(Гнусавым голосом) от создателей Github Copilot…
применение AI для поиска дырок уже не совсем новость, но тут ребята сделали бота, который вышел в топ HackerOne в США. Эти же люди сделали когдато copilot, и продали в github.
HackerOne это ведущая платформа по сбору дырок с «этичных хакеров» за вознаграждение. Дырки там не мусорные, хорошие, есть zero day. В прошлой работе мы ими активно пользовались (услугами, а не дырками).
Учитывая, что AI не ест, не спит, а только ищет - то потенциал для взлома всего растет в порядки. Решение это «заводи своего дракона», нужен AI который найдет наши дырки вперед. Собственно, на самом деле на этом оно и держалось все это время, просто раньше это были люди.
применение AI для поиска дырок уже не совсем новость, но тут ребята сделали бота, который вышел в топ HackerOne в США. Эти же люди сделали когдато copilot, и продали в github.
HackerOne это ведущая платформа по сбору дырок с «этичных хакеров» за вознаграждение. Дырки там не мусорные, хорошие, есть zero day. В прошлой работе мы ими активно пользовались (услугами, а не дырками).
Учитывая, что AI не ест, не спит, а только ищет - то потенциал для взлома всего растет в порядки. Решение это «заводи своего дракона», нужен AI который найдет наши дырки вперед. Собственно, на самом деле на этом оно и держалось все это время, просто раньше это были люди.
👍12
Истории без однозначного вывода, но с вопросом...
История 1. Слушал тут людей из чуть ли не самой на слуху конторы, и они говорят, что на одну ходовую позицию они ничего особо не спрашивают, кроме решения тестового задания. Ничем не ограничивают, не смотрят, что ты реально знал, а что нагуглил, что на джипитил, что прямо сейчас прочел. Это все как раз поощряется. Оценивают только как решал и как решил (ну там за день-два предупреждаешь, что готов, и скидывают задачу). Я не уверен, что так на всех позициях смотрят у них, но почему обратил внимание (дальше) ...
История 2. Смотрю как упахиваются коллеги из индустрии на собесах. Подготовка, прокачка алгоритмов, нарешивание задач, мега проект получается. А ведь только что человек работал вполне себе сеньором, не фигню делал вовсе, и не вчера начал. И вот он перешел, молодец. А дальше что - через 3-5 лет смена работы и снова грызть гранит? А разве он после этой мегаподготовки стал прямо радикально лучше работать? Ну вот так сразу обычно нет - зп выше, конечно, но это скорее признание прошлых достижений и опыта, не оцененных на исходном месте. А если все эти знания были очень нужны и полезны в работе, то как он без них справлялся? И как спустя 3-5 лет снова подзабыл, если они нужны?
История 3. Ну я тут сам сменил работу какое-то время назад. Поговорил с основателем, с CEO, с HR - прошел. И думаю - погодите парни... как вы меня берете то? Да я бы себя сам себе с таким собесом не взял, причем на уровень ниже. Ну где погонять хотя бы по кейсам, по теории? Ну парни то не вчера в бизнес пришли, и как-то запустили свою прошлую ветку бизнеса с нуля полного, даже без предшествующих знаний и уверенности, что это можно физически выстроить, но выстроили и доросли до цифр, которыми (попади они в российские рейтинге) вполне бы гордились и даже были бы не главным, но вполне флагманом индустрии. Теперь вот новую ветку запускают.
И мысль такая, что не слишком заигралась ли индустрия во все эти алгоритмы и памяти на кучу деталей? Быть может людей стоило больше отбирать скорее по навыку решать задачи и учиться, чем по набору знаний? Не стало ли это все формой теста на причастность к своим, к этакому "тайному языку", реальная ценность которого уже не так-то велика?
Наброс, в каком-то смысле. Мысль сырая. Но интересно мнение общества
Я кстати набрал себе команду, которая кажется очень офигенной, но гонять по алгоритмам и знаниям я сам то уже не в форме, так что пришлось в собесах обойтись без этого (раньше то были специальные эксперты для таких вопросов). очень боялся, что пропущу какихнибудь неграмотных людей в проект, но выглядит, что все норм.
История 1. Слушал тут людей из чуть ли не самой на слуху конторы, и они говорят, что на одну ходовую позицию они ничего особо не спрашивают, кроме решения тестового задания. Ничем не ограничивают, не смотрят, что ты реально знал, а что нагуглил, что на джипитил, что прямо сейчас прочел. Это все как раз поощряется. Оценивают только как решал и как решил (ну там за день-два предупреждаешь, что готов, и скидывают задачу). Я не уверен, что так на всех позициях смотрят у них, но почему обратил внимание (дальше) ...
История 2. Смотрю как упахиваются коллеги из индустрии на собесах. Подготовка, прокачка алгоритмов, нарешивание задач, мега проект получается. А ведь только что человек работал вполне себе сеньором, не фигню делал вовсе, и не вчера начал. И вот он перешел, молодец. А дальше что - через 3-5 лет смена работы и снова грызть гранит? А разве он после этой мегаподготовки стал прямо радикально лучше работать? Ну вот так сразу обычно нет - зп выше, конечно, но это скорее признание прошлых достижений и опыта, не оцененных на исходном месте. А если все эти знания были очень нужны и полезны в работе, то как он без них справлялся? И как спустя 3-5 лет снова подзабыл, если они нужны?
История 3. Ну я тут сам сменил работу какое-то время назад. Поговорил с основателем, с CEO, с HR - прошел. И думаю - погодите парни... как вы меня берете то? Да я бы себя сам себе с таким собесом не взял, причем на уровень ниже. Ну где погонять хотя бы по кейсам, по теории? Ну парни то не вчера в бизнес пришли, и как-то запустили свою прошлую ветку бизнеса с нуля полного, даже без предшествующих знаний и уверенности, что это можно физически выстроить, но выстроили и доросли до цифр, которыми (попади они в российские рейтинге) вполне бы гордились и даже были бы не главным, но вполне флагманом индустрии. Теперь вот новую ветку запускают.
И мысль такая, что не слишком заигралась ли индустрия во все эти алгоритмы и памяти на кучу деталей? Быть может людей стоило больше отбирать скорее по навыку решать задачи и учиться, чем по набору знаний? Не стало ли это все формой теста на причастность к своим, к этакому "тайному языку", реальная ценность которого уже не так-то велика?
Наброс, в каком-то смысле. Мысль сырая. Но интересно мнение общества
Я кстати набрал себе команду, которая кажется очень офигенной, но гонять по алгоритмам и знаниям я сам то уже не в форме, так что пришлось в собесах обойтись без этого (раньше то были специальные эксперты для таких вопросов). очень боялся, что пропущу какихнибудь неграмотных людей в проект, но выглядит, что все норм.
🔥12💯11❤7👍3
Сегодня индустрия переживает очередной крушение AWS. Надежность "облаков" против любимого dedicated сервера это очень флеймогонная тема на уровне Linux-Windows, Apple - Android и тп. К сожалению, я не видел прямо хороших исследований по сравнительной статистике отказов в этих двух случаях - на уровне яблоки-с-яблоками.
Но есть несколько общих соображений
- падение отдельной конторы "Рога" изза их собственной инфраструктуры мир не слишком заметит
- массовое одновременное падение ведущих мировых "Рогов" и "Копыт" это и новости громче, и объективно хуже. Даже при одинаковом суммарном эффекте - одновременное падение это очень стремно.
- но зато в плане ответственности это хорошо. Ни бизнес-партнеры, ни борда и никто не будут иметь существенных претензий, что вы упали, если вместе с вами упали все. Падение нашего сервера - наша ответственность, падение амазона - воспринимается как стихийного бедствия. Печальное событие, но все понимают, что нет смысла ожидать от вас чего-то, если упали "титаны индустрии".
Это не только про ответственность технического отдела перед руководством, но и про ответственность всей компании перед бордой, перед инвесторами, перед клиентами и все такое.
Для мира такая концентрация рисков не хорошо, но в каждом отдельном случае это очень удобно.
Но есть несколько общих соображений
- падение отдельной конторы "Рога" изза их собственной инфраструктуры мир не слишком заметит
- массовое одновременное падение ведущих мировых "Рогов" и "Копыт" это и новости громче, и объективно хуже. Даже при одинаковом суммарном эффекте - одновременное падение это очень стремно.
- но зато в плане ответственности это хорошо. Ни бизнес-партнеры, ни борда и никто не будут иметь существенных претензий, что вы упали, если вместе с вами упали все. Падение нашего сервера - наша ответственность, падение амазона - воспринимается как стихийного бедствия. Печальное событие, но все понимают, что нет смысла ожидать от вас чего-то, если упали "титаны индустрии".
Это не только про ответственность технического отдела перед руководством, но и про ответственность всей компании перед бордой, перед инвесторами, перед клиентами и все такое.
Для мира такая концентрация рисков не хорошо, но в каждом отдельном случае это очень удобно.
👍16❤1
Наверное, многие сталкивались, что тяжело добиваться массивных вложений в техническую безопасность. Рабочими часами то не все, но кто-то, могут и сами распорядиться в правильную сторону (просто не у всех есть столько автономии). Но вот с действительно большими деньгами намного тяжелее - никакой технический руководитель на мешке _свободных_ денег не сидит. А всякие SAST/DAST анализаторы и подобные решение склонны стоить дорого.
Но гром не грянул, мужики не перекрестились, все обоснования носят неустранимо гипотетический характер. Даже не спорим, но денег столько не дадим.
Но иногда приходит технический аудит. Он обычно не просто так приходит - это либо инвесторы, либо кредиторы запросили. И аудит обычно воспринимается плохо - много анкет, какие-то глупые вопросы, предельно формальный подход. НО есть польза - аудит может довольно явно написать, что оценивает вашу безопасность невысоко (а они очень-очень любят туда смотреть) и что у вас не хватает каких-то правильных аббревиатур для полноты. И вот теперь то шанс пролоббировать расходы резко растет.
Из угрозы быть гипотетически крупно взломанным когда-то, появляется практическая угроза здесь и сейчас получить инвестиции с меньшей оценкой, или получить кредит под худший процент. Чтобы там не думали на самом деле о содержании отчета на той стороне, они все равно используют любой негатив как рычаг в переговорах. И вот эта аргументация уже совершенно понятна и близка на всех уровнях.
К сожалению, в рамках текущего процесса оценки может уже не быть времени на исправление. Но ни кредиты, ни инвестиции никогда не последние, поэтому аппелировать к прошлому аудиту можно еще продолжительное время.
Но гром не грянул, мужики не перекрестились, все обоснования носят неустранимо гипотетический характер. Даже не спорим, но денег столько не дадим.
Но иногда приходит технический аудит. Он обычно не просто так приходит - это либо инвесторы, либо кредиторы запросили. И аудит обычно воспринимается плохо - много анкет, какие-то глупые вопросы, предельно формальный подход. НО есть польза - аудит может довольно явно написать, что оценивает вашу безопасность невысоко (а они очень-очень любят туда смотреть) и что у вас не хватает каких-то правильных аббревиатур для полноты. И вот теперь то шанс пролоббировать расходы резко растет.
Из угрозы быть гипотетически крупно взломанным когда-то, появляется практическая угроза здесь и сейчас получить инвестиции с меньшей оценкой, или получить кредит под худший процент. Чтобы там не думали на самом деле о содержании отчета на той стороне, они все равно используют любой негатив как рычаг в переговорах. И вот эта аргументация уже совершенно понятна и близка на всех уровнях.
К сожалению, в рамках текущего процесса оценки может уже не быть времени на исправление. Но ни кредиты, ни инвестиции никогда не последние, поэтому аппелировать к прошлому аудиту можно еще продолжительное время.
👍13
"Не бойся ножа, а бойся вилки. Один удар - 4 дырки."
Только ленивый еще не пошутил про свежее падение Cloudflare, которое расширяет тезис про концентрацию рисков.
Если падение AWS я в быту почти не заметил, то cloudflare обвалил довольно широкий фронт мелких повседневных сайтов.
Так называемых гиперскалеров все-таки несколько, есть еще Гугл, есть еще Майкрософт. Да и до этих трех дорастают совсем не все, оставаясь во много у более традиционных хостеров.
А вот cloudflare успешно проник даже в мелочь со своими бесплатными или дешевыми планами. И в этом качестве у него очень маленькая практическая конкуренция.
Только ленивый еще не пошутил про свежее падение Cloudflare, которое расширяет тезис про концентрацию рисков.
Если падение AWS я в быту почти не заметил, то cloudflare обвалил довольно широкий фронт мелких повседневных сайтов.
Так называемых гиперскалеров все-таки несколько, есть еще Гугл, есть еще Майкрософт. Да и до этих трех дорастают совсем не все, оставаясь во много у более традиционных хостеров.
А вот cloudflare успешно проник даже в мелочь со своими бесплатными или дешевыми планами. И в этом качестве у него очень маленькая практическая конкуренция.
👍4
Для людей долетевших до C-level или около есть занятный способ следить за индустрией за пределами возможностей личного нетворка.
Когда идут большие финансовые маневры на рынке - кредиты, инвестиции - к ним обращаются за консультацией, чтобы получить дополнительную проверку, а не в фигню ли мы вкладываемся.
Есть агентства, которые находят таких людей и организуют с ними разговор. Все конфидециально - заказчик не представляется, и предмет интереса не всегда прямо называется.
Но раз уж позвали экспертом, то поди сможете связать концы из вопросов и понять если не кто, то хотя бы кого. Ищут линкедином, так что полезно держать профиль актуальным.
Когда идут большие финансовые маневры на рынке - кредиты, инвестиции - к ним обращаются за консультацией, чтобы получить дополнительную проверку, а не в фигню ли мы вкладываемся.
Есть агентства, которые находят таких людей и организуют с ними разговор. Все конфидециально - заказчик не представляется, и предмет интереса не всегда прямо называется.
Но раз уж позвали экспертом, то поди сможете связать концы из вопросов и понять если не кто, то хотя бы кого. Ищут линкедином, так что полезно держать профиль актуальным.
🔥7