Друзі доброго ранку, Як ви?
Сподіваюсь ви та ваші близкі в беспеці.

Я тут другу чашку кохфа вже пью і читаю шось цікаве - то натрапив на прикольну статью - вона не супер технічка але як почитати за кавою можно)
Всеж все постійно йде в перед і треба встигати за трендами)

https://blog.qatestlab.com/2025/12/24/software-quality-trends-in-2026-key-changes-shaping-modern-qa/

Кстаті я удалив у себе тік ток - знаєте стало більше часу в вечері або в ранці почитати шось по темі)

Всім гарного дня і настро
Сильні💛💛💛

Друзі, Доброго вечора, Як ваш день?
Продовжуємо вашу улюблену рубрику, ну це не я так вирішив а ви кажете)) де куа починає не нервувати, а розуміти, що відбувається.

Протоколи для QA - DHCP

Що я маю вам сказати.
DHCP - це той протокол, про який згадують тільки тоді, коли все впало ще до старту апки.

DHCP відповідає за базове: він автоматично видає пристрою IP-адресу, gateway, DNS, та без цього у вас немає мережі взагалі. Ні API, ні браузера, ні SSH.

Wi-Fi підключений, Кабель вставлений, А апка, API, браузер - мертві)

І тут куа який не шарить шо таке цей дхпт починає бігати по колу. А проблема часто дуже проста, нема нормального IP.

це штука, яка автоматично видає вашому ноуту або клієнту IP-адресу, gateway і DNS, без цього мережі по суті не існує.

Реальні кейси, які ви точно бачили: це коли “через Wi-Fi не працює, через мобільний ок” або “у мене в офісі не конектиться, вдома все норм”, чи взагалі “після нічного рестарту все впало” Це все той клятий DHCP.

Якщо чесно це виглядає по-простому:
Пристрій приходить у мережу і каже: “Привіт, хто я? куди мені йти?”
Якщо DHCP не відповів - пристрій просто стоїть і мовчить.

Через DHCP куа починає бачити речі такі як
– чи отримав клієнт IP взагалі
– чи правильний gateway
– чи не віддався лівий DNS
– чи немає конфлікту IP
– чи не закінчився пул адрес

Базові штуки, які реально варто знати)

Подивитись, чи є IP:

ip a

Глянути, чи це DHCP:

nmcli dev show | grep DHCP

Оновити IP (інколи рятує за 10 секунд):

sudo dhclient -v

Подивитись маршрут:

ip route

І після цього раптом стає ясно: так це не “бекенд лежить” і це точно не клієнт навіть не в мережі нормально.

Мій поінт простий до вас)
КУА не має бути мережевим інженером, але куа має розуміти, що без DHCP вся система навіть не стартує.

Бо дуже багато “дивних багів” - це не код.
Це просто мережа сказала: “я тобі нічого не дам”.

Всім гарного вечора і головне спокійного)
Сильні 💛

Доброго дня друзі, як ваш день? Сподіваюсь ви в безпеці зі своїми любими)

Нічого не постив бо хотів, щоб більше людей побачили пул.

Бачу шо люди реально все більше і більше користуються ШІ - і це круто, правда.
Він реально помічний: щось перекласти, перефразувати, приклад знайти, швидко згенерити тест чи SQL, не гуглити годину.

І бачу шо GPT лідирує - бо він типо первий і це логічно.
Але багато хто пише (і я теж це бачу), що з часом навіть платний ГПТ починає підторможувати, особливо коли чат довгий і вже забитий контекстом.

І тут важливий момент. Памʼятайте, краще не давати корпоративну інфу компанії в публічні AI.
Токени, прод-логи, внутрішні API, клієнтські кейси, не треба.

Так, є платні плани, де кажуть, що не тренують на ваших даних. Але якщо можна не ризикувати, краще не ризикувати.

Я шо тут хочу вам показать і розповісти про Ollama - я вроді вам вже говорив але ше раз)
https://ollama.com

Це короче такий локальний AI-движок. - Тобто модель крутиться прямо у вас на компі. Без хмари. Без API-ключів. Без передачі даних кудись назовні.

ну ставиться просто

curl -fsSL https://ollama.com/install.sh | sh

Потім

ollama pull llama3
ollama run llama3

І у вас вже локальний ШІ. ну він типо працює як і для генерити SQL, автотести, код, допомагати з логами або пояснювати, як працює запит чи працювати як локальний API ну і можна прикрутити до Postman або CI

Якщо залізо не топ. беріть легші моделі типу 3B.

Я реально бачу, що майбутнє КУА це не просто manual чи automation.
Це QA + AI + security ну я думаю і ви так же думаєте)

І той, хто навчиться правильно юзати AI як інструмент, а не як костиль, буде рухатись швидше.

Всім гарного дня і настрою.
Обняв🤗🤗🤗

Друзі привіт, як ви?

З раночку зразу вам підгінчик)
так у мене питали чим я заходжу на сервер, де дивлюсь логи і як не мучитись)

Я зараз юзаю MobaXterm.
https://mobaxterm.mobatek.net/

Ставиться просто впринцепі просто скачали Home Edition → встановили → відкрили → New Session → SSH → вбили IP сервера → логін → підключились і все

Зручно реально шо одразу відкривається SSH, поруч автоматично SFTP-панель (бачите файли сервера ну і можна швидко перейти в папку з логами чи tail -f лог і одразу дивитись що відбувається і також можна зробити curl прямо з сервера

Все в одному вікні. Без 10 вкладок і костилів.

Якщо часто лазите в логи або перевіряєте деплой, реально економить нерви.

Обняв. 🤗🤗🤗

Друзі привіт, як ви?

Сорі шо чучуть загубився - бачу ваші поведомлення шо пропав і мало пощу - але виправлюсь

Хочу дати більше деталей до минулого поста, бо там важливий момент, різниця між REST і GraphQL не тільки “модно / не модно”, а саме в поведінці.

Дивіться що відбувається в REST, коли клієнт хоче статтю + автора і коли GraphQL, клієнт сам каже, що йому потрібно

Обняв 🤗
Сильні 💛

Друзі, привіт, Як ваш день? Поки є напряг з світлом( але я думаю хто з Одеси знає(

так що продовжуємо рубрику, де куA починає бачити систему, а не тільки UI - доповнимо цей пост чучуть)

Протоколи для QA - Syslog

Так що я маю вам сказать)

Syslog - це той протокол, який відповідає за передачу логів.
Не “файл лежить у /var/log”, а саме централізована доставка логів на сервер збору. Бо в реальному проді логи не читають руками на кожному сервері. Їх агрегують.

Працює це принцепі просто якщо вдуматися)
Сервіс генерує лог → Syslog відправляє його на лог-сервер → а там це вже обробляється (SIEM, ELK, Splunk і т.д.)

Працює зазвичай по: UDP 514 (ну це класика) або TCP 514 ну чи TLS (це вже безпечний варіант)

Куа це реально важливо шарити)
Бо іноді: баг є, а логів нема або лог на сервері є, а в централізованій системі нема чи подія відбулась, а аудит її не бачить ну і як же без security каже “ми нічого не отримали”

і це все про доставка логів. як я вже казав вам і повторюю через а через Syslog куа починає думати так: що сервіс лог пише?, чи він реально відправляється? або не стоїть firewall?

Дам вам пару четів на базові кейси
слухає порт:

ss -lntup | grep 514

Перевірити трафік:

tcpdump port 514

Подивитись локальні логи:

journalctl -xe

Всім гарного вечора і настрою!
Обняв.🤗🤗🤗

Друзі привіт) як ваш день?

Все хотів вам закинути це - вчора побачив згадав і думаю треба написати поки знов не забув.

Є прикольна штука від Burp MCP Agents
https://github.com/six2dez/burp-mcp-agents

і тут більше буде розуміння про шо це)
https://www.pentest-book.com/others/burp#burp-mcp

Це інтеграція Burp Suite з AI через MCP (Model Context Protocol).
Тобто Burp можна підключити до LLM і автоматизувати частину аналізу: тобто можно зробити розбір респонсів чи пошук потенційних вразливостей і генерація payload’ів або підказки по тестуванню

Фактично це Burp + AI-помічник, який не просто “пояснює”, а працює з реальним трафіком.

Для куа, який тестує API або лізе в security - це дуже цікава тема.

Але помьятаемо так? Такі штуки юзаємо тільки на тестових середовищах або з дозволом.

Я бачу, що напрямок AI + security зараз дуже активно розвивається. І якщо вже юзаєте Burp - думаю вам зайдет)


Обняв 💛

Друзі доброго ранку)

Бачили цю штуку?
https://chromewebstore.google.com/detail/claude/fcoeoabgfenejglbffodgkkbkcdhcgfn

Claude прямо в Chrome як розширення. І от чесно виглядає прикольно.

Виходить шо поо факту: можна швидко виділяти текст на сторінці чи аналізувати документацію або задати питання прямо по контексту вкладки - виглядає шо треба тестити і буде ясно шо там)

Тобто помічник стає ближче. Не окремий сайт, а прямо у робочому процесі.

Блін як же все швидко рухається в сторону AI-асистентів… І це вже не “побалуватись”, а реально частина щоденної роботи.

Так, скажете платно. Але є відчуття, що Claude зараз по якості відповідей інколи цікавіший за платний GPT і особливо коли треба глибше пояснення, а не просто шаблон.

Я поки тестую.
А ви вже пробували? Шо думаєете? поговоримо

Обняв 🤗
Сильні 💛

Доброго вечора) на вечер чу-чуть підняти настрій)

А ну признавайтесь хто так робе?? коли розклав деву по полицям і довольний пішов )

Друзі привіт, як ваш день? )

Добавлю вам це сюди - для розуміння

Обняв🤗🤗🤗

Друзі доброго раночку)

Я думаю шо вже багато хто з вас в темі але може і ні
https://www.axios.com/2026/03/01/anthropic-claude-chatgpt-app-downloads-pentagon

В двух словах коротенько
Anthropic відмовились знімати обмеження для використання AI. Контракт зірвався. Але замість “мінус репутація” - навпаки, інтерес до Claude виріс.

я вот дивлюсь і по факту AI вже не просто тул для коду чи тексту. і це на стільки вреться в перед шо жесть - звісно є багато моделей пустишок і хто почина нажаль деградувати - але як за цим всім встигнути(

Обняв 🤗
Сильні 💛

Добавлю вам цеж сюди - чучуть на подумати для розуміння)

Друзі, привіт. Як ваш день?

Хотів вам сьогодні показати ще 1 протокол - але хочу спочатку про 1 мезанізм

Я це про webhooks і дивно що багато хто не розуміє що це

це не якийсь новий протокол. Це просто механізм, коли сервіс сам повідомляє вас про те, що щось сталось. По факту - звичайний HTTP POST, тільки навпаки: не ви йдете до сервера, а сервер приходить до вас.

Відбулась подія, система шле повідомлення. Все.
Оплата пройшла, юзер зареєструвався, білд завершився, таска змінила статус і на ваш endpoint летить запит з даними про це.

Виглядає приблизно шось типо такого

POST /webhook/payment
{
"event": "payment_success",
"amount": 100,
"user_id": 25
}

Що я маю вам сказать
Більшість куа тестують тільки основний API. Webhook частину, майже ніхто. І потім починається те саме по колу: платіж пройшов, а статус не змінився. CI завершився, нотифікація не прийшла. CRM оновилась, інтеграція мовчить.
Всі дивляться на бекенд. А проблема саме у webhook.

Зазвичай ламається: endpoint недоступний, неправильний secret або signature, webhook приходить кілька разів через retry, payload змінився і ніхто не попередив, система не обробляє дублікати.
Звідси і беруться баги "інколи працює, інколи ні")

Щоб побачити чи webhook взагалі приходить:

tcpdump -i any port 443

Щоб подивитись що в ньому:

ngrok http 8080

Або просто відкрийте webhook.site - там відразу видно headers, body, retry і статус відповіді. Найшвидший спосіб зрозуміти що відбувається.
Якщо тестувати тільки API запити - ви бачите половину картини. Друга половина це події, про які система розповідає сама. І якщо цю половину не перевіряти - баги будуть. Стабільно.

Обняв🤗

Друзі доброго ранку) як ви?

Там бачу шо не до кінця розуміють шо це і про шо? Як працювати з цим.

Поки записати свій відео урок просто нажаль не вистачає часу, але я думаю шо з середини березня все пойде краще)

Тут є відео коротеньке про це, я не дивився але виглядає все зрозуміло) як що шо то напишете - буду тоді я вже робити гайди)

https://www.youtube.com/watch?v=NCtFzAeAPzU

А і так, новорічну avatar, скоро зміню)

Гарного дня і настрою)
Обняв 🤗🤗🤗

Друзі привіт!

Бачили вже про це? цікава штука виходить
https://pureinfotech.com/stop-chrome-gemini-nano-download-windows-11/

Яб сказав це не прям уразливість, але виглядає трохи негарно)

Але з другого боку логіка є: Google хоче запускати AI локально.

Цікаво що думаєте: це нормальна практика чи такі речі повинні бути тільки через явний дозвіл?

Обняв 🤗

Друзі привіт, як ви?

Хочу сьогодні кинути вам одну дуже корисну штуку, особливо коли приходите на проєкт, а API документації нема взагалі.
Ну тобто не “погана”, а просто нема)

Так що я маю вам сказать
Якщо у сервісу нема нормальної API-доки - це ще не значить, що ви сліпі.
Часто весь трафік можна перехопити прямо з браузера і подивитись, що фронт реально шле на бек.

І це реально працює через Postman Interceptor
Chrome Web Store: https://chromewebstore.google.com/detail/postman-interceptor/aicmkgpgakddgnaphhhpliifpcfhicfo

ну і документація Postman: https://learning.postman.com/docs/sending-requests/capturing-request-data/interceptor/

Далі в Postman вмикаєте Capture requests, якщо треба ставите сертифікат для HTTPS, перезавантажуєте сторінку сайту і все.

Усі запити, які сайт відправляє з браузера, починають падати вам прямо в Postman:
тобто URL/headers/body/cookies/токени/response

Тобто по факту ви самі собі збираєте документацію з живого трафіку. це пряд дуже рятує коли нема Swagger, нема Postman collection, нема опису ендпоінтів, а тестувати треба вже зараз.

Єдине, що важливо розуміти: це добре працює саме для браузерного трафіку. Тобто те, що реально шле фронт.
Якщо там окремі бекендові інтеграції або щось іде не через браузер -ну і зрозуміло шо цього ви так не побачите.

Але для старту, для дослідження API і для КУА штука прям дуже сильна.

Так що ану кажіть хто працював без доки? я помьятаю свій проєкт перший коли прийшов один + ше в принцепі перший КУА на проект а там документації не просто нуль а мінусь нуль)

Сильні💛
Обняв🤗🤗🤗

Доброго вечора друзі!! Як у вас справи?

Розуміння про апі як і завжди актуально - як кажуть Клод це добре але розуміти треба шо відбувається під капотом)



Всім гарного вечора і настрою)
Обняв🤗🤗🤗

Друзі, Доброго ранку. Як ваш день?

Хотів вам сьогодні показати не зовсім протокол, а 1 механізм, який ви точно бачили в API, якщо хоч раз тестували логін чи авторизацію.

Я це про JWT token і дивно, що багато хто бачить його постійно, але не до кінця розуміє що це.

Що я маю вам сказать)
JWT це не якийсь окремий протокол. Це просто механізм, яким сервер типо каже: “ок, ти залогінився, ось тобі токен, далі ходи з ним”.

По факту це такий підписаний шматок даних, який зазвичай передається в: Authorization: Bearer <token>

Виглядає приблизно шось типо такого:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NSIsInJvbGUiOiJhZG1pbiIsImV4cCI6MTcxOTk5OTk5OX0.
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

В середині там все просто - я думаю шо ви знаєте шо це не просто список символів
перша частина це як воно підписане, друга це payload, тобто дані ну і третя це signature, щоб ви не могли просто руками підмінити роль чи user id

Більшість КУА бачать JWT і дивляться тільки: є токен чи нема токена. А далі не копають. І потім починається по колу:
лог-аут зробили, а токен ще живий / пароль змінили, а старий токен працює або роль у юзера змінили, а доступ залишився тощо

І всі дивляться на “авторизацію в цілому”, а проблема саме в JWT-логіці.

Зазвичай може поламатися такі штуки як, токен не протухає коли має або backend не перевіряє signature як треба/ logout не інвалідує токен/ refresh token живе вічно / role в payload одна, а доступи інші ну і access token працює після зміни пароля

Щоб швидко глянути що всередині токена: можна просто відкрити в
https://jwt.io

ну або руками декоднути payload.

як куа ви можете перевірити
що буде без токена/ що буде з протухшим токеном/ що буде з битим токеном/ що буде з токеном іншого юзера/ що буде після logout/ що буде після зміни ролі або пароля тощо


Бо якщо тестувати тільки “залогінився / не залогінився” ви бачите половину картини.
Друга половина - це як токен живе далі.
І якщо її не перевіряти - баги будуть. Стабільно.

Обняв🤗
Сильні💛

Всім доброго ранку - як у вас справи?

Не міг цим не поділітися - точно кожен з думає шо на удаленка виглядає саме так ?

Всім гарного дня і настрою 💛
Обняв 🤗