Путешествие в Кострому (23-24 февраля)
Эти выходные мы провели в Костроме и завтра утром едем обратно. За это время мы успели
- Побывать в Костромской слободе, что расположена рядом с Ипатьевским монастырем. Там расположен музей деревянного зодчества, где можно увидеть как выглядели деревянные жилые дома, церкви, мельницы. В часть из строений можно зайти и поучаствовать в интерактиве, попить чайку и послушать рассказ про устройство русской избы
- Зайти в гости к Снегурочке, послушать рассказ про ее появление и теплые отношения с самим Дедом Морозом. В тереме Снегурочки есть ледянная комната, где наливают коктейли как детям, так и взрослым
- Посетить музей сыра, подоить корову и узнать как из получившегося молока делают сыр, а потом и продегустировать его
- Съездить на лосиную ферму, где удалось посмотреть на лосяшей, покормить и поглядить их:)
- Зайти в музей бересты и льна, где нам показали как выглядела женская и мужская работа в деревне. Как лен использовали для создания тканей, а бересту для создания обуви и инструментов.
В общем, все было очень интересно. Спасибо организаторам из канала "Путь открытий", которые организовали групповой выезд.
#ForKids #ForParents #Family
Эти выходные мы провели в Костроме и завтра утром едем обратно. За это время мы успели
- Побывать в Костромской слободе, что расположена рядом с Ипатьевским монастырем. Там расположен музей деревянного зодчества, где можно увидеть как выглядели деревянные жилые дома, церкви, мельницы. В часть из строений можно зайти и поучаствовать в интерактиве, попить чайку и послушать рассказ про устройство русской избы
- Зайти в гости к Снегурочке, послушать рассказ про ее появление и теплые отношения с самим Дедом Морозом. В тереме Снегурочки есть ледянная комната, где наливают коктейли как детям, так и взрослым
- Посетить музей сыра, подоить корову и узнать как из получившегося молока делают сыр, а потом и продегустировать его
- Съездить на лосиную ферму, где удалось посмотреть на лосяшей, покормить и поглядить их:)
- Зайти в музей бересты и льна, где нам показали как выглядела женская и мужская работа в деревне. Как лен использовали для создания тканей, а бересту для создания обуви и инструментов.
В общем, все было очень интересно. Спасибо организаторам из канала "Путь открытий", которые организовали групповой выезд.
#ForKids #ForParents #Family
👍41❤23🔥3🆒1
Jeff Dean (Google): Exciting Trends in Machine Learning
Интересная лекция Джеффа Дина, что прошла две недели назад в Rice Univerysity, в которой Джефф рассказывает про интересные тенденции в области искусственного интеллекта и машинного обучения. По-факту, это обновленная и расширенная с 12 минут до полутора часов версия доклад Джеффа с TED, про которую я писал в начале недели. Здесь Джефф тоже начинает с улучшения алгоритмов и железа, а потом добирается до современных ML систем общего назначения и дает бзор семейства мультимодальных моделей Gemini. Джефф также рассказывает как эти новые модели могут применяться в науке, технике и здравоохранении.
#ML #AI #DataScience #Software
Интересная лекция Джеффа Дина, что прошла две недели назад в Rice Univerysity, в которой Джефф рассказывает про интересные тенденции в области искусственного интеллекта и машинного обучения. По-факту, это обновленная и расширенная с 12 минут до полутора часов версия доклад Джеффа с TED, про которую я писал в начале недели. Здесь Джефф тоже начинает с улучшения алгоритмов и железа, а потом добирается до современных ML систем общего назначения и дает бзор семейства мультимодальных моделей Gemini. Джефф также рассказывает как эти новые модели могут применяться в науке, технике и здравоохранении.
#ML #AI #DataScience #Software
YouTube
Jeff Dean (Google): Exciting Trends in Machine Learning
Abstract: In this talk I’ll highlight several exciting trends in the field of AI and machine learning. Through a combination of improved algorithms and major efficiency improvements in ML-specialized hardware, we are now able to build much more capable, general…
❤8🔥4👍2
Суини Тодд, маньяк-цирюльник с Флит-стрит (Театр на Таганке)
Вчера с женой были в Театре на Таганке на мюзикле про знаменитого цирюльника Суини Тодда. Мне понравился интерактивный формате, где посетители сидят за столами, а все действие происходит между ними. Герои перемещаются между столами, поют, иногда наливают или угощают пирожками:) Так как это мюзикл, то зрители наслаждаются музыкой, а так как история тяжелая, то и черным юмором. Сам сюжет похож на историю графа Монте-Кристо, где главный персонаж одержим местью ...
P.S.
Версию этой истории от КиШ я в живую не видел, так что сравнивать не могу. Но эта постановка в Театре на Таганке мне понравилась.
#Theater
Вчера с женой были в Театре на Таганке на мюзикле про знаменитого цирюльника Суини Тодда. Мне понравился интерактивный формате, где посетители сидят за столами, а все действие происходит между ними. Герои перемещаются между столами, поют, иногда наливают или угощают пирожками:) Так как это мюзикл, то зрители наслаждаются музыкой, а так как история тяжелая, то и черным юмором. Сам сюжет похож на историю графа Монте-Кристо, где главный персонаж одержим местью ...
P.S.
Версию этой истории от КиШ я в живую не видел, так что сравнивать не могу. Но эта постановка в Театре на Таганке мне понравилась.
#Theater
🔥9👍7❤4
Code of Leadership #5 Project Phoenix
Вышел пятый выпуск подкаста "Code of Leadership", в котором я обсуждаю с гостями книги, полезные для IT руководителей. В этот раз речь идет про книгу "Проект Феникс", которая написана в жанре производственного романа и похожа на книгу "Цель" ("Goal") или "Критическая цепь" ("Critical Chain") Голдратта. Правда, здесь основные действия разворачиваются не на заводе, а в среде обитания it'шников внутри производственной компании Parts Unlimited.
Книгу мы разбираем с Иваном Михеевым, который является co-founder и CTO в компании Youtravel.me, маркетплейсе авторских туров. Иван успешно руководил как малыми командами, так и большими отделами на 150+ человек. Одно из его увлечений – путешествия и открытие новых уголков мира, что также вдохновляет его в профессиональной деятельности.
#Management #Software #Processes #Project #ProductManagement #Engineering #Processes #Leadership
Вышел пятый выпуск подкаста "Code of Leadership", в котором я обсуждаю с гостями книги, полезные для IT руководителей. В этот раз речь идет про книгу "Проект Феникс", которая написана в жанре производственного романа и похожа на книгу "Цель" ("Goal") или "Критическая цепь" ("Critical Chain") Голдратта. Правда, здесь основные действия разворачиваются не на заводе, а в среде обитания it'шников внутри производственной компании Parts Unlimited.
Книгу мы разбираем с Иваном Михеевым, который является co-founder и CTO в компании Youtravel.me, маркетплейсе авторских туров. Иван успешно руководил как малыми командами, так и большими отделами на 150+ человек. Одно из его увлечений – путешествия и открытие новых уголков мира, что также вдохновляет его в профессиональной деятельности.
#Management #Software #Processes #Project #ProductManagement #Engineering #Processes #Leadership
❤5👍3🔥3
Continuous Integration: That’s Not What They Meant • Clare Sudbery • GOTO 2023
Целый доклад про TBD (trunk based development) и почему continuous integration без TBD не является continuous:) Основная мысль в том, что если работа идет в отдельных долгоживущих бранчах, то тогда код из разных веток не интегрируется непрерывно, а только изредка, что противоречит CI логике. Хотя сейчас CI обычно называют просто пайплайны, которые запускаются для сборки кода из отдельных бранчей. TBD же в свою очередь это (по версии сайта trunkbaseddevelopment.com)
Ну и дальше весь доклад Клара рассказывает детали про TBD и CI/CD, а также приводит цитаты видных инженеров и консультантов на эту тему:)
Забавно, что этот доклад развивает тему DevOps и CI/CD, что были затронуты во вчерашнем посте выпуске Code of Leadership по книге "Prject Phoenix" ("Проект Феникс"), которую мы обсуждали с Ваней Михеевым.
#Devops #Software #Processes #Engineering
Целый доклад про TBD (trunk based development) и почему continuous integration без TBD не является continuous:) Основная мысль в том, что если работа идет в отдельных долгоживущих бранчах, то тогда код из разных веток не интегрируется непрерывно, а только изредка, что противоречит CI логике. Хотя сейчас CI обычно называют просто пайплайны, которые запускаются для сборки кода из отдельных бранчей. TBD же в свою очередь это (по версии сайта trunkbaseddevelopment.com)
A source-control branching model, where developers collaborate on code in a single branch called ‘trunk’ *, resist any pressure to create other long-lived development branches by employing documented techniques. They therefore avoid merge hell, do not break the build, and live happily ever after.
Ну и дальше весь доклад Клара рассказывает детали про TBD и CI/CD, а также приводит цитаты видных инженеров и консультантов на эту тему:)
Забавно, что этот доклад развивает тему DevOps и CI/CD, что были затронуты во вчерашнем посте выпуске Code of Leadership по книге "Prject Phoenix" ("Проект Феникс"), которую мы обсуждали с Ваней Михеевым.
#Devops #Software #Processes #Engineering
YouTube
Continuous Integration: That’s Not What They Meant • Clare Sudbery • GOTO 2023
This presentation was recorded at GOTO Amsterdam 2023. #GOTOcon #GOTOams
https://gotoams.nl
Clare Sudbery - Technical Coach @ClareSudberySSELtd
RESOURCES
https://twitter.com/ClareSudbery
https://linkedin.com/in/clare-sudbery-she-her-35939540
https://m…
https://gotoams.nl
Clare Sudbery - Technical Coach @ClareSudberySSELtd
RESOURCES
https://twitter.com/ClareSudbery
https://linkedin.com/in/clare-sudbery-she-her-35939540
https://m…
❤8👍2🔥1
How Flow Works & Other Curiosities • James Lewis • YOW! 2023
Интересный доклад от James Lewis на тему оптимизации потока создания ценности при разработке софта.
Автор начинает с того, что вспоминает что появилось за последние 15 лет (AWS, Android, Git, Continuous Delivery, Microservices, K8s, Platform Engineering, ML &AI). Рассказывает кратко про теорию очередей и закон Литтла. Автор дает отсылки на книги
- "Continuous Delivery" (я про нее рассказывал)
- "Building microservices" (я рассказывал про продолжение этой книги "Monolith to Microservices")
- "Building evolutionary architecture" (я рассказывал про эту книгу + у нас было ее обсуждение в клубе "Code of Architecture", а также я рассказывал доклад на эту тему)
- "The Principles of Product Development Flow" (эту книгу я еще не читал)
- "Accelerate" (я делал обзор этой книги в трех частях: 1, 2 и 3)
- "Team topologies" (я делал обзор в трех частях)
А дальше автор рассказывает про value stream mapping и как его можно использовать для улушения потока ценности. А также потом James рассказывает про NetLogo, которую можно использовать для моделирования процессов разработки и дальше показывает как покрутить параметры модели, чтобы смоделировать изменения системы. Например, есть моделька waterfall модели разработки большими батчами и agile команды, что практикует continuous delivery. Мне выступление понравилось именно тем, что тут есть пример моделирования процессов производственной системы.
P.S.
Помню как я игрался с программой NetLogo в рамках курса Model Thinking на Coursera, а потом еще при чтении книги Model Thinker, про которые вспоминал пару лет назад.
Очень рекомендую курс и книгу.
#Management #Software #SoftwareDevelopment #Processes #Architecture #Devops #Leadership
Интересный доклад от James Lewis на тему оптимизации потока создания ценности при разработке софта.
Автор начинает с того, что вспоминает что появилось за последние 15 лет (AWS, Android, Git, Continuous Delivery, Microservices, K8s, Platform Engineering, ML &AI). Рассказывает кратко про теорию очередей и закон Литтла. Автор дает отсылки на книги
- "Continuous Delivery" (я про нее рассказывал)
- "Building microservices" (я рассказывал про продолжение этой книги "Monolith to Microservices")
- "Building evolutionary architecture" (я рассказывал про эту книгу + у нас было ее обсуждение в клубе "Code of Architecture", а также я рассказывал доклад на эту тему)
- "The Principles of Product Development Flow" (эту книгу я еще не читал)
- "Accelerate" (я делал обзор этой книги в трех частях: 1, 2 и 3)
- "Team topologies" (я делал обзор в трех частях)
А дальше автор рассказывает про value stream mapping и как его можно использовать для улушения потока ценности. А также потом James рассказывает про NetLogo, которую можно использовать для моделирования процессов разработки и дальше показывает как покрутить параметры модели, чтобы смоделировать изменения системы. Например, есть моделька waterfall модели разработки большими батчами и agile команды, что практикует continuous delivery. Мне выступление понравилось именно тем, что тут есть пример моделирования процессов производственной системы.
P.S.
Помню как я игрался с программой NetLogo в рамках курса Model Thinking на Coursera, а потом еще при чтении книги Model Thinker, про которые вспоминал пару лет назад.
Очень рекомендую курс и книгу.
#Management #Software #SoftwareDevelopment #Processes #Architecture #Devops #Leadership
YouTube
How Flow Works & Other Curiosities • James Lewis • YOW! 2023
This presentation was recorded at YOW! Australia 2023. #GOTOcon #YOW
https://yowcon.com
James Lewis - Software Architect & Director at Thoughtworks @thoughtworks
RESOURCES
https://bsky.app/profile/boicy.bovon.org
https://twitter.com/boicy
https://link…
https://yowcon.com
James Lewis - Software Architect & Director at Thoughtworks @thoughtworks
RESOURCES
https://bsky.app/profile/boicy.bovon.org
https://twitter.com/boicy
https://link…
🔥5👍3❤2😁1
Первые пять выпусков "Code of Leadership"
За последние полтора месяца вышло пять серий моего подкаста "Code of Leadership", по которым можно было понять формат и насколько он интересен читателям этого канала. Ниже приведены материалы по вышедшим сериям, а в комментах было бы интересно услышать обратную связь и если есть предложения об улучшениях
1. Обсуждение "Team topologies", где гостем был Станислав Халуп, бывший CPO внутренней платформы разработки в Tinkoff. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
2. Обсуждение "Антихрупкости в IT", где гостем был Александр Бындю, автор книги, владелец аутсорс компании и консультант. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
3. Обсуждение "Herding Cats", где гостем был Евгений Кузовлев, технический директор платежей. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
4. Обсуждение "Turn the ship around", где гостем была Екатерина Шестимерова, технический проджект и бывший руководитель Тинькофф Образования. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
5. Обсуждение "The Phoenix Project", где гостем был Иван Михеев, технический директор YouTravel.Me. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
#Management #Software #Processes #Project #ProductManagement #Engineering #Leadership
За последние полтора месяца вышло пять серий моего подкаста "Code of Leadership", по которым можно было понять формат и насколько он интересен читателям этого канала. Ниже приведены материалы по вышедшим сериям, а в комментах было бы интересно услышать обратную связь и если есть предложения об улучшениях
1. Обсуждение "Team topologies", где гостем был Станислав Халуп, бывший CPO внутренней платформы разработки в Tinkoff. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
2. Обсуждение "Антихрупкости в IT", где гостем был Александр Бындю, автор книги, владелец аутсорс компании и консультант. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
3. Обсуждение "Herding Cats", где гостем был Евгений Кузовлев, технический директор платежей. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
4. Обсуждение "Turn the ship around", где гостем была Екатерина Шестимерова, технический проджект и бывший руководитель Тинькофф Образования. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
5. Обсуждение "The Phoenix Project", где гостем был Иван Михеев, технический директор YouTravel.Me. Материалы по выпуску: статья в блоге, видеоподкаст, аудиоподкаст, miro-доска
#Management #Software #Processes #Project #ProductManagement #Engineering #Leadership
🔥19👍7❤6
Code of Leadership #6 Staff+ инженеры, как мы их растим внутри и нанимаем с рынка
Шестой выпуск Code of Leadership посвящен теме инженеров высоких грейдов, которые в западной практике называются Staff+. В этом выпуске гостем является Алексей Тарасов - технический директор социальных платформ в Тинькофф. Мы вместе с Лешей обсуждаем как выглядит матрица SDE (software development engineer), какие треки развития есть у инженеров, как выглядит процесс роста внутри и найм сотрудников снаружи. Также ближе к концу дискуссии мы обсуждаем один из этапов собеседований, который называется "Architecture & SDLC", который мы проводим для кандидатов на Staff+ уровень.
P.S.
Источники, которые упоминаются в выпуске:
- Архитектура в масштабе на ArchDays 2020
- System Design Interview на ArchDays 2021
- Как подготовиться и пройти System Design Interview на ArchDays 2022
- Варианты роста инженера, если он уже Senior на Tinkoff Meetup 2023
- Как нанимать технических руководителей на Teamlead Conf 2023
- Книга Will Larson "Staff Engineer" и мои обзоры этой книги в двух частях: 1 и 2
#Management #Software #Processes #Project #ProductManagement #Engineering #Processes #Leadership #Staff #Architecture #Career
Шестой выпуск Code of Leadership посвящен теме инженеров высоких грейдов, которые в западной практике называются Staff+. В этом выпуске гостем является Алексей Тарасов - технический директор социальных платформ в Тинькофф. Мы вместе с Лешей обсуждаем как выглядит матрица SDE (software development engineer), какие треки развития есть у инженеров, как выглядит процесс роста внутри и найм сотрудников снаружи. Также ближе к концу дискуссии мы обсуждаем один из этапов собеседований, который называется "Architecture & SDLC", который мы проводим для кандидатов на Staff+ уровень.
P.S.
Источники, которые упоминаются в выпуске:
- Архитектура в масштабе на ArchDays 2020
- System Design Interview на ArchDays 2021
- Как подготовиться и пройти System Design Interview на ArchDays 2022
- Варианты роста инженера, если он уже Senior на Tinkoff Meetup 2023
- Как нанимать технических руководителей на Teamlead Conf 2023
- Книга Will Larson "Staff Engineer" и мои обзоры этой книги в двух частях: 1 и 2
#Management #Software #Processes #Project #ProductManagement #Engineering #Processes #Leadership #Staff #Architecture #Career
🔥13❤5👍4
Monopoly Junior: Paw Patrol
Сегодня мой сын Кирилл, которому всего 3 года, выиграл нас с женой в "Монополию джуниор: Щенячий патруль". Отчасти это доказывает насколько ужасен геймдизайн этой игры - она настолько рандомная, что просто выкидывая кубик и покупая здания можно легко стать магнатом ... эхх если бы в жизни было так просто. Еще забавно, что моя жена, Настя, купила английскую версию игры, поэтому наши детишки сами пока играть не смогут. Но Кирилл как раз ходит в английский детский сад Ng Kids, поэтому есть вера, что когда-нибудь он сможет сам читать что написано в карточках заданий этой монополии:)
#ForKids #ForParents
Сегодня мой сын Кирилл, которому всего 3 года, выиграл нас с женой в "Монополию джуниор: Щенячий патруль". Отчасти это доказывает насколько ужасен геймдизайн этой игры - она настолько рандомная, что просто выкидывая кубик и покупая здания можно легко стать магнатом ... эхх если бы в жизни было так просто. Еще забавно, что моя жена, Настя, купила английскую версию игры, поэтому наши детишки сами пока играть не смогут. Но Кирилл как раз ходит в английский детский сад Ng Kids, поэтому есть вера, что когда-нибудь он сможет сам читать что написано в карточках заданий этой монополии:)
#ForKids #ForParents
❤17😁7🔥2
The State of Application Security 2023 • Sebastian Brandes • GOTO 2023
Отличный доклад для воскресного утра про Application security от Себастьяна, ко-фаундера и CEO стартапа Heyhack. Доклад носит достаточно практичный характер и в нем не просто рассказывают про базовые концепции и приводят результаты исследования безопасности за 2023 год (что тоже очень интересно), но и демо топовых уязвимостей:)
Доклад состоит из следующих частей:
- Результаты исследования - Авторы исследовали автоматически почти 4 миллиона сервисов из 103 стран, больше 8 тысяч компаний. Для deep dive в результаты автор вспоминает про базу про CVSS (Common Vulnerability Scoring System) для оценки severity уязвимостей. Это нужно, чтобы показать, что 3/4 организаций имеют известные уязвимости высокого severity уровня (7+). Плюс интересно смотреть на распределение уязвимостей по странам (Россия достаточно хорошо выглядит на общем уровне или авторы не особо долбили российские сервисы)
- Deep dive в темы
-- File leaks - у 29% организаций еще были найдены утечки данных (код, бекапы, ключи, конфигурации, ...)
-- Dangling DNS records - Почти четверть компаний оказались с dangling DNS записями, когда доменное имя остается делегировано на ip адрес, который уже не принадлежит компании (например, когда в облаке погасил машинки, на которые делировал поддомен, а делегирование поддомена не убрал). Собственно, автор проводит демо как это может выглядеть и объясняет, что такую висящую DNS запись можно захватить и дальше украсть сессионные куки или повесить фрод на легитимный поддомен.
-- Vulnerable ftp servers - пример уязвимости proFTP 1.3.5 (CVE-2015-3306) и говорит, что 1.5% исследованных компаний имеют эту уязвимость:) А дальше проводит демо как ее эксплуатировать.
-- Cross-site scripting - это тип атаки, который заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода и взаимодействии этого кода с веб-сервером злоумышленника. 4% компаний имеют известные уязвимости такого рода и они часто завязаны на wordpress плагины, nginx модули, keycloak, drupal плагины и вообще любые плагины известных веб-приложений. Здесь автор вспоминает OWASP (Open Worldwide Application Security Project) и конкретно проект OWASP Juice Shop - супер-дырявого приложения, которое специально спроектировали для тренировочных целей. Собственно в своем демо автор его активно использует. Плюс в демо используется BeEF - The Browser Exploitation Framework Project. Демо выглядит очень интересно и показывает на пальцах как выглядят уязвимости и к чему может привести безответственность в вопросах безопасности.
- Разбор кейса с Fortnite и EpicGames - пример того, как комбинация нескольких уязвимостей позволяет сломать систему. В данном случае это было приложение Fortnite. Саму уязвимость нашли ребята из Check Point и у них есть интересный разбор
- WAF и их частичнаябесполезность - объяснение того, как работают WAF (web app firewall) и как они легко попадают в ошибки вида false positive и false negative:)
В финале автор рассказывает о главных выводах:
- Надеяться на WAF не стоит
- Нужно проактивно работать с уязвимостями и устранять их до того, как они привели к инцидентам безопасности
- Начать работать над app security просто
Ну и конкретно по вектору web attack предлагается такой план:
- Определить поверхность атаки (внешние домены) и понять уязвимые цели
- Пофиксить висящие DNS записи
- Обновить сервера (Apache, Nginx, ...)
- Настроить continuous testing критичных приложений
- Поработать с разработчиками и интегрировать с их инструментами средства безопасности для устранения найденных уязвимостей
- Протестировать заново найденные уязвимости и убедиться, что они исправлены
- И дальше работать так в цикле
Итого, это очень базовый доклад, но с интересной статистикой и с практичными советами по улучшению ситуации.
#Security #SRE #SoftwareArchitecture #Software #Engineering #Management #Leadership #Processes #SystemThinking #SystemEngineering
Отличный доклад для воскресного утра про Application security от Себастьяна, ко-фаундера и CEO стартапа Heyhack. Доклад носит достаточно практичный характер и в нем не просто рассказывают про базовые концепции и приводят результаты исследования безопасности за 2023 год (что тоже очень интересно), но и демо топовых уязвимостей:)
Доклад состоит из следующих частей:
- Результаты исследования - Авторы исследовали автоматически почти 4 миллиона сервисов из 103 стран, больше 8 тысяч компаний. Для deep dive в результаты автор вспоминает про базу про CVSS (Common Vulnerability Scoring System) для оценки severity уязвимостей. Это нужно, чтобы показать, что 3/4 организаций имеют известные уязвимости высокого severity уровня (7+). Плюс интересно смотреть на распределение уязвимостей по странам (Россия достаточно хорошо выглядит на общем уровне или авторы не особо долбили российские сервисы)
- Deep dive в темы
-- File leaks - у 29% организаций еще были найдены утечки данных (код, бекапы, ключи, конфигурации, ...)
-- Dangling DNS records - Почти четверть компаний оказались с dangling DNS записями, когда доменное имя остается делегировано на ip адрес, который уже не принадлежит компании (например, когда в облаке погасил машинки, на которые делировал поддомен, а делегирование поддомена не убрал). Собственно, автор проводит демо как это может выглядеть и объясняет, что такую висящую DNS запись можно захватить и дальше украсть сессионные куки или повесить фрод на легитимный поддомен.
-- Vulnerable ftp servers - пример уязвимости proFTP 1.3.5 (CVE-2015-3306) и говорит, что 1.5% исследованных компаний имеют эту уязвимость:) А дальше проводит демо как ее эксплуатировать.
-- Cross-site scripting - это тип атаки, который заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода и взаимодействии этого кода с веб-сервером злоумышленника. 4% компаний имеют известные уязвимости такого рода и они часто завязаны на wordpress плагины, nginx модули, keycloak, drupal плагины и вообще любые плагины известных веб-приложений. Здесь автор вспоминает OWASP (Open Worldwide Application Security Project) и конкретно проект OWASP Juice Shop - супер-дырявого приложения, которое специально спроектировали для тренировочных целей. Собственно в своем демо автор его активно использует. Плюс в демо используется BeEF - The Browser Exploitation Framework Project. Демо выглядит очень интересно и показывает на пальцах как выглядят уязвимости и к чему может привести безответственность в вопросах безопасности.
- Разбор кейса с Fortnite и EpicGames - пример того, как комбинация нескольких уязвимостей позволяет сломать систему. В данном случае это было приложение Fortnite. Саму уязвимость нашли ребята из Check Point и у них есть интересный разбор
- WAF и их частичная
В финале автор рассказывает о главных выводах:
- Надеяться на WAF не стоит
- Нужно проактивно работать с уязвимостями и устранять их до того, как они привели к инцидентам безопасности
- Начать работать над app security просто
Ну и конкретно по вектору web attack предлагается такой план:
- Определить поверхность атаки (внешние домены) и понять уязвимые цели
- Пофиксить висящие DNS записи
- Обновить сервера (Apache, Nginx, ...)
- Настроить continuous testing критичных приложений
- Поработать с разработчиками и интегрировать с их инструментами средства безопасности для устранения найденных уязвимостей
- Протестировать заново найденные уязвимости и убедиться, что они исправлены
- И дальше работать так в цикле
Итого, это очень базовый доклад, но с интересной статистикой и с практичными советами по улучшению ситуации.
#Security #SRE #SoftwareArchitecture #Software #Engineering #Management #Leadership #Processes #SystemThinking #SystemEngineering
YouTube
The State of Application Security 2023 • Sebastian Brandes • GOTO 2023
This presentation was recorded at GOTO Copenhagen 2023. #GOTOcon #GOTOcph
https://gotocph.com
Sebastian Brandes - Senior Principal Product Manager at F5 @SebastianBrandes2300
ORIGINAL TALK TITLE
The State of Application Security 2023: Learnings from 4…
https://gotocph.com
Sebastian Brandes - Senior Principal Product Manager at F5 @SebastianBrandes2300
ORIGINAL TALK TITLE
The State of Application Security 2023: Learnings from 4…
👍10🔥8❤3