Sebuah bahasa konfigurasi baru bernama KSON telah memasuki tahap beta publik, menjanjikan untuk memperlakukan file konfigurasi sebagai antarmuka pengguna daripada sekadar format data sederhana. Meskipun proyek ini bertujuan mengatasi masalah umum dengan YAML dan JSON, umpan balik awal dari komunitas mengungkap kekhawatiran signifikan tentang risiko keamanan dan ambiguitas sintaks.
Dukungan Platform KSON
- Bahasa yang Didukung: JavaScript/TypeScript, Python, Rust, JVM, Kotlin Multiplatform
- Dukungan IDE: VS Code, JetBrains IDEs, editor yang kompatibel dengan LSP
- Dukungan Arsitektur: Windows/Linux/macOS pada x86_64/arm64 saja
- Ukuran Library: 2MB setelah dikompilasi
- Implementasi: Basis kode Kotlin tunggal dengan binding bahasa
Risiko Keamanan Supply Chain Menimbulkan Bendera Merah
Kekhawatiran paling serius berpusat pada arsitektur implementasi KSON. Bahasa ini dibangun sepenuhnya dalam Kotlin, dengan binding bahasa pemrograman lain hanya menautkan ke versi Kotlin. Hal ini menciptakan proses build yang kompleks yang mengunduh pustaka terkompilasi dari GitHub tanpa verifikasi hash. Sistem build juga secara otomatis mengunduh binari besar termasuk OpenJDK, pixi, dan GraalVM selama kompilasi.
Untuk organisasi yang sudah menggunakan sistem berbasis JVM, pendekatan ini mungkin dapat diterima. Namun, untuk proyek di ekosistem lain, terutama yang memiliki persyaratan keamanan ketat, pendekatan ini memperkenalkan risiko supply chain yang substansial. Pengunduhan otomatis binari yang tidak terverifikasi bertentangan dengan praktik terbaik keamanan modern.
Kekhawatiran Keamanan Utama
- Mengunduh pustaka yang telah dikompilasi dari GitHub tanpa verifikasi hash
- Proses build secara otomatis mengunduh binari OpenJDK , pixi, dan GraalVM
- Tidak tersedia implementasi native di luar ekosistem JVM
- Dukungan cross-compilation terbatas
- Risiko serangan supply chain untuk proyek non- JVM
Penanganan Whitespace Menciptakan Masalah Baru
KSON memasarkan dirinya sebagai tidak sensitif terhadap whitespace untuk menghindari masalah indentasi YAML yang terkenal bermasalah. Namun, pilihan desain ini memperkenalkan serangkaian masalah tersendiri. Pengujian komunitas mengungkap bahwa indentasi yang menyesatkan dapat menciptakan hasil parsing yang membingungkan dan tidak sesuai dengan ekspektasi visual.
Satu contoh menunjukkan bagaimana konfigurasi port yang tampak sederhana dapat diparsing menjadi struktur bersarang yang tidak terduga, dengan beberapa nilai menjadi array padahal tidak dimaksudkan demikian. Meskipun KSON menyertakan peringatan untuk indentasi yang menyesatkan dan auto-formatter, kritikus berargumen bahwa mencegah masalah ini sepenuhnya akan lebih baik daripada memperingatkannya setelah kejadian.
Penerimaan Beragam untuk Filosofi UI-Centric
Ide inti di balik KSON - memperlakukan konfigurasi sebagai desain antarmuka pengguna - telah memicu diskusi menarik. Bahasa ini mencakup fitur canggih seperti SQL tertanam dengan syntax highlighting, dukungan JSON Schema native, dan integrasi IDE komprehensif di platform VS Code dan JetBrains.
Beberapa developer menghargai pendekatan ini, terutama kemampuan untuk menyematkan bahasa berbeda dalam file konfigurasi sambil mempertahankan syntax highlighting dan validasi yang tepat. Yang lain khawatir bahwa mencampur kode dan konfigurasi melanggar prinsip arsitektur perangkat lunak yang baik.
Konfigurasi itu sulit, tooling jarang menjadi masalah (setidaknya dalam pengalaman saya).
Pendekatan Alternatif Mendapat Perhatian
Diskusi KSON telah menyoroti berbagai pendekatan alternatif untuk manajemen konfigurasi. Beberapa developer mengadvokasi penggunaan bahasa pemrograman aktual seperti Python atau TypeScript untuk konfigurasi, berargumen bahwa ini memberikan tooling yang lebih baik dan type safety. Yang lain menunjuk ke solusi yang sudah ada seperti JSON5, KDL, atau Dhall sebagai alternatif yang lebih matang.
Beberapa komentator mencatat bahwa tantangan fundamental bukanlah sintaks file konfigurasi, melainkan struktur dan penamaan opsi konfigurasi itu sendiri. Nama field yang jelas dan validasi data yang tepat sering kali lebih penting daripada format file yang mendasarinya.
Perbandingan KSON vs Alternatif Lainnya
- KSON: Superset dari JSON, bahasa tertanam, integrasi IDE, tidak sensitif terhadap whitespace
- YAML: Diadopsi secara luas, sensitif terhadap whitespace, rentan terhadap kesalahan parsing
- JSON5: Superset JSON, dukungan komentar, lebih sederhana dari KSON
- TOML: Sintaks minimal, kemampuan nesting terbatas
- KDL: Model data seperti XML, tidak kompatibel dengan JSON
- Dhall: Bahasa fungsional, strong typing, kurva pembelajaran yang curam
Kesenjangan Implementasi Membatasi Adopsi
Selain kekhawatiran keamanan, KSON saat ini memiliki dukungan platform terbatas dan tidak menangani cross-compilation dengan baik. Pustaka yang dikompilasi, meskipun lebih kecil dari yang diharapkan pada 2MB, masih dianggap berat oleh standar beberapa komunitas bahasa.
Para maintainer proyek mengakui keterbatasan ini dan menyatakan harapan untuk implementasi native dalam berbagai bahasa pemrograman seiring berjalannya pengembangan. Namun, ketergantungan saat ini pada implementasi Kotlin menciptakan hambatan untuk adopsi di banyak lingkungan.
Meskipun visi KSON tentang configuration-as-UI mewakili pendekatan menarik untuk masalah umum, respons komunitas awal menunjukkan bahwa kekhawatiran keamanan dan ambiguitas sintaks mungkin membatasi adopsinya hingga masalah fundamental ini diatasi.
Referensi: Configuration files are user interfaces