The State of Application Security 2023 • Sebastian Brandes • GOTO 2023

Отличный доклад для воскресного утра про Application security от Себастьяна, ко-фаундера и CEO стартапа Heyhack. Доклад носит достаточно практичный характер и в нем не просто рассказывают про базовые концепции и приводят результаты исследования безопасности за 2023 год (что тоже очень интересно), но и демо топовых уязвимостей:)
Доклад состоит из следующих частей:
- Результаты исследования - Авторы исследовали автоматически почти 4 миллиона сервисов из 103 стран, больше 8 тысяч компаний. Для deep dive в результаты автор вспоминает про базу про CVSS (Common Vulnerability Scoring System) для оценки severity уязвимостей. Это нужно, чтобы показать, что 3/4 организаций имеют известные уязвимости высокого severity уровня (7+). Плюс интересно смотреть на распределение уязвимостей по странам (Россия достаточно хорошо выглядит на общем уровне или авторы не особо долбили российские сервисы)
- Deep dive в темы
-- File leaks - у 29% организаций еще были найдены утечки данных (код, бекапы, ключи, конфигурации, ...)
-- Dangling DNS records - Почти четверть компаний оказались с dangling DNS записями, когда доменное имя остается делегировано на ip адрес, который уже не принадлежит компании (например, когда в облаке погасил машинки, на которые делировал поддомен, а делегирование поддомена не убрал). Собственно, автор проводит демо как это может выглядеть и объясняет, что такую висящую DNS запись можно захватить и дальше украсть сессионные куки или повесить фрод на легитимный поддомен.
-- Vulnerable ftp servers - пример уязвимости proFTP 1.3.5 (CVE-2015-3306) и говорит, что 1.5% исследованных компаний имеют эту уязвимость:) А дальше проводит демо как ее эксплуатировать.
-- Cross-site scripting - это тип атаки, который заключается во внедрении в выдаваемую веб-системой страницу вредоносного кода и взаимодействии этого кода с веб-сервером злоумышленника. 4% компаний имеют известные уязвимости такого рода и они часто завязаны на wordpress плагины, nginx модули, keycloak, drupal плагины и вообще любые плагины известных веб-приложений. Здесь автор вспоминает OWASP (Open Worldwide Application Security Project) и конкретно проект OWASP Juice Shop - супер-дырявого приложения, которое специально спроектировали для тренировочных целей. Собственно в своем демо автор его активно использует. Плюс в демо используется BeEF - The Browser Exploitation Framework Project. Демо выглядит очень интересно и показывает на пальцах как выглядят уязвимости и к чему может привести безответственность в вопросах безопасности.
- Разбор кейса с Fortnite и EpicGames - пример того, как комбинация нескольких уязвимостей позволяет сломать систему. В данном случае это было приложение Fortnite. Саму уязвимость нашли ребята из Check Point и у них есть интересный разбор
- WAF и их частичная бесполезность - объяснение того, как работают WAF (web app firewall) и как они легко попадают в ошибки вида false positive и false negative:)

В финале автор рассказывает о главных выводах:
- Надеяться на WAF не стоит
- Нужно проактивно работать с уязвимостями и устранять их до того, как они привели к инцидентам безопасности
- Начать работать над app security просто

Ну и конкретно по вектору web attack предлагается такой план:
- Определить поверхность атаки (внешние домены) и понять уязвимые цели
- Пофиксить висящие DNS записи
- Обновить сервера (Apache, Nginx, ...)
- Настроить continuous testing критичных приложений
- Поработать с разработчиками и интегрировать с их инструментами средства безопасности для устранения найденных уязвимостей
- Протестировать заново найденные уязвимости и убедиться, что они исправлены
- И дальше работать так в цикле

Итого, это очень базовый доклад, но с интересной статистикой и с практичными советами по улучшению ситуации.

#Security #SRE #SoftwareArchitecture #Software #Engineering #Management #Leadership #Processes #SystemThinking #SystemEngineering

Developer productivity - Part I

В большой компании часто сложно понять насколько эффективно работает организация. Конечно можно ориентироваться на разные финансовые показатели, включая Cost to Income Ratio, но у них есть две особенности: они очень общие и сложно понять вклад отдельных частей организации, а также они сильно запаздывают во времени. Поэтому менеджеры высокого уровня обычно желают получить более эффективный инструмент. Когда я думал над этим, то понял, что мне удобнее сначала построить модельку и сузить область размышлений. Я взял модель Run-Change-Disrupt
- Run - это операционные процессы того, как мы делаем business as usual
 - Change - это те процессы, которые направлены на изменение ситуации: создание новых продуктов, развитие существующих продуктов
 - Disrupt -это процессы, связанные с внутренними стартапами, новым бизнес-моделям и трансформациями

Для системных улучшений мы должны работать в каждой области, но сегодня я хотел сфокусироваться на Change. Причем если компания является продуктовой, а не сервисной, то в свою очередь продуктовый процесс тоже разделяется на две части
 - Do the right things - это часть про бизнес и процесс discovery
 - Do the things right - это часть про разработку и процесс delivery

Причем сегодня я хотел обсудить часть delivery, где мне кажется, что обычно практикуют два дуальных подхода к повышению эффективности поставки ценности.

1) Bottom-up - улучшение процессов команд на местах силами линейных менеджеров. Дальше улучшение общих процессов подразделения силами middle менеджеров. Общий драйв к лучшему от топ-менеджеров. Для такого подхода в компаниях часто используются инсутрменты для статистического управления процессами. Этот подход напоминает то, как работает микроэкономическая теория для отдельного предприятия на рынке. То есть руководитель каждой команды сам отвечает за то, чтобы она эффективно работала в условиях спроса и предложения на рынке, внутренних процессов команды, цепочки взаимосвязей с другими командами и так далее.

2) Top-down - улучшение процессов за счет изменения глобальных параметров системы:
 - Создание PaaS и большого количества платформенных команд
 - Выделение функции SRE и системная работа над надежностью
 - QA-стратегия, где фокус на автоматизации
 - Data-стратегия и переход к DWH к Data Mesh
- Активное использование AI к месту и нет
Для таких больших изменений топ-менеджент обычно хочет понимать централизованный эффект, а также в идеале хочет уметь его моделировать. Это чем-то напоминает макроэкономическую теорию и роль государства в ней, которое может влиять на рынок через ставку рефинансирования, налоги, гостраты и так далее. Модели для сбора "макроэкономической статистики" по delivery часто у компаний нет, если не считать отдельные показатели с микроэкономического уровня, которые впрямую нельзя сравнивать и зачастую агрегировать. Но зачастую хотелось бы иметь показатель developer productivity и уметь на него влиять в положительную сторону.

Продолжение в постах: 2 и 3

#Processes #Management #Performance #Engineering #Software #SoftwareDevelopment #Leadership

Developer productivity - Part II

Продолжая тему developer productivity, поднятую в первой части статьи, хотелось вспомнить о том, а как к этому вопросу подходят во всем мире.

"Accelerate" и DORA метрики
- Книга вышла в 2018 году и ее написали  Forsgren, Humble, Kim.
- Все содержимое книги основано на опросах инженеров aka Devops Reports, что собирались пять лет примерно с 2012 года
- DORA метрики  состоят из  двух категорий:
-- Темп поставки: deployment frequency и lead time for changes
-- Стабильность: change failure rate и time to restore service
- В общем, эта фундаментальная история, которую хорошо бы знать. И у меня есть краткое саммари книги в трех частях: 1, 2 и 3

Фрейворк из whitepaper "The SPACE of Developer Productivity"
- Научная статья вышла в марте 2021 года и ее написали Forsgren, Storey Zimmermann, Houck, Butle
- В этом фреймворке пять категорий метрик, что объединяются в акроним SPACE (Satisfaction and well-being, Performance, Activity, Communication and collaboration, Efficiency and flow), каждый из которых раскладывается на 3 уровня (индивидуальный, командный, e2e)
- Интересно, что тут у нас уже комбинация метрик из опросов (satisfaction & well being) и метрик из процессов. Потенциально тут можно получить достаточно полную картину, но надо очень тщательно работать с данными и их интерпретацией
- Есть краткое саммари от меня

Фреймворка из whitepaper "DevEx: What Actually Drives Productivity"
- Научная статья вышла в мае 2023 года и написали ее Noda, Storey, Forsgren, Greiler
- В этом фреймворке три категории: feedback loops, cognitive load, flow state
- Каждая категория раскладывается на три части: perceptions, workflows (system & process behaviors) и KPIs (north star metrics)
- Авторы отмечают, что часть про perceptions можно вытащить только из опросов, а вот workflows надо тянуть из самих систем. А дальше они съезжают в часть дизайна опросов.
- Два из соавторов этого whitepaper представляют платформу DX (getdx.com), чей инструмент devex360 даже попал в техрадар от ThoughtWorks в сентябре 2023 года и эта платформа основана на опросах
- Есть краткое саммари от меня

Развитие фреймворка DevEx (DevEx in Action)
- Научная статья вышла в январе 2024 года и ее написали Forsgren, Kalliamvakou, Noda, Greiler, Houck, Storey
- Этот whitepaper продолжает "DevEx: What Actually Drives Productivity"
- Категории все те же
- В этой статье проведен статистический анализ результатов опросов на платформе getdx.com, которую используют разные компании для проведения опросов по developer exp (примеры компаний: Etsy, Dropbox, Ebay, Amplitude, Monzo, P&G, DHL, …)
- Цель выяснить того, как каждая из трех категория влияет на outcomes трех уровней: individual, team, organization. Цель была достигнута и влияние продемонстрировано и это очень полезно для продаж платформы:)
- Есть краткое саммари от меня

А в последней части этой статьи я расскажу про платформы на рынке и то, что у нас есть в Тинькофф:)

#Processes #Management #Performance #Engineering #Software #SoftwareDevelopment #Leadership

Leetcode - прогресс за второй месяц

Раньше я уже рассказывал про свой опыт с Leetcode, но теперь прошел еще один месяц и я оценил качество курса "Data Structures and Algorithms", который я пока прошел на 40%:) Этот курс действительно помогает вспомнить стандартные приемы и вернуть их на уровень легкого и осознанного применения. В итоге, мне стало казаться, что ежедневные задачки на leetcode стали проще, на что мой коллега, другой технический директор, предположил, что я просто научился лучше писать код:) А если говорить без шутко, то я каждый день утром или вечером хотя бы полчасика-часик уделял на leetcode и пропустил только один день на неделе, когда провалялся с давлением. И эта ритмичность помогала не соскочить и отложить тренировку на завтра:)

P.S.
Судя по картинке, можно увидеть, что темп чуток упал. Мне кажется, что это из-за того, что в феврале не было таких больших каникул как в январе, плюс я не решал запоем задачки по sql:)

#SelfDevelopment #Algorithm #Software #SoftwareDevelopment

Спортивное программирование (Competitive programming 3)

Мне нельзя подходить к книжным магазинам, так как я слишком легко превращаюсь в шопоголика. В итоге, я туда редко захожу, но сегодня меня позвали в гости на конференцию DevOps Conf в Сколково и уже тут я наткнулся на локальный развал книг от ДМК Пресс. В итоге, я не смог уйти без покупки и приобрел книгу по спортивному программированию:) Мне конечно уже поздно заниматься таким спортом, но почитать книгу будет интересно:)

#SelfDevelopment #Algorithm #Software #SoftwareDevelopment

Code of Leadership #7 Your brain at Work

Седьмой выпуск Code of Leadership посвящен тому, как мы принимаем решения и как работает наш мозг. В этом выпуске в гости пришел Эрнесто Инаркиев - чемпион Европы по шахматам, гроссмейстер, который входит в ТОП-100 лучших шахматистов мира и в ТОП-30 по быстрым шахматам. Эрнесто создал курс "Эффективное мышление", который я проходил в прошлом году и который мне понравился

В выпуске мы обсуждаем метафоры автора книги, в которых
- кратковременная рабочая память представлена сценой для актеров
- префронтальная кора - это stage director
- долговременная память - это члены аудитории и так далее.
А также мы делимся своими историями из жизни о том, как мы сами принимаем решения и рефлексируем о способах улучшения мышления.

P.S.
Прошлой осенью я публиковал подборку материалов про наше мышление и мозг, поэтому если вам нравятся эти темы, то вы сможете найти там еще много интересного для изучения.

#Brain #SelfDevelopment #Thinking #Management #Leadership

Layers of Leadership • Lee Campbell • YOW! 2023

Интересное выступление от Lee Campbell, VP of Engineering at VGW, которое состоит из следующих частей
— Leadership challenges - рассказ про вызовы, что стоят перед лидерами: people, delivery, operations. Для лидера при работе с людьми важно работать на competency (build it right, run it right), performance (right thing, right time) и alignment (right people, right place). Дальше он переходит к
— Start-up challenges - тут автор говорит про формирование команды и погружается в вызовы стартапов. Автор предлагает метафору direction - map - path, которые позволяют стартапу и его команде двигаться в условиях неопределенности. Автор говорит про троицу
—— Competency (what) -> reference example
—— Performance (how) -> performance expectations
—— Alignment (why) -> outcome focused
— Teamwork challenges - здесь автор говорит про вопросы людей вида "кто и что сделает и когда?", "Как я могу вырасти в компании" и на уровне системы: "Что должна делать эта система?", "Плох ли технический долг?". Для ответов на эти вопросы автор предлагает использовать maps and measures
—— Competency (what) - competency matrix для сотрудников
—— Performance (how) - maturity models для систем и команд
—— Alignment (why) - measurable outcomes для измерения результатов команд
— Org. challenges - тут речь про следующие вызовы:
—— Большие проекты никогда не приоритизируются и будут выполнены примерно никогда
—— KPI, OKR - когда решение становится outcome, про разделение между работой и целями и метрики, на которые напрямую не повлиять
Для решения этих проблем автор предлагает использовать
—— Driver trees - деревья, которые позволяют выстроить связь от "Что" до "Как" через набор драйверов, на которые мы можем повлиять
—— Paths & practices - автор говорит про обучение, а также про работу над performance себя и своих команд и приводит пример с работой над улучшением работы в рамках инцидентов
—— Coordinated strategy - приведено на снимке

#Leadership #Management #Culture #Software