Как идеально не строй цикл разработки и поиска уязвимостей, все равно будут существовать кейсы, которые приводят к security-инцидентам. Поэтому давайте соединим два ингредиента: control loop (reconciliation loop) и полную декларативную возможность Kubernetes и посмотрим, как автоматизировано реагировать на те или иные угрозы, риски, инциденты, которые происходят в Kubernetes-кластере.

Сразу предостерегаю, что после прочтения не надо бежать и воплощать то, о чем я расскажу. Всё это некоторый high level. У вас должны быть соответствующие выстроенные процессы и уровень информационной безопасности. Без базового контроля и базовых мер реализовывать SOAR очень опасно. Это может только навредить. Поэтому нужно адекватно оценивать уровень зрелости процессов и информационной безопасности в вашей компании.

Меня зовут Дмитрий Евдокимов. Я основатель и технический директор Luntry. Мы делаем security observability решение для Kubernetes и делимся опытом в данной области.

Читать далее

https://habr.com/ru/post/712660/?utm_source=habrahabr&utm_medium=rss&utm_campaign=712660

У технологии eBPF много поклонников. Она предлагает множество плюсов, но в работе с ней есть и некоторые минусы, сложности и ограничения. Давайте разберемся со всем этим.

Данный материал подготовлен на базе выступления “eBPF в production-условиях” от Дмитрия Евдокимова и Александра Трухина из компании Luntry с конференции HighLoad++ 2022. Он будет полезен как компаниям, что используют внутри себя решения на базе eBPF, так и разработчикам, которые что-то пишут или планируют писать с использованием данной технологии.

Читать далее

https://habr.com/ru/post/712658/?utm_source=habrahabr&utm_medium=rss&utm_campaign=712658

Когда говорят о Go 1.18, обычно вспоминают про дженерики и незаслуженно забывают об остальных изменениях. Например, о fuzzing-тестировании, которое раньше можно было запустить только с помощью открытых библиотек. Пора это исправить.



По мотивам выступления Сергея Петрова, разработчика в Selectel, рассказываем, как устроено fuzzing-тестирование в Go. А также показываем, как проверить функцию на корректную валидацию данных. Подробности под катом.
Читать дальше →

https://habr.com/ru/post/709248/?utm_source=habrahabr&utm_medium=rss&utm_campaign=709248

Привет, Хабр! Меня зовут Анна Дегтева, я — лингвист и антрополог. Почти 20 лет провела на кафедре математической лингвистики СПбГУ, из которых 15 преподавала. Начала заниматься разработкой голосовых интерфейсов, когда только прошёл релиз Siri, а компания i-Free взялась за разработку русскоязычных аналогов. В какой-то момент моих знаний о языке стало недостаточно. Я поняла, что речь нужно исследовать в комплекте с её носителями и поступила на факультет антропологии Европейского университета в Санкт-Петербурге. Там изучала, чем люди отличаются от роботов, как сделать так, чтобы нас было почти не отличить, и нужно ли это делать.

Сегодня расскажу, как правильно делать то, чему обычные люди обучаются к пяти годам — разговаривать. Это понимание поможет вам при проектировании диалоговых интерфейсов и UX-тестировании пользовательских устройств. Поговорим о разработке детского устройства, которое помогло мне получить опыт, пригодный для использования в любом диалоговом агенте.

Читать далее

https://habr.com/ru/post/704558/?utm_source=habrahabr&utm_medium=rss&utm_campaign=704558

Сегодня речь о том, как SAST-решения ищут дефекты безопасности. Расскажу, как разные подходы к поиску потенциальных уязвимостей дополняют друг друга, зачем нужен каждый из них и как теория ложится на практику.

Статья написана на основе доклада "Под капотом SAST: как инструменты анализа кода ищут дефекты безопасности" с TechLead Conf 2022. Содержимое адаптировано для читаемости: что-то сокращено, что-то модифицировано.

Читать дальше →

https://habr.com/ru/post/710224/?utm_source=habrahabr&utm_medium=rss&utm_campaign=710224

В каких юнитах можно померить DDOS атаку? Биты в секунду, запросы, пакеты, время даунтайма, количество машинок в ботнете — все эти ответы верные. Потому что DDoS-атаки бывают разных категорий и для каждой есть свои ключевые метрики. Их рост и является движущей силой для эволюции DDoS атак. Посмотрим, как это происходит.

Поможет нам в этом Георгий Тарасов, владелец продукта Bot Protection в Qrator Labs. Ранее он занимался разработкой, проектным менеджментом и pre-sales. Вместе с ним мы полетим в 1994 год и обратно, в настоящее время. Посмотрим, как развивались распределённые атаки на отказ в обслуживании за эти годы, к чему они пришли сейчас, и на что есть смысл обратить внимание.

Читать далее

https://habr.com/ru/post/708108/?utm_source=habrahabr&utm_medium=rss&utm_campaign=708108

Многие компании сталкиваются с необходимостью быстро адаптировать новых сотрудников в команде. Ведь им предстоит в сжатые сроки подхватить большой объем активностей и проектов. Возможно, вам знакома ситуация, когда ушёл эксперт с уникальными знаниями, и становится некому быстро подхватить проекты или какие-то активности. Найти решение таких проблем помогает система управления знаниями, которая решает сверхзадачу — повышает вовлеченность сотрудников и их мотивацию.

Поможет разобраться в этом вопросе Ольга Елисеева, руководитель департамента проектирования и внедрения центра информационной безопасности «Инфосистемы Джет». Ольга расскажет из каких мероприятий состоит система управления знаниями, как запускают такие мероприятия и как их можно комбинировать. Поскольку предложенные практики «обкатаны» на сотнях сотрудников и все кейсы похожи друг на друга, мы решили рассказать об инструментах вовлечения в виде сериала из четырех серий. В нём будет два персонажа: сотрудник Роман и его руководитель Игорь. Все герои вымышлены, совпадения с реальностью случайны.

Читать далее

https://habr.com/ru/post/673590/?utm_source=habrahabr&utm_medium=rss&utm_campaign=673590

Привет, Хабр! Меня зовут Артём Ерошенко, я — сооснователь Qameta Software. Больше 14 лет занимаюсь тестированием и автоматизацией. Работал в Яндексе, когда учился в университете, и писал первые автотесты, сделал опенсорсный проект Allure-фреймворк, способствовал появлению Яндекс QA Tools. Сейчас обучаю других людей как автоматизировать тестирование и помогаю компаниям выстраивать процессы автоматизации тестирования и процессы разработки.

В этой статье мы разберёмся как развивалось тестирование: что было раньше, к чему пришло сейчас и каким будет дальше.

Читать далее

https://habr.com/ru/post/698474/?utm_source=habrahabr&utm_medium=rss&utm_campaign=698474

Меня зовут Виктор Мясников, я отвечаю за качество продукта в «Юле». Я закончил Бауманку и хотел строить ракеты, но с ними не вышло, поэтому теперь профессионально строю «велосипеды» для QA, а ещё люблю уничтожать рутину. Я расскажу, как мы проектировали BDD-фреймворк и зачем он вообще нам понадобился.

Читать далее

https://habr.com/ru/post/707932/?utm_source=habrahabr&utm_medium=rss&utm_campaign=707932

Меня зовут Илья Вазем, я отвечаю за всю инфраструктуру в СберМегаМаркете. Сегодня мы поговорим о наболевшем для любой команды разработки — об инцидентах. Я расскажу о том, как мы пытаемся с ними справляться и сводить возможность их появления к минимуму. А по ссылке можно посмотреть видео с моего доклада на DevOps Conf.

СберМегаМаркет, наш маркетплейс, — высоконагруженная онлайн-платформа, где более 8 000 продавцов и более 100 000 заказов в день. Мы хостимся в трех дата-центрах, у нас 250 микросервисов, 2 500 виртуальных машин. Поддерживать такую систему без серьезного подхода к инцидентам невозможно. Итак, что представляет собой этот подход в нашем случае?

Читать далее

https://habr.com/ru/post/707292/?utm_source=habrahabr&utm_medium=rss&utm_campaign=707292

Низкий порог входа и строгость языка программирования — вещи обычно несовместимые. Потому что ты либо, как Rust, бьёшь по рукам borrow checker’ом — либо, как PHP, позволяешь не задумываться о типах и быстро прототипировать.

На самом деле, если писать код грамотно, это становится неважным и язык перестаёт иметь значение. Архитектура важнее языка, и хороший код на PHP ничем не отличается от аналогичного кода на любом другом ООП-языке. Другое дело, что возможность «любой домохозяйке» писать на PHP сопровождается и риском наворотить полное неподдерживаемое безобразие. Поэтому нам нужны тайпхинты, линтеры, статические анализаторы и подобные инструменты.

Но в PHP есть и ещё один изъян: в нём любой класс, функция или константа — глобальны. Можно создать класс из любого места в коде, и нет способа скрыть его или сделать деталью реализации где-то в отдельной папке. Иными словами, в PHP нет того, что в других языках называется модулями.

Наша новая open-source разработка называется Modulite и внедряет в PHP модули. Это сквозная технология: мы внедряемся в IDE, в PHPStan, в KPHP, в CI, в Composer — и делаем так, будто бы модули нативно есть в языке PHP.

Читать далее

https://habr.com/ru/post/705998/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705998

Компании как и люди, в своем развитии проходят схожие этапы. Есть этап детства, когда закладываются базовые семейные ценности. В юности мы смотрим на модели ценностей, которые нас окружают, и примеряем их к себе. В зрелости мы уже готовы принимать решения и все они базируются на опыте и понимании как должны происходить трансформации. Тогда мы или костенеем и трансформаций практически нет, или делаем прорыв и выходим на абсолютно новый уровень жизни.

Для IT компаний архитектура — базис, на котором выстраиваются все продукты и подходы. Но, у архитектуры тоже должна быть основа. Интересно, что будет, если мы будем выстраивать её из ценностей? Не тех, которые плакатами развешаны на кухне, а тех, которые живут «в курилке», на которых сформировалась компания и коллектив.

Читать далее

https://habr.com/ru/post/705952/?utm_source=habrahabr&utm_medium=rss&utm_campaign=705952

В наше время существует много популярных, многократно проверенных инструментов для генерации тестовых данных. Их давно и успешно используют для подготовки тестирования систем хранения данных уровня middle. Но что делать, если вы перешли на следующий уровень? Ведь есть системы Enterprises, HS High или Dell EMC Power Max. И там использовать популярные инструменты уже нельзя.

Меня зовут Анна Рукавицына, я senior quality инженер из Dell Technologies. Люблю автоматизацию тестирования и большие потоки данных. Делаю код качественнее, а мир лучше! Расскажу как мы тестируем СХД и откуда берём качественные входные данные. Почему функциональное тестирование лучше проводить в условиях нагрузки, и почему так важна консистентность данных. Представлю пару кейсов нашей работы: с какими ошибками мы столкнулись и какие выводы из этого сделали.

Читать далее

https://habr.com/ru/post/706298/?utm_source=habrahabr&utm_medium=rss&utm_campaign=706298

Онбординг влияет на срок работы сотрудников, их вовлечённость и эффективность. От этого бизнес-процесса зависит прибыль, поэтому его оптимизация так важна.

Меня зовут Анна Шестакова, я HRD в IT-компании ITECH. В этой сфере уже более 11 лет. Работала начинающим и ведущим специалистом, тимлидом, руководителем подразделений. Я проходила адаптацию сама или адаптировала других, прошла все «круги онбординга» с обеих сторон — начиная с экскурсии по офису, и заканчивая задачами автоматизации. Поэтому хорошо представляю, с какими проблемами могут столкнуться участники на разных этапах. Расскажу про самые распространённые из них, и о том, как их решить.

Читать далее

https://habr.com/ru/post/700516/?utm_source=habrahabr&utm_medium=rss&utm_campaign=700516

Писать нативные тесты под iOS — это не очень простая задача. Но если вы всё-таки написали эти тесты, то оказывается, что их нужно ещё и запускать. Тут тоже непросто. Сегодня про это и поговорим.

Поможет нам в этом Тимофей Солонин. Он поддерживает IOS-инфраструктуру в Авито. Сегодня расскажет про технологию Emcee. С её помощью можно параллельно запускать нативные IOS-тесты на большой ферме Apple-железа.

Читать далее

https://habr.com/ru/post/698476/?utm_source=habrahabr&utm_medium=rss&utm_campaign=698476

Как поддержать свою команду и самого себя, когда предсказуемости в мире становится всё меньше? У нас возникает тревога и страх о будущем. Их уровень зашкаливает, возникает ощущение, что происходящее в мире парализует, не осталось ничего определённого. Кажется, что всё, что раньше было стабильным, сейчас теряет свою опору, теряем её и мы сами.

Меня зовут Юлия Аравина и я расскажу про шесть мягких навыков, которые необходимы нам, чтобы не разрушаться в кризис. Я работаю в IT семь лет, по образованию психолог, руководила отделами обучения и развития сотрудников в крупных it-компаниях, занималась коучингом руководителей и команд. Последние два года — продолжаю делать это уже как независимый консультант. Также помогаю компаниям работать с ментальным здоровьем сотрудников. Поделюсь информацией о том, как преодолеть сложности, связанные с кризисом, пандемией, февралем/сентябрем 2022 и их последствиями.

Читать далее

https://habr.com/ru/post/703806/?utm_source=habrahabr&utm_medium=rss&utm_campaign=703806

У самурая, как и у файла, нет цели, только путь. У этой статьи тоже, как оказалось, нет цели, только путь. На примере нескольких сугубо типичных, но эпичных фэйлов рассмотрим разные «не то» в проектах. В частности, как они выглядят, чем вызваны и что с ними делать.

Поможет нам в этом Даниил Подольский из NDA. Он начал свою карьеру в IT 30 лет назад в ЦНИИ РТК и провёл в эксплуатации 20 лет. Последние 15 из них рисует архитектуру и пишет код. Это его история про инженера-самурая, который много раз хотел и должен был совершить харакири. Но всё-таки выжил, чтобы поделиться разного рода фэйлами, которые он встретил на своём пути и рассказать, как их преодолеть.

Читать далее

https://habr.com/ru/post/698478/?utm_source=habrahabr&utm_medium=rss&utm_campaign=698478

Как вытащить из большого объёма информации только самое нужное? Современная жизнь движется на высокой скорости, информации много и она часто меняется, за большинством рабочих моментов бывает сложно уследить, поэтому навык задавать вопросы становится всё более важным.

Как этому научиться самому и научить других расскажет Валентина Уржумова, менеджер проектов, бизнес-аналитик, руководитель продукта «B2B-платформа Formix».

Читать далее

https://habr.com/ru/post/673594/?utm_source=habrahabr&utm_medium=rss&utm_campaign=673594

Привет, Хабр! Меня зовут Руслан Сафин и я расскажу про микросервисы и как определить необходимую гранулярность. Я работаю техническим директором в Byndyusoft. Развиваю техническую культуру и участвую в проектах в роли IT-архитектора, а ещё преподаю авторский курс по IT-архитектуре в университете. В коммерческой разработке 15 лет. Из необычного — проектировал защиту от накруток в интернет-голосовании конкурса Мисс Россия и автоматическое определение предвзятости судей в танцевальном спорте.

Byndyusoft занимается заказной разработкой с продуктовым подходом. Так как наша компания работает с крупными заказчиками, мы постоянно учимся новому, перенимаем и сами делимся практиками, наблюдаем и используем разные подходы и приёмы проектирования. Этим практическим опытом я и поделюсь в статье.

Читать далее

https://habr.com/ru/post/699750/?utm_source=habrahabr&utm_medium=rss&utm_campaign=699750

Привет! Я – Валерия Дымбицкая, технический руководитель команды дата-инженеров в OneFactor. Это вторая часть статьи о том, как автоматически подбирать параметры для Spark-приложений на примере spark.executor.memory.

В первой части мы разбирали, как читать логи событий Spark и как достать из них три показателя того, насколько можно уменьшить память экзекьюторам (а также зачем это делать). Здесь я расскажу о том, как превратить это всё в работающую систему на продуктиве, используя довольно простые средства.

Читать далее

https://habr.com/ru/post/701136/?utm_source=habrahabr&utm_medium=rss&utm_campaign=701136