Всім доброго раночку, ☀️☀️☀️
Як ваші справи?

Як же тяжко після 3-денного відриву знову сісти за ноут
Сьогодні день офіційно оголошую днем розгрібання хвостів- таски, листи, коментарі, апруви, а подивись там ще оте одне

На відео це точно я. І, чесно, думаю, не тільки я 😄

Бажаю вам сьогодні не тільки вижити, а ще й успішно закрити все важливе і спокійно ввійти в нормальний робочий ритм

Гарного, теплого і продуктивного дня всім!
Обняв 💛

Доброго вечора)

Я знаю, я обіцяв і не забув.
Сьогодні трохи про безпеку. Не лекція, а просто по-людськи, шо я юзав, юзаю, і за що не соромно порадити.
Тема реально зараз гаряча, всі говорять про CVE, вразливості, атаки на прод, і навіть QA вже не може нічого не знаю, я тільки тестую кнопочки.

Ну шо я маю вам сказать ось вам 4 тули, які я сам юзав и окремі юзаю іноді зараз

Snyk, коли треба перевірити код і залежності
Юзав його прямо в CI, бо він може автоматом знайти вразливі бібліотеки ще до релізу.
CVE-шки витягує це прям кайф.
Як мінус це трохи обмежений безкоштовний тариф, але на перевірити вистачає.
https://snyk.io/

ZAP (OWASP) ну це прям класика для перевірки вебдодатків (DAST) ну я думаю багато хто про нього знає)
Я його юзаю, коли треба швидко прогнати фронт.
Просто, без зайвого, є UI, можна інтегрувати.
Для автоскану на тесті прям те, що треба.
Поставив, запустив, і він уже щось гризе твій проєкт
https://www.zaproxy.org/

Burp Suite якщо хочеш прямо сам руками все перевірити
Юзається для ручного тестування безпеки, редіректи, токени, фуззинг, інспекція респонсів.
Це вже не натисни кнопку а це прямо дай-но я сам подивлюсь, що ви тут натворили.
Складніший, але кайфовий інструмент.
https://portswigger.net/burp/pro

Nessus це коли ми говоримо вже не про UI, а про сервери і мережі
Я юзав його, коли треба було глянути, чи є відкриті порти, погано захищені сервіси, або просто пробігтись по інфраструктурі.
Юзав у внутрішній мережі між сегментами допоміг знайти лишні доступи, які мали б бути закриті.
https://www.tenable.com/products/nessus

Це, звісно, не повний список, але ті, які реально працювали у мене в роботі, не з гугла, а з життя.

Якщо цікаво то з вас серденько, зроблю по кожному окремо мінігайд як, де і навіщо юзати.

Пишіть, що пробували самі і який тул у вас must-have.

Всім гарного вечора) і не тикайте на почті лінки про те шо ви виграли 100000000000000$
Обняв 💙

Привіт, друзі ☀️☀️☀️
Як справи?

Ранкові Історії QA:
Хотів поділитись реальною історією, болем моїх учнів.

До мене часто приходять люди, хтось качнути практику, хтось підготуватись до співбесіди.
І от була підготовка під вакансію, де все чітко, треба знати інструменти, стек, як працюєш, з чим працюєш ну класика.
Ми все прогнали, розібрали по пунктах, попрактикувались, людина була готова.

А потім після співбесіди пише.
Просто все було не те. Питали зовсім не по вакансії. Було враження, що шукають не QA, а QA + Project Manager в одній особі. Жодного технічного питання, ні слова про тули.

І тут головне таке буває.
Є шаблон вакансії і є реальний співбесідник, який просто хоче побачити як ти думаєш.
Іноді в голові в тебе зараз буду пояснювати, як я працюю з Postma, а тебе питають, а як би ти налаштував команду з 6 QA .

І це збиває. Бо коли ти відповідальний і реально готувався, важко перемкнутись.

Але це теж досвід. Такі співбесіди перевіряють не тільки твої знання, а як ти поводиш себе, коли йде не за планом.

Було у вас таке?
Думаю, буде корисно, якщо поділитесь, особливо тим, хто зараз в пошуках.

Всім гарного дня, не здавайтесь| Сильні 💪
Обняв 🤗

Доброго вечора!

Ну я як і говорив - почнемо з Snyk, це не для галочки, а щоб потім не горіти на проді
(перевірка залежностей, як must-have навіть для QA)

Я як QA не пишу продакшн-код, але точно не хочу, щоб через одну залежність із CVE в нас зламали пів сервісу.

Що я маю вас сказать от вам реально тул, яким користуються. Snyk це штука, яка бере твої package.json, pip, Dockerfile і каже, в цій версії бібліотеки, уразливість, ось яка, і ось як пофіксити.

Ви скажете навішо це де це юзати як QA, Так от
- Коли тестиш Node.js бек, перевірив, що в npm не тягнемо якусь дичину
- У пайплайні CI/CD поставили як перевірку і білд падає, якщо щось страшне
- Локально, перед тим як готуєте реліз до UAT, щоб не тягти CVE-шку на stage
- Навіть на Docker-образах ганяти, щоб зрозуміти, що там всередині з безпеки

по налаштуванням все дуже просто.
Встановив

npm install -g snyk    

Авторизувався

snyk auth 

І перевірив

snyk test  

Або якщо Docker

snyk container test my-image

І прямо виводить, що, де, чому погано, і яка версія вже з пофікшеним.

Snyk класний тим, що не просто знайшов, а ще і пояснив, показав, яку версію краще або інтегрується з Git (робить PR з фіксом) ну і також можна підв’язати до CI/CD.

Який мій поінт і чому це важливо на мою думку

- Бо ми теж частина команди, яка випускає продукт
- Бо якщо щось бахне на проді, клієнта не хвилює, хто мав це помітити
- Бо вміти перевірити свої тулзи, свій API чи навіть бекенд на CVE це про зрілість

Я не безпековий експерт. Але коли можу одним рядком побачити, що наш axios старий і дірявий то чого б ні?
Особливо коли це безкоштовно, швидко і реально корисно.
Юзайте, і не тільки для себе, а й щоб девам не соромно було здавати реліз.

Так що таке, з вас як завжди серденько чи шо там, якщо є що додати то тільки велком)

Гарного всім вечора!

Обняв 🤗

Всім раночку ☀️
Сьогодні без історій, просто вже дві кави бахнув бо вчора до 12 ночі сидів, готував матеріали для учня.

А сьогодні ранковий дейлик, куча задач і беклог дивиться на мене, як собака, що давно не гуляв

Тому зібрався і йду гребти)
А вам бажаю продуктивного дня і спокійних продів ❤️

А ось це відео трошки по темі, яка болить
вакансії для джунів з вимогами як до архітектора....
І так, багато хто погоджується, бо реально хочеться попасти на проект, вирвати шанс, довести, що можеш.


Обняв 🤗

Друзі, привіт
Сподіваюсь, ви в безпеці й у вас усе добре.🤗

Просто хотів вам сьогодні побажати гарного настрою і дня, зробіть ковток смачної кавусі або чаю
І якщо сьогодні в планах робота, хай все вийде. Якщо прогулянка, то нехай буде легка й на душу тепла.

А на відео, це мій ранок кожного дня і думаю багатьох)

Гарного дня вам, сильні 💛
Обняв!

Привіт, давайте те я вам коротенько розберу цей пул.


чому це на (A)
443 це дефолтний для HTTPS. Якщо він буде заблокований, то половина інтернету ляже, тобто якщо цей порт буде закритий любий рест не буде працювати)
Так що він завжди має бути відкритим, і на ньому зазвичай працює фронт.


Чому не (B) але це лідер на думку багатьох
8080 це типові девелоперські порти. На них часто бігають локальні сервіси, Dev, Staging, тестові API.
У продакшні їх майже не використовують, тому вони іноді блокуються, але не так суворо, як MySQL.

чому не (С)
тут все просто принцепі Порт 22 (SSH) . Це порт для віддаленого доступу до серверів. У багатьох компаніях він або блочиться повністю, або відкритий тільки для обраних IP. Але все ж він часто потрібен адмінам, тому може бути частково доступний.

ну і чому всеж (D) буде правильна відповідь)
3306 це дефолтний порт для бази даних MySQL. І ось якраз тут є нюанс
у нормальному продакшн-середовищі база ніколи не має світитись назовні. Вона має бути доступна тільки зсередини через бек або внутрішню мережу.

А якщо цей порт відкритий назовні, то це пряме запрошення для атак (бо багато сканерів просто брутфорсять MySQL на 3306)і, відповідно, фаєрволи, проксі, або самі провайдери його часто блочать автоматично.

як порада від мене,
Якщо бек слухає на нестандартному порту не лінуйся перевірити доступність ззовні.
Наприклад, можна банально зробити telnet yourhost 3306 або curl, або через Postman.
Бо те, що в тебе локально все літає не гарантія, що Jenkins або інший тестовий середовище дотягнеться.

пишіть коментарі якщо є що додати) а з вас класично серденько.

Привіт, друзі!
Як ваші справи? Попереду два дні вихідних час трохи видихнути, зробити щось для себе, або нарешті розібратися з тим, що давно відкладаєш. Бо ж потім знову понеділок, баги, дедлайни

А тепер трохи болі - пом'ятаєте я якось у вас питався про мишку - ну пост з верху

То ось що я маю вам сказати)
Купив собі нову мишку. Вибір упав на Hator Pulsar 3 Wireless, бо я цю фірму люблю, і крісло в мене від них, і аксесуари були. Але мишка це просто провал.

Колесо скролу як трактор у вусі.
Клік як постріл з гранатомета.
Працювати з нею фізично важко. І це за 2к

Знаєте, як воно буває один фейл, і вже не хочеться нічого більше від бренду. Хоча до цього реально довіряв.
А ще я ж Logitech теж дивився який ви всі хвалили. Там усе чітко: м'який клік, плавний скрол. Але в руку мені вона якось не зайшла.
Та мабуть, піду ще раз попробую. Бо працювати з цим не можна. Просто не можна 🤪

А поки я знову в пошуках мишки ось вам стаття на тему, яка вже стосується наших з вами професійних мізків

https://medium.com/womenintechnology/ais-impact-on-software-testing-the-evolution-of-qa-engineers-sdets-and-automation-architects-71cd91e46401

Якщо коротко, AI не замінить нас, але завжди є це АЛЕ, і варто вже зараз трохи розбиратись у нових підходах, щоб не втрачати темп.

Ну і все, гарного вам ранку, кавусі в руки, вдячності собі за все, що робите
Обняв 🤗

Привіт, друзі і доброго ранку! ☀️ Як ваші справи? Як пройшли вихідні?

Я вчора мав дуже цікаву розмову з другом, колегою-рекрутером. Зачепили одну актуальну і трохи болючу тему джуни, вакансії, конкуренція і.. резюме.

Ну шо я вам скажу
Зараз на одну вакансію прилітає в середньому
- 500 кандидатів-джунів
- 100 мідлів
- 10-20 сеньйорів

І що найцікавіше, навіть у багатьох сеньйорів резюме зроблені за якимись шаблонами зі шкіл/курсів, які взагалі не працюють.

І ось вам відповідь від людини, яка вже 10 років у рекрутингу
Резюме більше 1 сторінки, ми навіть не відкриваємо. Якщо на першій немає ключового йдемо далі.

А ключове це не сертифікати і не 10 рядків про тестрейл і джиру, а коротко про себе/ досвід/ основні скіли/ що ти реально робив

Бо часу у рекрутера 30 секунд максимум.
І якщо не зайшло то до побачення яб би це грубо не звучало. І це не про поганих людей, це про реалії ринку.

Я іноді сам беру участь у технічних інтерв’ю і навіть ще до відкриття CV по LinkedIn вже видно той самий шаблон.
А потім питаєш а що саме ти тестував, як, де, які інструменти?

Актуальність і суть важливіше, ніж лінки на курси або купа загальних фраз.

Який мій поінт до вас
Ти можешь бути крутим скіловим інженером, але твоє резюме може просто не дійти до перегляду.
Тому краще одразу писати суть, хто ти, що вмієш, де був, що зробив.

І залишайте precondition до свого резюме коротке резюме про резюме 😄

І щоб не бути голослівним ось вам крута стаття про те, як правильно скласти резюме і шо про шо

https://medium.com/analysts-corner/an-opinionated-guide-to-writing-your-first-business-analyst-resume-4e3b27682aa0

Якщо у вас схожий досвід діліться в коментарях.
Може, є HR серед підписників, теж цікаво почути їхню точку зору.

Всім гарної неділі і натхнення
Обняв ❤️

Доброго вечора друзі) як ваш день?

Давайте розберемо цей пул коротенько - статистика цікава і зрозуміло чому така

Ну що я маю вам сказать


Чому це не (A)
Ping по домену справді може допомогти, якщо DNS уже оновився. Але якщо ні, тут отримаєте просто помилку, і не дізнаєшся нічого нового.
Пінг може бути заблокований на сервері, і це не означає, що сервіс не працює.


І чому не (С)
Перевірка у браузері надто загальний спосіб. Побачите не відкривається і що далі робити? Це може бути DNS, TLS, backend, що завгодно.(


І так чому не (D) але він в топі по відповідям
Очистити DNS-кеш так це має сенс, але лише після того, як переконався, що DNS уже оновився. Або якщо бачиш, що твій ПК кешує стару адресу

Ну і чому же все таки правильна відповідь (B)
Виконати nslookup або dig це найкращий перший крок, чого спитаєте? ці команди покажуть, куди саме резолвиться домен, чи оновився запис, і з якого DNS-сервера йде відповідь.

А вже після можна і пінгнути, і кеш почистити, і в браузер піти. Але спочатку голова, потім дії

Всім гарного вечора, головне спокійного)

Обняв 🤗🤗🤗

Я не міг це не закинути)
Підняти вам настрій на вечір - хтось себе взнав??? 🫣🫣🫣