的SDK，封装辅助函数；策略三适用于数据库ORM，通过仓储类封装；策略四适用于REST API，使用responses拦截HTTP请求。选择策略时需考虑依赖接口的特点。

静态SCA工具在识别和管理应用程序中的第三方依赖及风险方面起着重要作用。然而，静态SCA工具常常面临误报和修复优先级的问题，导致用户疲于处理。为了减轻这种“警报疲劳”，需要提高准确性、减少误报、排序修复优先级，并提供更详细的漏洞描述信息。运行时SCA通过分析运行时环境中的组件，可以更准确地识别漏洞可达性，帮助优化修复工作。运行时SCA还可以实现运行时威胁的自我免疫。通过组件安全加固和应急风险响应，可以提高应用的安全性。运行时SCA可以与静态SCA相结合，形成闭环管理流程，解决开源组件漏洞治理的难点。

TypeScript中的optional声明方式不兼容是最烦人也最简单的错误。复杂程序中的第三方依赖和工具链会导致生态问题。分享了protobuf、prisma和class-validator的代码，指出生成的代码会导致难以避免的TypeScript错误。对class-validator不满意，认为它与TypeScript重复且文档不全。最后分享了几种number的定义，欢迎讨论。