🔵 عنوان مقاله
From Templates to Heuristics: Enhancing Thought Work
🟢 خلاصه مقاله:
تست مؤثر بیش از آنکه به پر کردن قالبها و چکلیستها تکیه کند، به فهم عمیق و تأمل وابسته است. Maria Kedemo تأکید میکند که بهجای تمرکز بر فرمها، باید با نگاه انتقادی و زمینهمحور به ریسک و ارزش فکر کنیم. در این رویکرد، هیوریستیکها (heuristics) بهعنوان راهنماهای منعطف و خطاپذیر به ما کمک میکنند پرسشهای بهتری بپرسیم، فرضیات پنهان را آشکار کنیم و بر اساس چرخههای مشاهده، فرضیهسازی، آزمون و یادگیری مسیر را تنظیم کنیم. سازمانها باید زمان و سازوکارهایی برای بازاندیشی (مثل دیبریف و بازبینی همتا) فراهم کنند و موفقیت را با کیفیت اطلاعات ریسکی و یادگیری حاصل بسنجند، نه با تعداد موارد آزمون یا فرمهای تکمیلشده. قالبها میتوانند نقش داربست داشته باشند، اما مقصد نیستند؛ مقصد، اندیشیدن بهتر و تصمیمهای سازگار با زمینه است.
#SoftwareTesting #Heuristics #ExploratoryTesting #QualityEngineering #TestingStrategy #CriticalThinking #ContextDrivenTesting
🟣لینک مقاله:
https://cur.at/Q0yh9ik?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
From Templates to Heuristics: Enhancing Thought Work
🟢 خلاصه مقاله:
تست مؤثر بیش از آنکه به پر کردن قالبها و چکلیستها تکیه کند، به فهم عمیق و تأمل وابسته است. Maria Kedemo تأکید میکند که بهجای تمرکز بر فرمها، باید با نگاه انتقادی و زمینهمحور به ریسک و ارزش فکر کنیم. در این رویکرد، هیوریستیکها (heuristics) بهعنوان راهنماهای منعطف و خطاپذیر به ما کمک میکنند پرسشهای بهتری بپرسیم، فرضیات پنهان را آشکار کنیم و بر اساس چرخههای مشاهده، فرضیهسازی، آزمون و یادگیری مسیر را تنظیم کنیم. سازمانها باید زمان و سازوکارهایی برای بازاندیشی (مثل دیبریف و بازبینی همتا) فراهم کنند و موفقیت را با کیفیت اطلاعات ریسکی و یادگیری حاصل بسنجند، نه با تعداد موارد آزمون یا فرمهای تکمیلشده. قالبها میتوانند نقش داربست داشته باشند، اما مقصد نیستند؛ مقصد، اندیشیدن بهتر و تصمیمهای سازگار با زمینه است.
#SoftwareTesting #Heuristics #ExploratoryTesting #QualityEngineering #TestingStrategy #CriticalThinking #ContextDrivenTesting
🟣لینک مقاله:
https://cur.at/Q0yh9ik?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Curiousity killed the cat
From Templates to Heuristics: Enhancing Thought Work
Update 2025-10-14: This post has been updated to reflect thought work rather than knowledge work – which was pointed out by Fiona Charles as a much better description of the cognitive work pe…
🔵 عنوان مقاله
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)
🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونههای عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایلها در فرایند توسعه و انتشار بود؛ مشکلی که میتواند به مهاجمان امکان دهد با سوءاستفاده از توکنها بهروزرسانیهای مخرب منتشر کنند و حملات زنجیرهتأمین را آغاز کنند. در واکنش، پلتفرمها توکنهای آسیبدیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمنسازی اکوسیستم افزونهها تأکید دارد: حذف فایلهای حساس از بستهها، استفاده از secret managers بهجای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکنها، و اسکن مداوم برای کشف نشت رازها.
#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding
🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
wiz.io
Supply Chain Risk in VSCode Extension Marketplaces | Wiz Blog
Wiz Research uncovered 500+ leaked secrets in VSCode and Open VSX extensions, exposing 150K installs to risk. Learn what happened and how it was fixed.
🔵 عنوان مقاله
Power pairing our people process: How we moved to a collaborative QA Engineer and QA Analyst model
🟢 خلاصه مقاله:
** این مقاله نشان میدهد که با جفتکردن نقشهای مکمل در کیفیت، یعنی QA Engineer و QA Analyst، میتوان کیفیت را از یک مرحله انتهایی به یک فعالیت پیوسته و مشارکتی در دل فرایند توسعه تبدیل کرد. بر اساس ایدههای Matthew Whitaker و همسو با فلسفه pair-programming، QA Engineer روی اتوماسیون، ابزارها و CI/CD تمرکز میکند و QA Analyst بر تحلیل نیازمندیها، آزمون اکتشافی و مدیریت ریسک؛ و همکاری نزدیک آنها شکافهای فنی و محصولی را کاهش میدهد. این جفت بهصورت مشترک معیارهای پذیرش و استراتژی آزمون را مینویسد، بین نقش «راننده/راهنما» جابهجا میشود و یافتههای اکتشافی را سریع به تستهای خودکار قابل نگهداری تبدیل میکند. پیادهسازی موفق با یک پایلوت، برنامه pairing شفاف، ابزارهای دیدپذیری، و سنجههایی مانند نرخ خطای فرار، زمان چرخه و نرخ بازکار آغاز میشود و با مدیریت چالشهایی مانند ابهام نقش و خستگی جلسات از طریق RACI سبک، پلیبوک، تایمباکس و آداب pairing تثبیت میشود. دستاوردها شامل بازخورد سریعتر، کاهش خطاهای فرار، مالکیت مشترک کیفیت و انتقال دانش گستردهتر در تیم است؛ همان درسی که از pair-programming میگیریم: دو ذهن مکمل، از یک متخصص تنها مؤثرترند.
#QA #PairProgramming #QualityAssurance #AgileTesting #Collaboration #DevOps #TestAutomation #TeamCulture
🟣لینک مقاله:
https://cur.at/EuZObTr?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Power pairing our people process: How we moved to a collaborative QA Engineer and QA Analyst model
🟢 خلاصه مقاله:
** این مقاله نشان میدهد که با جفتکردن نقشهای مکمل در کیفیت، یعنی QA Engineer و QA Analyst، میتوان کیفیت را از یک مرحله انتهایی به یک فعالیت پیوسته و مشارکتی در دل فرایند توسعه تبدیل کرد. بر اساس ایدههای Matthew Whitaker و همسو با فلسفه pair-programming، QA Engineer روی اتوماسیون، ابزارها و CI/CD تمرکز میکند و QA Analyst بر تحلیل نیازمندیها، آزمون اکتشافی و مدیریت ریسک؛ و همکاری نزدیک آنها شکافهای فنی و محصولی را کاهش میدهد. این جفت بهصورت مشترک معیارهای پذیرش و استراتژی آزمون را مینویسد، بین نقش «راننده/راهنما» جابهجا میشود و یافتههای اکتشافی را سریع به تستهای خودکار قابل نگهداری تبدیل میکند. پیادهسازی موفق با یک پایلوت، برنامه pairing شفاف، ابزارهای دیدپذیری، و سنجههایی مانند نرخ خطای فرار، زمان چرخه و نرخ بازکار آغاز میشود و با مدیریت چالشهایی مانند ابهام نقش و خستگی جلسات از طریق RACI سبک، پلیبوک، تایمباکس و آداب pairing تثبیت میشود. دستاوردها شامل بازخورد سریعتر، کاهش خطاهای فرار، مالکیت مشترک کیفیت و انتقال دانش گستردهتر در تیم است؛ همان درسی که از pair-programming میگیریم: دو ذهن مکمل، از یک متخصص تنها مؤثرترند.
#QA #PairProgramming #QualityAssurance #AgileTesting #Collaboration #DevOps #TestAutomation #TeamCulture
🟣لینک مقاله:
https://cur.at/EuZObTr?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Ministry of Testing
Power pairing our people process: How we moved to a collaborative QA Engineer and QA Analyst model
Pairing QA Engineers and Analysts isn't just a process tweak, it's a cultural shift that transforms siloed testing into a collaborative, balanced and business-aligned effort.
تفاوت Access Token و Refresh Token به زبان ساده
در سیستمهای احراز هویت مدرن مثل Keycloak یا IdentityServer،
دوبار اسم «توکن» رو میشنویم:
ولی واقعاً فرقشون چیه؟
Access Token
توکن کوتاهمدتیه (مثلاً ۵ تا ۱۵ دقیقه) که بعد از لاگین کاربر صادر میشه.
هر بار که کاربر به API درخواست میفرسته، این توکن همراه درخواست میره تا سرور بفهمه کاربر کیه.
Refresh Token
طول عمر بیشتری داره (مثلاً ۳۰ دقیقه یا حتی چند ساعت).
اگر Access Token منقضی بشه، سیستم با استفاده از Refresh Token یه Access Token جدید میگیره
— بدون اینکه کاربر مجبور باشه دوباره لاگین کنه.
به زبان ساده Access Token مثل بلیط ورود به یک سالن هست ️
اما Refresh Token مثل کارت عضویت اون سالنه
باهاش میتونی هر بار بلیط جدید بگیری بدون ایستادن تو صف لاگین.
مزیت این روش:
امنیت بیشتر (Access Token کوتاهمدت و ایمنتره)
تجربه کاربری بهتر (کاربر کمتر لاگاوت میشه)
کنترل بهتر سمت سرور روی اعتبار توکنها
در پروژهی اخیرم با Keycloak این مکانیزم رو پیادهسازی کردم.
کاربر بعد از ثبتنام، هم در Keycloak و هم در SQL Server ذخیره میشه تا
میان سیستم احراز هویت و اپلیکیشن اصلی یکپارچگی کامل برقرار باشه.
هر وقت در مورد Authentication کار میکنی،
یادت باشه که هدف فقط «ورود کاربر» نیست —
بلکه «مدیریت ایمن و هوشمند عمر نشست (Session Lifecycle)» هست.
در دنیای Api ها ما موظفیم با توکن ها کار کنیم
در ریزور پیج ها یک ورودی هیدن داشتیم که مدیریت توسط آن توسط خود asp بود
اما در api ها مدیریت توکن ها با ماست
بهترین گزینه هم استفاده از IDP (Identity Provider) هاست چون هم فرانت و هم بک را برای ما پوشش میدهد.
<Hossein Molaei/>
در سیستمهای احراز هویت مدرن مثل Keycloak یا IdentityServer،
دوبار اسم «توکن» رو میشنویم:
ولی واقعاً فرقشون چیه؟
Access Token
توکن کوتاهمدتیه (مثلاً ۵ تا ۱۵ دقیقه) که بعد از لاگین کاربر صادر میشه.
هر بار که کاربر به API درخواست میفرسته، این توکن همراه درخواست میره تا سرور بفهمه کاربر کیه.
Refresh Token
طول عمر بیشتری داره (مثلاً ۳۰ دقیقه یا حتی چند ساعت).
اگر Access Token منقضی بشه، سیستم با استفاده از Refresh Token یه Access Token جدید میگیره
— بدون اینکه کاربر مجبور باشه دوباره لاگین کنه.
به زبان ساده Access Token مثل بلیط ورود به یک سالن هست ️
اما Refresh Token مثل کارت عضویت اون سالنه
باهاش میتونی هر بار بلیط جدید بگیری بدون ایستادن تو صف لاگین.
مزیت این روش:
امنیت بیشتر (Access Token کوتاهمدت و ایمنتره)
تجربه کاربری بهتر (کاربر کمتر لاگاوت میشه)
کنترل بهتر سمت سرور روی اعتبار توکنها
در پروژهی اخیرم با Keycloak این مکانیزم رو پیادهسازی کردم.
کاربر بعد از ثبتنام، هم در Keycloak و هم در SQL Server ذخیره میشه تا
میان سیستم احراز هویت و اپلیکیشن اصلی یکپارچگی کامل برقرار باشه.
هر وقت در مورد Authentication کار میکنی،
یادت باشه که هدف فقط «ورود کاربر» نیست —
بلکه «مدیریت ایمن و هوشمند عمر نشست (Session Lifecycle)» هست.
در دنیای Api ها ما موظفیم با توکن ها کار کنیم
در ریزور پیج ها یک ورودی هیدن داشتیم که مدیریت توسط آن توسط خود asp بود
اما در api ها مدیریت توکن ها با ماست
بهترین گزینه هم استفاده از IDP (Identity Provider) هاست چون هم فرانت و هم بک را برای ما پوشش میدهد.
<Hossein Molaei/>
❤1
🔵 عنوان مقاله
When Tests Start Drawing the Map
🟢 خلاصه مقاله:
** در دنیای واقعی توسعه، محیطهای تست بهندرت کاملاند: اطلاعات ناقص است، وابستگیها تغییر میکنند و قطعیت کم است. Charlie Kingston پیشنهاد میکند به تست مثل «نقشهکش» نگاه کنیم؛ هر تست یک کاوش است که مرزها، خطرها و رفتارهای واقعی سیستم را روشن میکند و نقشهای زنده از آنچه میدانیم میسازد.
با بیان شفاف فرضیهها و تبدیلشان به تست، استفاده از ابزارهـای مشاهدهپذیری برای رفع نقاط کور، ایجاد چرخههای بازخورد سریع و اولویتبندی ریسک (مسیرهای بحرانی، حالتهای خرابی، و درزهای یکپارچهسازی)، این نقشه قابل اعتماد میشود. تستها فقط دروازه انتشار نیستند؛ دانستههای تیم را مستند میکنند، قراردادهای بین سرویسها را شفاف میسازند و بازطراحی امن را ممکن میکنند. با هر تغییر، تستها نشان میدهند کجا نقشه با واقعیت نمیخواند و باید دقیقتر بررسی شود.
ترکیبی از روشها این نقشه را کاملتر میکند: Contract Testها برای انتظارات بین سرویسها، Property-based Testing برای پوشش لبهها، تست اکتشافی برای کشف ناشناختهها، و پایش مصنوعی در محیط اجرا برای تشخیص تغییر رفتار. پیام نهایی: منتظر مشخصات کامل نمانید؛ با تست، نقشه را همزمان با حرکت ترسیم کنید تا عدمقطعیت کاهش یابد و کیفیت با اطمینان بیشتری ارائه شود.
#تست_نرمافزار #کیفیت #بازخورد_سریع #مدیریت_ریسک #Observability #مهندسی_نرمافزار #توسعه_چابک #QA
🟣لینک مقاله:
https://cur.at/m1egK0h?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
When Tests Start Drawing the Map
🟢 خلاصه مقاله:
** در دنیای واقعی توسعه، محیطهای تست بهندرت کاملاند: اطلاعات ناقص است، وابستگیها تغییر میکنند و قطعیت کم است. Charlie Kingston پیشنهاد میکند به تست مثل «نقشهکش» نگاه کنیم؛ هر تست یک کاوش است که مرزها، خطرها و رفتارهای واقعی سیستم را روشن میکند و نقشهای زنده از آنچه میدانیم میسازد.
با بیان شفاف فرضیهها و تبدیلشان به تست، استفاده از ابزارهـای مشاهدهپذیری برای رفع نقاط کور، ایجاد چرخههای بازخورد سریع و اولویتبندی ریسک (مسیرهای بحرانی، حالتهای خرابی، و درزهای یکپارچهسازی)، این نقشه قابل اعتماد میشود. تستها فقط دروازه انتشار نیستند؛ دانستههای تیم را مستند میکنند، قراردادهای بین سرویسها را شفاف میسازند و بازطراحی امن را ممکن میکنند. با هر تغییر، تستها نشان میدهند کجا نقشه با واقعیت نمیخواند و باید دقیقتر بررسی شود.
ترکیبی از روشها این نقشه را کاملتر میکند: Contract Testها برای انتظارات بین سرویسها، Property-based Testing برای پوشش لبهها، تست اکتشافی برای کشف ناشناختهها، و پایش مصنوعی در محیط اجرا برای تشخیص تغییر رفتار. پیام نهایی: منتظر مشخصات کامل نمانید؛ با تست، نقشه را همزمان با حرکت ترسیم کنید تا عدمقطعیت کاهش یابد و کیفیت با اطمینان بیشتری ارائه شود.
#تست_نرمافزار #کیفیت #بازخورد_سریع #مدیریت_ریسک #Observability #مهندسی_نرمافزار #توسعه_چابک #QA
🟣لینک مقاله:
https://cur.at/m1egK0h?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
When Tests Start Drawing the Map
How tests that explore become documentation you can trust
❤1
🔵 عنوان مقاله
Apple alerts exploit developer that his iPhone was targeted with government spyware (4 minute read)
🟢 خلاصه مقاله:
اپل به یک توسعهدهنده اکسپلویت iOS با نام مستعار Jay Gibson اطلاع داده که آیفون شخصی او در ماه مارس هدف جاسوسافزار «مزدور» قرار گرفته است؛ اتفاقی که میتواند نخستین مورد مستند از هدف قرار گرفتن توسعهدهندگان چنین ابزارهایی توسط همان طبقه از ابزارها باشد. این فرد چند هفته قبل از دریافت هشدار، از شرکت Trenchant (زیرمجموعه L3Harris) اخراج شده بود؛ به اتهام افشای زیرو-دیهای Chrome، اتهامی که او و همکاران سابقش رد میکنند. اپل معمولاً جزئیات فنی یا نسبتدهی ارائه نمیدهد، اما این هشدارها نشانه خطر جدی تلقی میشود. این پرونده نشان میدهد استفاده از جاسوسافزارهای تجاری به حوزه متخصصان فنی نیز سرایت کرده و پرسشهایی درباره منبع حمله، انگیزهها و راهکارهای حفاظتی مطرح میکند.
#Apple #iOS #iPhone #Spyware #MercenarySpyware #L3Harris #Trenchant #Cybersecurity
🟣لینک مقاله:
https://techcrunch.com/2025/10/21/apple-alerts-exploit-developer-that-his-iphone-was-targeted-with-government-spyware/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Apple alerts exploit developer that his iPhone was targeted with government spyware (4 minute read)
🟢 خلاصه مقاله:
اپل به یک توسعهدهنده اکسپلویت iOS با نام مستعار Jay Gibson اطلاع داده که آیفون شخصی او در ماه مارس هدف جاسوسافزار «مزدور» قرار گرفته است؛ اتفاقی که میتواند نخستین مورد مستند از هدف قرار گرفتن توسعهدهندگان چنین ابزارهایی توسط همان طبقه از ابزارها باشد. این فرد چند هفته قبل از دریافت هشدار، از شرکت Trenchant (زیرمجموعه L3Harris) اخراج شده بود؛ به اتهام افشای زیرو-دیهای Chrome، اتهامی که او و همکاران سابقش رد میکنند. اپل معمولاً جزئیات فنی یا نسبتدهی ارائه نمیدهد، اما این هشدارها نشانه خطر جدی تلقی میشود. این پرونده نشان میدهد استفاده از جاسوسافزارهای تجاری به حوزه متخصصان فنی نیز سرایت کرده و پرسشهایی درباره منبع حمله، انگیزهها و راهکارهای حفاظتی مطرح میکند.
#Apple #iOS #iPhone #Spyware #MercenarySpyware #L3Harris #Trenchant #Cybersecurity
🟣لینک مقاله:
https://techcrunch.com/2025/10/21/apple-alerts-exploit-developer-that-his-iphone-was-targeted-with-government-spyware/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TechCrunch
Exclusive: Apple alerts exploit developer that his iPhone was targeted with government spyware
A developer at Trenchant, a leading Western spyware and zero-day maker, was suspected of leaking company tools and was fired. Weeks later, Apple notified him that his personal iPhone was targeted with spyware.
🔵 عنوان مقاله
How to Test Asynchronous Processes That Complete Hours Later
🟢 خلاصه مقاله:
** دانیل Delimata نشان میدهد چگونه با بازطراحی کوچک در سیستم و تستها میتوان فرایندهای ناهمگامی را که نتیجهشان ساعتها بعد دیده میشود، بهصورت خودکار و سریع راستیآزمایی کرد. رویکرد پیشنهادی بر «assertionهای در نهایت» با مهلت مشخص تکیه دارد: بهجای sleep طولانی، رویداد را آغاز کنید و با polling یا اشتراک در خروجیها (داده، رویداد، ایمیل) نتیجه را تا ضربالاجل تعیینشده بررسی کنید. زمان را تزریقپذیر کنید (clock فیک)، زمانبندیها را قابلپیکربندی کنید یا test hook امن برای اجرای فوری کارها فراهم کنید؛ و با شناسههای همبستگی و مشاهدهپذیری (مثل OpenTelemetry) مسیر انتهابهانتها را رهگیری کنید. برای پایداری، هندلرهای idempotent، دادهی تست ایزوله و محیطهای موقتی به کار ببرید و سطح مناسب تست (واحد، یکپارچه، انتهابهانتها، contract) را انتخاب کنید. در CI، مسیر سریع با زمان شتابداده/هوک و مسیر آهسته شبانهی واقعگرایانه را ترکیب کنید تا فرایندهایی که ساعتها طول میکشند، در چند دقیقه بهطور مطمئن تست شوند.
#AsynchronousTesting #EventualConsistency #Automation #DistributedSystems #E2ETesting #Observability #CI_CD #MessageQueues
🟣لینک مقاله:
https://cur.at/tVLKSEQ?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
How to Test Asynchronous Processes That Complete Hours Later
🟢 خلاصه مقاله:
** دانیل Delimata نشان میدهد چگونه با بازطراحی کوچک در سیستم و تستها میتوان فرایندهای ناهمگامی را که نتیجهشان ساعتها بعد دیده میشود، بهصورت خودکار و سریع راستیآزمایی کرد. رویکرد پیشنهادی بر «assertionهای در نهایت» با مهلت مشخص تکیه دارد: بهجای sleep طولانی، رویداد را آغاز کنید و با polling یا اشتراک در خروجیها (داده، رویداد، ایمیل) نتیجه را تا ضربالاجل تعیینشده بررسی کنید. زمان را تزریقپذیر کنید (clock فیک)، زمانبندیها را قابلپیکربندی کنید یا test hook امن برای اجرای فوری کارها فراهم کنید؛ و با شناسههای همبستگی و مشاهدهپذیری (مثل OpenTelemetry) مسیر انتهابهانتها را رهگیری کنید. برای پایداری، هندلرهای idempotent، دادهی تست ایزوله و محیطهای موقتی به کار ببرید و سطح مناسب تست (واحد، یکپارچه، انتهابهانتها، contract) را انتخاب کنید. در CI، مسیر سریع با زمان شتابداده/هوک و مسیر آهسته شبانهی واقعگرایانه را ترکیب کنید تا فرایندهایی که ساعتها طول میکشند، در چند دقیقه بهطور مطمئن تست شوند.
#AsynchronousTesting #EventualConsistency #Automation #DistributedSystems #E2ETesting #Observability #CI_CD #MessageQueues
🟣لینک مقاله:
https://cur.at/tVLKSEQ?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
How to Test Asynchronous Processes That Complete Hours Later
In most automated tests, we expect systems to react immediately: send a request → get a response → verify the result.
🔵 عنوان مقاله
It's Not Your Tests, It's Your Testability
🟢 خلاصه مقاله:
**
بیثباتی تستها همیشه تقصیر تستها نیست؛ اغلب ریشه در سیستم کمتستپذیر دارد. وقتی زمان، همروندی، تصادفیبودن یا وابستگیهای بیرونی کنترلنشده باشند، تستها ناپایدار میشوند. راهحل، ارتقای تستپذیری است: قابلکنترل و قابلمشاهده کردن سیستم، تزریق زمان و بذر تصادفی، جداسازی مرزهای شبکه با قراردادها و فیکها، و هرمتیککردن محیط تست. Gil Zilberfeld توصیه میکند برای جلب حمایت، هزینه فلیکینس را با داده نشان دهید و از بردهای کوچک (مثل افزودن seam، تزریق وابستگی برای زمان/I-O، و تستهای قراردادی) شروع کنید. با گنجاندن تستپذیری در تصمیمهای معماری و معیارهای پذیرش، تیم از آتشنشانی تستهای flaky به ساخت نرمافزار ذاتاً تستپذیر و قابلاتکا منتقل میشود.
#Testability #FlakyTests #SoftwareTesting #QualityEngineering #DevOps #ContinuousIntegration #TestDesign #Observability
🟣لینک مقاله:
https://cur.at/3RbJDxt?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
It's Not Your Tests, It's Your Testability
🟢 خلاصه مقاله:
**
بیثباتی تستها همیشه تقصیر تستها نیست؛ اغلب ریشه در سیستم کمتستپذیر دارد. وقتی زمان، همروندی، تصادفیبودن یا وابستگیهای بیرونی کنترلنشده باشند، تستها ناپایدار میشوند. راهحل، ارتقای تستپذیری است: قابلکنترل و قابلمشاهده کردن سیستم، تزریق زمان و بذر تصادفی، جداسازی مرزهای شبکه با قراردادها و فیکها، و هرمتیککردن محیط تست. Gil Zilberfeld توصیه میکند برای جلب حمایت، هزینه فلیکینس را با داده نشان دهید و از بردهای کوچک (مثل افزودن seam، تزریق وابستگی برای زمان/I-O، و تستهای قراردادی) شروع کنید. با گنجاندن تستپذیری در تصمیمهای معماری و معیارهای پذیرش، تیم از آتشنشانی تستهای flaky به ساخت نرمافزار ذاتاً تستپذیر و قابلاتکا منتقل میشود.
#Testability #FlakyTests #SoftwareTesting #QualityEngineering #DevOps #ContinuousIntegration #TestDesign #Observability
🟣لینک مقاله:
https://cur.at/3RbJDxt?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
TestinGil | By Gil Zilberfeld
It’s Not Your Tests, It’s Your Testability | TestinGil
Let's talk about that test. The one that's always flaky. The one that takes twenty minutes to run and fails for a different reason every time. Your first instinct is to blame the test. Maybe the locator is wrong, maybe the wait time isn't long enough. But…
🔵 عنوان مقاله
QA Engineer Role Transformation in the Age of AI
🟢 خلاصه مقاله:
** در عصر AI نقش مهندسان QA از اجرای دستی آزمونها به طراحی و هدایت جریانهای تضمین کیفیت هوشمند تغییر میکند. بهگفته Yerem Khalatyan، بهترین نقطهٔ شروع سه کاربرد عملی است: تولید خودکار سناریوهای آزمون، تسریع در خودکارسازی، و بهینهسازی اجرای تستها. سامانههای هوشمند میتوانند با تکیه بر نیازمندیها، کد و دادههای کاربری، سناریوهای مثبت، منفی و مرزی را پیشنهاد دهند، شکافهای پوشش را نشان دهند و در CI/CD اولویت اجرای تستها را بر مبنای ریسک و تغییرات کد تنظیم کنند. همچنین با خودترمیمی انتخابگرها، کاهش تستهای flaky، پیشنهاد assertion و دادهٔ آزمون، و کمک به triage خطاها، هزینهٔ نگهداشت را پایین میآورند. در کنار این مزایا باید به محدودیتها نیز توجه کرد: خطای مدلی، تفسیر نادرست نیازمندیهای مبهم و ملاحظات امنیت و حریم خصوصی، که حضور انسان در حلقه و حاکمیت داده را ضروری میسازد. برای بهرهگیری مؤثر، مهارتهایی مانند طراحی پرسش برای مدل، سواد داده، آزمون مبتنی بر ریسک و ادغام ابزارها اهمیت مییابد؛ شروع کوچک، سنجش دقیق شاخصها و سپس گسترش کنترلشده، مسیر عملی و کمریسک است.
#QA #AIinTesting #TestAutomation #SoftwareTesting #QualityEngineering #DevOps #CICD #MachineLearning
🟣لینک مقاله:
https://cur.at/lOXHasH?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
QA Engineer Role Transformation in the Age of AI
🟢 خلاصه مقاله:
** در عصر AI نقش مهندسان QA از اجرای دستی آزمونها به طراحی و هدایت جریانهای تضمین کیفیت هوشمند تغییر میکند. بهگفته Yerem Khalatyan، بهترین نقطهٔ شروع سه کاربرد عملی است: تولید خودکار سناریوهای آزمون، تسریع در خودکارسازی، و بهینهسازی اجرای تستها. سامانههای هوشمند میتوانند با تکیه بر نیازمندیها، کد و دادههای کاربری، سناریوهای مثبت، منفی و مرزی را پیشنهاد دهند، شکافهای پوشش را نشان دهند و در CI/CD اولویت اجرای تستها را بر مبنای ریسک و تغییرات کد تنظیم کنند. همچنین با خودترمیمی انتخابگرها، کاهش تستهای flaky، پیشنهاد assertion و دادهٔ آزمون، و کمک به triage خطاها، هزینهٔ نگهداشت را پایین میآورند. در کنار این مزایا باید به محدودیتها نیز توجه کرد: خطای مدلی، تفسیر نادرست نیازمندیهای مبهم و ملاحظات امنیت و حریم خصوصی، که حضور انسان در حلقه و حاکمیت داده را ضروری میسازد. برای بهرهگیری مؤثر، مهارتهایی مانند طراحی پرسش برای مدل، سواد داده، آزمون مبتنی بر ریسک و ادغام ابزارها اهمیت مییابد؛ شروع کوچک، سنجش دقیق شاخصها و سپس گسترش کنترلشده، مسیر عملی و کمریسک است.
#QA #AIinTesting #TestAutomation #SoftwareTesting #QualityEngineering #DevOps #CICD #MachineLearning
🟣لینک مقاله:
https://cur.at/lOXHasH?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
QA Engineer Role Transformation in the Age of AI
How to stay competitive in the current rapidly changing market
🔵 عنوان مقاله
Linux Capabilities Revisited (4 minute read)
🟢 خلاصه مقاله:
امنیت در Linux با تقسیم قدرتهای root به «capabilities» ظریفتر میشود، اما مهاجمان میتوانند از همین سازوکار سوءاستفاده کنند: با setcap دادن قابلیتی مثل cap_setuid به یک باینری معمولی (مثلاً Python)، بدون نیاز به SUID به روت تبدیل میشوند و در نتیجه بکدوری پنهان میسازند. چون این مجوزها بهصورت xattr روی inode و در security.capability ذخیره میشوند، در خروجیهای معمولِ بررسی مجوزها بهراحتی دیده نمیشوند و حتی بعد از rename یا ریبوت باقی میمانند. راهکار دفاعی این است که جستوجوی ارتقای دسترسی را از SUID/SGID فراتر ببریم: با getcap -r / همه قابلیتها را فهرست کنیم، setcap و هر تغییر روی security.capability را مانیتور کنیم، فهرست سفید بسازیم، قابلیتهای غیرضروری را با setcap -r حذف کنیم و این کنترلها را در CI/CD و سختسازی ایمیجها بگنجانیم تا باینریهای دارای capability ناخواسته وارد محیط نشوند.
#Linux #Capabilities #PrivilegeEscalation #setcap #SUID #BlueTeam #SecurityMonitoring #IncidentResponse
🟣لینک مقاله:
https://dfir.ch/posts/linux_capabilities/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Linux Capabilities Revisited (4 minute read)
🟢 خلاصه مقاله:
امنیت در Linux با تقسیم قدرتهای root به «capabilities» ظریفتر میشود، اما مهاجمان میتوانند از همین سازوکار سوءاستفاده کنند: با setcap دادن قابلیتی مثل cap_setuid به یک باینری معمولی (مثلاً Python)، بدون نیاز به SUID به روت تبدیل میشوند و در نتیجه بکدوری پنهان میسازند. چون این مجوزها بهصورت xattr روی inode و در security.capability ذخیره میشوند، در خروجیهای معمولِ بررسی مجوزها بهراحتی دیده نمیشوند و حتی بعد از rename یا ریبوت باقی میمانند. راهکار دفاعی این است که جستوجوی ارتقای دسترسی را از SUID/SGID فراتر ببریم: با getcap -r / همه قابلیتها را فهرست کنیم، setcap و هر تغییر روی security.capability را مانیتور کنیم، فهرست سفید بسازیم، قابلیتهای غیرضروری را با setcap -r حذف کنیم و این کنترلها را در CI/CD و سختسازی ایمیجها بگنجانیم تا باینریهای دارای capability ناخواسته وارد محیط نشوند.
#Linux #Capabilities #PrivilegeEscalation #setcap #SUID #BlueTeam #SecurityMonitoring #IncidentResponse
🟣لینک مقاله:
https://dfir.ch/posts/linux_capabilities/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
dfir.ch
Linux Capabilities Revisited | dfir.ch
Technical blog by Stephan Berger (@malmoeb)
Scaling API Independence: Mocking, Contract Testing & Observability in Large Microservices Environments
https://www.infoq.com/presentations/microservices-mocking-observability/
https://www.infoq.com/presentations/microservices-mocking-observability/
InfoQ
Scaling API Independence: Mocking, Contract Testing & Observability in Large Microservices Environments
Tom Akehurst explains strategies for overcoming microservice pain points like environment dependency and slow development. He advocates using realistic API simulation at scale, supported by contract testing , API observability, and GenAI integration. Learn…
🔵 عنوان مقاله
Chrome DevTools MCP: Automated Test, Debug and Performance Analysis with AI
🟢 خلاصه مقاله:
Chrome DevTools MCP که توسط Google عرضه شده، امکان میدهد AI agents کارهای رایج DevTools مثل اجرای تست، دیباگ و تحلیل عملکرد را بهصورت خودکار انجام دهند. این ابزار با دسترسی به لاگها، شبکه، DOM و خطاها در زمان اجرا، به عامل اجازه میدهد سناریوهای تست را اجرا کند، مشکلات را ردیابی و اصلاح کند و دوباره تستها را اجرا کند تا تغییرات را تأیید کند. ویدیوی ۱۸ دقیقهای Karthik K.K. نشان میدهد چگونه یک عامل با استفاده از Chrome DevTools MCP میتواند یک تست ناکام را عیبیابی کند، از جزئیات کنسول و شبکه کمک بگیرد، Breakpoint بگذارد و بهصورت تکرارشونده مشکل را حل کند. نتیجه برای تیمها، چرخه بازخورد سریعتر، کاهش تستهای شکننده و کشف زودهنگام مسائل عملکردی است، در حالیکه بازبینی انسانی همچنان نقش اصلی دارد.
#ChromeDevTools #MCP #AIAgents #TestAutomation #Debugging #WebPerformance #DevTools #Google
🟣لینک مقاله:
https://cur.at/TAISOHS?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Chrome DevTools MCP: Automated Test, Debug and Performance Analysis with AI
🟢 خلاصه مقاله:
Chrome DevTools MCP که توسط Google عرضه شده، امکان میدهد AI agents کارهای رایج DevTools مثل اجرای تست، دیباگ و تحلیل عملکرد را بهصورت خودکار انجام دهند. این ابزار با دسترسی به لاگها، شبکه، DOM و خطاها در زمان اجرا، به عامل اجازه میدهد سناریوهای تست را اجرا کند، مشکلات را ردیابی و اصلاح کند و دوباره تستها را اجرا کند تا تغییرات را تأیید کند. ویدیوی ۱۸ دقیقهای Karthik K.K. نشان میدهد چگونه یک عامل با استفاده از Chrome DevTools MCP میتواند یک تست ناکام را عیبیابی کند، از جزئیات کنسول و شبکه کمک بگیرد، Breakpoint بگذارد و بهصورت تکرارشونده مشکل را حل کند. نتیجه برای تیمها، چرخه بازخورد سریعتر، کاهش تستهای شکننده و کشف زودهنگام مسائل عملکردی است، در حالیکه بازبینی انسانی همچنان نقش اصلی دارد.
#ChromeDevTools #MCP #AIAgents #TestAutomation #Debugging #WebPerformance #DevTools #Google
🟣لینک مقاله:
https://cur.at/TAISOHS?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
YouTube
Chrome DevTools MCP: Automated Test, Debug and Performance Analysis with AI
In this video, we explore the Chrome DevTools Model Context Protocol (MCP) server and how it enables AI coding assistants to debug web applications directly in Chrome.
What you'll learn:
How Chrome DevTools MCP works with AI agents
Fixing code issues and…
What you'll learn:
How Chrome DevTools MCP works with AI agents
Fixing code issues and…
🔵 عنوان مقاله
FunnelPeek: A Modern Tool for Exploring Android UI Elements
🟢 خلاصه مقاله:
** معرفی FunnelPeek بهعنوان یک UI inspector متنباز برای Android نشان میدهد چطور میتوان مسیرها و locatorهای پایدار را سریعتر پیدا کرد. Saeed Roshan در این ابزار کاوش سلسلهمراتب نما، برجستهسازی عناصر و بررسی ویژگیهایی مثل resource ID و content description را نشان میدهد تا انتخاب locatorهای قابل اعتماد آسانتر شود. نتیجه برای تیمهای توسعه و QA، کاهش خطاپذیری تستها و تسریع در آمادهسازی خودکارسازی است.
#Android #MobileTesting #UIInspector #OpenSource #QA #TestAutomation #Locators
🟣لینک مقاله:
https://cur.at/O3rNmRU?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
FunnelPeek: A Modern Tool for Exploring Android UI Elements
🟢 خلاصه مقاله:
** معرفی FunnelPeek بهعنوان یک UI inspector متنباز برای Android نشان میدهد چطور میتوان مسیرها و locatorهای پایدار را سریعتر پیدا کرد. Saeed Roshan در این ابزار کاوش سلسلهمراتب نما، برجستهسازی عناصر و بررسی ویژگیهایی مثل resource ID و content description را نشان میدهد تا انتخاب locatorهای قابل اعتماد آسانتر شود. نتیجه برای تیمهای توسعه و QA، کاهش خطاپذیری تستها و تسریع در آمادهسازی خودکارسازی است.
#Android #MobileTesting #UIInspector #OpenSource #QA #TestAutomation #Locators
🟣لینک مقاله:
https://cur.at/O3rNmRU?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
FunnelPeek: A Modern Tool for Exploring Android UI Elements
Inspecting and analyzing Android UI elements is a common step — whether you’re debugging an interface or automating app usage (for QA…
🔵 عنوان مقاله
Playwright in Practice: Writing Better Tests for Beginners with Page Object Pattern, Fixtures
🟢 خلاصه مقاله:
** این مطلب با یک رویکرد گامبهگام نشان میدهد چگونه با تکیه بر ساختاردهی و نگهداشتپذیری، از Playwright بهترین استفاده را ببریم. Michał Ślęzak با یک نمونه عملی توضیح میدهد که چطور از یک تست ساده شروع کنیم و آن را به مجموعهای تمیز و مقیاسپذیر تبدیل کنیم.
نویسنده بر Page Object Pattern تأکید میکند تا مکانیابها و اعمال صفحه بهجای پراکندگی در تستها، در آبجکتهای اختصاصی متمرکز شوند؛ این کار خوانایی را بالا میبرد، تکرار را کم میکند و تغییرات بعدی را سادهتر میسازد. همچنین نشان میدهد چگونه Fixtures میتواند آمادهسازی و پاکسازی را استاندارد کند؛ مثلا ایجاد contextهای احراز هویت، دادههای اولیه، یا پیکربندی مشترک، که نتیجهاش تستهای ایزولهتر، سریعتر و پایدارتر است.
در پایان، مجموعهای از بهترینعملها مطرح میشود: نامگذاری و ساختار پوشهها، انتخاب locatorهای پایدار و استراتژیهای انتظار درست، assertionهای قابل اعتماد، آمادگی برای اجرا در مرورگرهای مختلف و پایداری در CI. حاصل کار، مسیری روشن برای مبتدیان است تا بدون قربانی کردن خوانایی یا سرعت، تدریجاً الگوهای پیشرفتهتر را وارد فرایند تست خود کنند.
#Playwright #Testing #TestAutomation #PageObjectPattern #Fixtures #QA #EndToEndTesting #BestPractices
🟣لینک مقاله:
https://cur.at/UUnbbtX?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Playwright in Practice: Writing Better Tests for Beginners with Page Object Pattern, Fixtures
🟢 خلاصه مقاله:
** این مطلب با یک رویکرد گامبهگام نشان میدهد چگونه با تکیه بر ساختاردهی و نگهداشتپذیری، از Playwright بهترین استفاده را ببریم. Michał Ślęzak با یک نمونه عملی توضیح میدهد که چطور از یک تست ساده شروع کنیم و آن را به مجموعهای تمیز و مقیاسپذیر تبدیل کنیم.
نویسنده بر Page Object Pattern تأکید میکند تا مکانیابها و اعمال صفحه بهجای پراکندگی در تستها، در آبجکتهای اختصاصی متمرکز شوند؛ این کار خوانایی را بالا میبرد، تکرار را کم میکند و تغییرات بعدی را سادهتر میسازد. همچنین نشان میدهد چگونه Fixtures میتواند آمادهسازی و پاکسازی را استاندارد کند؛ مثلا ایجاد contextهای احراز هویت، دادههای اولیه، یا پیکربندی مشترک، که نتیجهاش تستهای ایزولهتر، سریعتر و پایدارتر است.
در پایان، مجموعهای از بهترینعملها مطرح میشود: نامگذاری و ساختار پوشهها، انتخاب locatorهای پایدار و استراتژیهای انتظار درست، assertionهای قابل اعتماد، آمادگی برای اجرا در مرورگرهای مختلف و پایداری در CI. حاصل کار، مسیری روشن برای مبتدیان است تا بدون قربانی کردن خوانایی یا سرعت، تدریجاً الگوهای پیشرفتهتر را وارد فرایند تست خود کنند.
#Playwright #Testing #TestAutomation #PageObjectPattern #Fixtures #QA #EndToEndTesting #BestPractices
🟣لینک مقاله:
https://cur.at/UUnbbtX?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Your Gateway to Efficient Test Automation
Playwright in Practice: Writing Better Tests for Beginners with Page Object Pattern, Fixtures (TS) - Your Gateway to Efficient…
Learn how to write cleaner, more maintainable Playwright tests with Page Object Pattern, fixtures, and TypeScript. A beginner-friendly refactoring guide.
🔵 عنوان مقاله
LOLMIL: Living Off the Land Models and Inference Libraries (8 minute read)
🟢 خلاصه مقاله:
بدافزارهای مبتنی بر LOLMIL با سوءاستفاده از LLMهای روی دستگاه و inference libraries پیشفرض سیستم، بدون تکیه بر زیرساخت خارجی عمل میکنند و شناسایی را دشوارتر میسازند. پروژه PromptLock از NYU نشان داد یک LLM میزبانشده میتواند بهصورت خودگردان عملیات مخرب را برنامهریزی و اجرا کند. نویسنده با الهام از آن، یک ابزار post-exploitation ساخت که از LLM موجود در Microsoft’s Copilot+ PCs استفاده میکند تا بدون نیاز به C2 Server و بهصورت محلی عمل کند. در یک نمونه آزمایشی و کنترلشده، با دادن قابلیتهایی برای شناسایی، تغییر و راهاندازی مجدد سرویسهای آسیبپذیر، LLM توانست دو سرویس را exploit کند. پیامد دفاعی: کاهش تلهمتری شبکه، نیاز به پایش رفتار سرویسها و استفاده از LLM روی دستگاه، اعمال least privilege و سختسازی سرویسها؛ همراه با توجه به ریسکهای دوکاربردی این فناوری.
#LOLMIL #LLM #Cybersecurity #MalwareResearch #CopilotPlusPCs #AIThreats #PostExploitation #C2
🟣لینک مقاله:
https://dreadnode.io/blog/lolmil-living-off-the-land-models-and-inference-libraries?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
LOLMIL: Living Off the Land Models and Inference Libraries (8 minute read)
🟢 خلاصه مقاله:
بدافزارهای مبتنی بر LOLMIL با سوءاستفاده از LLMهای روی دستگاه و inference libraries پیشفرض سیستم، بدون تکیه بر زیرساخت خارجی عمل میکنند و شناسایی را دشوارتر میسازند. پروژه PromptLock از NYU نشان داد یک LLM میزبانشده میتواند بهصورت خودگردان عملیات مخرب را برنامهریزی و اجرا کند. نویسنده با الهام از آن، یک ابزار post-exploitation ساخت که از LLM موجود در Microsoft’s Copilot+ PCs استفاده میکند تا بدون نیاز به C2 Server و بهصورت محلی عمل کند. در یک نمونه آزمایشی و کنترلشده، با دادن قابلیتهایی برای شناسایی، تغییر و راهاندازی مجدد سرویسهای آسیبپذیر، LLM توانست دو سرویس را exploit کند. پیامد دفاعی: کاهش تلهمتری شبکه، نیاز به پایش رفتار سرویسها و استفاده از LLM روی دستگاه، اعمال least privilege و سختسازی سرویسها؛ همراه با توجه به ریسکهای دوکاربردی این فناوری.
#LOLMIL #LLM #Cybersecurity #MalwareResearch #CopilotPlusPCs #AIThreats #PostExploitation #C2
🟣لینک مقاله:
https://dreadnode.io/blog/lolmil-living-off-the-land-models-and-inference-libraries?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
dreadnode.io
LOLMIL: Living Off the Land Models and Inference Libraries
Can we eliminate the C2 server entirely and create truly autonomous malware? It’s not only possible, but fairly straightforward to implement, as demonstrated in our latest experiment.
🔵 عنوان مقاله
Keeping the Internet fast and secure: introducing Merkle Tree Certificates (12 minute read)
🟢 خلاصه مقاله:
Cloudflare و Chrome در حال آزمایش Merkle Tree Certificates (MTCs) هستند تا با چالش بزرگیِ امضاهای پساکوانتومی مقابله کنند؛ امضاهایی که بسیار بزرگتر از ECDSA هستند (مثلاً ML-DSA-44 حدود ۲۴۲۰ بایت در برابر ۶۴ بایت برای ECDSA-P256). این افزایش اندازه میتواند زمان برقراری اتصال در TLS را بالا ببرد و پهنایباند بیشتری مصرف کند. MTCs با دستهبندی گواهیها در یک درخت Merkle و توزیع خارجازباند سرآیند امضاشدهٔ درخت، دادههای لازم در هنگام دستدهی را به «یک امضا، یک کلید عمومی و یک اثبات شمول Merkle» کاهش میدهد؛ در حالی که روش فعلی معمولاً به حدود پنج امضا و دو کلید عمومی نیاز دارد. نتیجه، کاهش پهنایباند و عملیات رمزنگاری روی مسیر بحرانی و حفظ سرعت وب در کنار امنیت در دوران پساکوانتومی است. این آزمایشها بهصورت عملی اثرات کارایی، قابلیت اتکا و شیوهٔ استقرار را میسنجند تا مهاجرت به الگوریتمهای پساکوانتومی مانند ML-DSA بدون افت عملکرد ممکن شود.
#PostQuantum #PQC #TLS #MerkleTreeCertificates #WebPerformance #WebSecurity #Cloudflare #Chrome
🟣لینک مقاله:
https://blog.cloudflare.com/bootstrap-mtc/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Keeping the Internet fast and secure: introducing Merkle Tree Certificates (12 minute read)
🟢 خلاصه مقاله:
Cloudflare و Chrome در حال آزمایش Merkle Tree Certificates (MTCs) هستند تا با چالش بزرگیِ امضاهای پساکوانتومی مقابله کنند؛ امضاهایی که بسیار بزرگتر از ECDSA هستند (مثلاً ML-DSA-44 حدود ۲۴۲۰ بایت در برابر ۶۴ بایت برای ECDSA-P256). این افزایش اندازه میتواند زمان برقراری اتصال در TLS را بالا ببرد و پهنایباند بیشتری مصرف کند. MTCs با دستهبندی گواهیها در یک درخت Merkle و توزیع خارجازباند سرآیند امضاشدهٔ درخت، دادههای لازم در هنگام دستدهی را به «یک امضا، یک کلید عمومی و یک اثبات شمول Merkle» کاهش میدهد؛ در حالی که روش فعلی معمولاً به حدود پنج امضا و دو کلید عمومی نیاز دارد. نتیجه، کاهش پهنایباند و عملیات رمزنگاری روی مسیر بحرانی و حفظ سرعت وب در کنار امنیت در دوران پساکوانتومی است. این آزمایشها بهصورت عملی اثرات کارایی، قابلیت اتکا و شیوهٔ استقرار را میسنجند تا مهاجرت به الگوریتمهای پساکوانتومی مانند ML-DSA بدون افت عملکرد ممکن شود.
#PostQuantum #PQC #TLS #MerkleTreeCertificates #WebPerformance #WebSecurity #Cloudflare #Chrome
🟣لینک مقاله:
https://blog.cloudflare.com/bootstrap-mtc/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Cloudflare Blog
Keeping the Internet fast and secure- introducing Merkle Tree Certificates
Cloudflare is launching an experiment with Chrome to evaluate fast, scalable, and quantum-ready Merkle Tree Certificates, all without degrading performance or changing WebPKI trust relationships.
❤1
🔵 عنوان مقاله
Streamlining Vulnerability Research with the idalib Rust Bindings for IDA 9.2 (5 minute read)
🟢 خلاصه مقاله:
** این پست سه افزونه مبتنی بر Rust برای IDA Pro 9.2 را معرفی میکند که با تکیه بر idalib از Binarly مراحل رایج در پژوهش آسیبپذیری را خودکار میکنند. rhabdomancer فراخوانیهای بالقوه ناامنِ API را شناسایی و بر اساس شدت اولویتبندی میکند؛ haruspex شبهکدِ دیکامپایلشده را برای ابزارهای تحلیل ایستا مثل Semgrep استخراج میکند؛ و augur کد مرتبط با رشتهها را سازماندهی میکند تا نقاط حساس برای تحلیل سریعتر مشخص شوند. هر سه ابزار بهصورت headless اجرا میشوند، برای پردازش دستهای و ادغام در CI مناسباند، و با تمرکز بر مقیاس و اتوماسیون، تحلیل سریع و خروجیهای قابل استفاده در زنجیره ابزارها را فراهم میکنند.
#IDAPro #Rust #ReverseEngineering #VulnerabilityResearch #Binarly #idalib #Semgrep #StaticAnalysis
🟣لینک مقاله:
https://hnsecurity.it/blog/streamlining-vulnerability-research-with-the-idalib-rust-bindings-for-ida-9-2/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Streamlining Vulnerability Research with the idalib Rust Bindings for IDA 9.2 (5 minute read)
🟢 خلاصه مقاله:
** این پست سه افزونه مبتنی بر Rust برای IDA Pro 9.2 را معرفی میکند که با تکیه بر idalib از Binarly مراحل رایج در پژوهش آسیبپذیری را خودکار میکنند. rhabdomancer فراخوانیهای بالقوه ناامنِ API را شناسایی و بر اساس شدت اولویتبندی میکند؛ haruspex شبهکدِ دیکامپایلشده را برای ابزارهای تحلیل ایستا مثل Semgrep استخراج میکند؛ و augur کد مرتبط با رشتهها را سازماندهی میکند تا نقاط حساس برای تحلیل سریعتر مشخص شوند. هر سه ابزار بهصورت headless اجرا میشوند، برای پردازش دستهای و ادغام در CI مناسباند، و با تمرکز بر مقیاس و اتوماسیون، تحلیل سریع و خروجیهای قابل استفاده در زنجیره ابزارها را فراهم میکنند.
#IDAPro #Rust #ReverseEngineering #VulnerabilityResearch #Binarly #idalib #Semgrep #StaticAnalysis
🟣لینک مقاله:
https://hnsecurity.it/blog/streamlining-vulnerability-research-with-the-idalib-rust-bindings-for-ida-9-2/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
HN Security
Streamlining Vulnerability Research with the idalib Rust Bindings for IDA 9.2 - HN Security
HN Security's Technical Director Marco Ivaldi walks through using idalib's Rust bindings with IDA 9.2 to streamline vulnerability research.
🔵 عنوان مقاله
The Day I Stopped Trusting My Load Tests (And Started Simulating Chaos Instead)
🟢 خلاصه مقاله:
**هریپراساث V S توضیح میدهد چرا به تستهای بار سنتی که بر میانگینها و سناریوهای قابل پیشبینی تکیه میکنند اعتماد نکرد و چگونه با بهکارگیری روش Monte Carlo رفتارهای غیرقابلپیشبینی کاربران و رخدادهای دمِسنگین را آشکار کرد. با مدلکردن عدمقطعیتها بهصورت توزیعهای احتمالی و اجرای هزاران سناریوی تصادفی، آنها توانستند احتمال ازدسترفتن SLO، تشکیل صفها، و بروز جهشهای تاخیری در p99+ را بسنجند؛ ریسکهایی که در تستهای عادی پنهان میمانند، مثل هجوم همزمان retryها، داغشدن پارتیشنها و اسپایکهای نادر اما مخرب. سپس با تزریق آشوب (خرابی گره، packet loss، timeout، وقفه GC و اختلالات جزئی وابستگیها) دیدند خطاها چگونه در معماری پخش میشود و بر این اساس به الگوهای انعطافپذیرتر مانند retry با jitter و سقف، timeoutهای بودجهمحور، circuit breaker، backpressure، load shedding و طراحیهای idempotent روی آوردند. نتیجه، گذار از «تست قبولی/ردی» به ارزیابی احتمالاتی ریسک است که در CI/CD، برنامهریزی ظرفیت و اولویتبندی بهبودهای تابآوری به کار گرفته میشود.
#LoadTesting #ChaosEngineering #MonteCarlo #Reliability #Resilience #PerformanceEngineering #SRE #Scalability
🟣لینک مقاله:
https://cur.at/f4RKFUM?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Day I Stopped Trusting My Load Tests (And Started Simulating Chaos Instead)
🟢 خلاصه مقاله:
**هریپراساث V S توضیح میدهد چرا به تستهای بار سنتی که بر میانگینها و سناریوهای قابل پیشبینی تکیه میکنند اعتماد نکرد و چگونه با بهکارگیری روش Monte Carlo رفتارهای غیرقابلپیشبینی کاربران و رخدادهای دمِسنگین را آشکار کرد. با مدلکردن عدمقطعیتها بهصورت توزیعهای احتمالی و اجرای هزاران سناریوی تصادفی، آنها توانستند احتمال ازدسترفتن SLO، تشکیل صفها، و بروز جهشهای تاخیری در p99+ را بسنجند؛ ریسکهایی که در تستهای عادی پنهان میمانند، مثل هجوم همزمان retryها، داغشدن پارتیشنها و اسپایکهای نادر اما مخرب. سپس با تزریق آشوب (خرابی گره، packet loss، timeout، وقفه GC و اختلالات جزئی وابستگیها) دیدند خطاها چگونه در معماری پخش میشود و بر این اساس به الگوهای انعطافپذیرتر مانند retry با jitter و سقف، timeoutهای بودجهمحور، circuit breaker، backpressure، load shedding و طراحیهای idempotent روی آوردند. نتیجه، گذار از «تست قبولی/ردی» به ارزیابی احتمالاتی ریسک است که در CI/CD، برنامهریزی ظرفیت و اولویتبندی بهبودهای تابآوری به کار گرفته میشود.
#LoadTesting #ChaosEngineering #MonteCarlo #Reliability #Resilience #PerformanceEngineering #SRE #Scalability
🟣لینک مقاله:
https://cur.at/f4RKFUM?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
The Day I Stopped Trusting My Load Tests (And Started Simulating Chaos Instead)
Or: How Monte Carlo Simulation Saved me
🔵 عنوان مقاله
Best Web Test Automation Tool?
🟢 خلاصه مقاله:
در جستوجوی بهترین ابزار Web Test Automation، Alan Richardson با نگاهی عملی وضعیت راهکارهای پرطرفدار را بررسی کرده و نشان میدهد «بهترین» فقط در بستر نیازها و محدودیتهای هر تیم معنا پیدا میکند. او با آزمونهای عملی و مقایسهی روبهرو، معیارهایی مانند پایداری، پوشش cross-browser، اجرای موازی، سهولت یادگیری، نگهداشت تستها، گزارشدهی و دیباگ، یکپارچگی با CI/CD و هزینهی کل مالکیت را سنجیده است. تفاوتهای مهم میان ابزارهای متنباز و تجاری، رویکردهای code-first و codeless، و سرویسهای ابری در برابر راهکارهای on-premise نیز در تحلیل او برجسته شده و به خطر قفلشدن در یک اکوسیستم و اهمیت مستندات و جامعهی کاربری اشاره شده است. در نهایت، Richardson بر اساس زمینهی خودش رأی میدهد و از خواننده میخواهد با توجه به شرایط تیم خود قضاوت کند—بهنظر شما رقبای اصلی فهرست نهایی کداماند؟
#TestAutomation #WebTesting #SoftwareTesting #QA #AutomationTools #CICD #AlanRichardson
🟣لینک مقاله:
https://cur.at/ApcXBIu?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Best Web Test Automation Tool?
🟢 خلاصه مقاله:
در جستوجوی بهترین ابزار Web Test Automation، Alan Richardson با نگاهی عملی وضعیت راهکارهای پرطرفدار را بررسی کرده و نشان میدهد «بهترین» فقط در بستر نیازها و محدودیتهای هر تیم معنا پیدا میکند. او با آزمونهای عملی و مقایسهی روبهرو، معیارهایی مانند پایداری، پوشش cross-browser، اجرای موازی، سهولت یادگیری، نگهداشت تستها، گزارشدهی و دیباگ، یکپارچگی با CI/CD و هزینهی کل مالکیت را سنجیده است. تفاوتهای مهم میان ابزارهای متنباز و تجاری، رویکردهای code-first و codeless، و سرویسهای ابری در برابر راهکارهای on-premise نیز در تحلیل او برجسته شده و به خطر قفلشدن در یک اکوسیستم و اهمیت مستندات و جامعهی کاربری اشاره شده است. در نهایت، Richardson بر اساس زمینهی خودش رأی میدهد و از خواننده میخواهد با توجه به شرایط تیم خود قضاوت کند—بهنظر شما رقبای اصلی فهرست نهایی کداماند؟
#TestAutomation #WebTesting #SoftwareTesting #QA #AutomationTools #CICD #AlanRichardson
🟣لینک مقاله:
https://cur.at/ApcXBIu?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Eviltester
What tool to choose for Web UI Test Automation?
What is the best tool to choose for Web UI Test Automation? Is it still Selenium WebDriver? Or should you use Playwright?
🔵 عنوان مقاله
I Integrated AI in a Listener to Heal Locators in The Real Time
🟢 خلاصه مقاله:
عبدالقادر حسینی نشان میدهد چگونه میتوان با ادغام AI در یک listener، مشکل ناپایداری تستهای موبایل را با «خودترمیمی لوکیتورها» در لحظه کاهش داد. وقتی یافتن یک المنت بهدلیل تغییرات UI شکست میخورد، listener خطا را رهگیری میکند، ماژول AI بر اساس سیگنالهای مختلف (ویژگیها، برچسبهای دسترسی، شباهت متنی، ساختار صفحه و دادههای تاریخی) یک لوکیتور جایگزین با امتیاز اطمینان پیشنهاد میدهد و در صورت موفقیت، آن را بهصورت خودکار بهروزرسانی میکند. با اعمال آستانه اطمینان، لاگ شفاف و امکان بازگشت، این روش بدون افزایش ریسک، پایداری CI را بالا میبرد و هزینه نگهداری تستها را کم میکند. الگوی ارائهشده قابل تعمیم به فراتر از موبایل است و پیشنهاد میشود ابتدا در حالت فقط-پیشنهاد اجرا، سپس با تنظیم آستانهها، به حالت خودترمیمی خودکار برای موارد با اطمینان بالا منتقل شود.
#AI #TestAutomation #MobileTesting #SelfHealingLocators #FlakyTests #QualityEngineering #DevOps #CICD
🟣لینک مقاله:
https://cur.at/s6YdwTw?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
I Integrated AI in a Listener to Heal Locators in The Real Time
🟢 خلاصه مقاله:
عبدالقادر حسینی نشان میدهد چگونه میتوان با ادغام AI در یک listener، مشکل ناپایداری تستهای موبایل را با «خودترمیمی لوکیتورها» در لحظه کاهش داد. وقتی یافتن یک المنت بهدلیل تغییرات UI شکست میخورد، listener خطا را رهگیری میکند، ماژول AI بر اساس سیگنالهای مختلف (ویژگیها، برچسبهای دسترسی، شباهت متنی، ساختار صفحه و دادههای تاریخی) یک لوکیتور جایگزین با امتیاز اطمینان پیشنهاد میدهد و در صورت موفقیت، آن را بهصورت خودکار بهروزرسانی میکند. با اعمال آستانه اطمینان، لاگ شفاف و امکان بازگشت، این روش بدون افزایش ریسک، پایداری CI را بالا میبرد و هزینه نگهداری تستها را کم میکند. الگوی ارائهشده قابل تعمیم به فراتر از موبایل است و پیشنهاد میشود ابتدا در حالت فقط-پیشنهاد اجرا، سپس با تنظیم آستانهها، به حالت خودترمیمی خودکار برای موارد با اطمینان بالا منتقل شود.
#AI #TestAutomation #MobileTesting #SelfHealingLocators #FlakyTests #QualityEngineering #DevOps #CICD
🟣لینک مقاله:
https://cur.at/s6YdwTw?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
I Integrated AI in a Listener to Heal Locators in The Real Time
A Self-Healing Robot Framework Listener That Prevents Tests From Failing Due Locator Update