Архив метки: coding

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

Прожектор по ИБ, выпуск №12 (19.11.2023): Киберстендап, минусы SOC-Форума и зарплаты ИБшников США

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Набрали прошлым выпуском меньше сотни просмотров, но "нормальный у нас формат, послушать фоном вполне"
01:55 Прошёл крутой Киберстендап
05:35 Ноябрьский Microsoft Patch Tuesday
11:00 В Vulristics теперь можно задать профиль для анализа в JSON и получить результаты в JSON
13:36 Подъехало свежее маркетинговое чтиво от IDC "MarketScape: Worldwide Risk-Based Vulnerability Management Platforms 2023 Vendor Assessment"
18:07 Один из крупных конкурентов ElasticSearch — американский аналог Sumo Logic на прошлой неделе претерпел серьезный киберинцидент
23:32 Сбербанк заходит в тему Управления Уязвимостями с продуктом X-Threat Intelligence
28:14 Плюсы и минусы SOC-Форума и стенда Лаборатории Касперского
36:45 Вымогатели из BlackCat (ALPHV) подали жалобу на их недавнюю жертву — MeridianLink в комиссию по ценным бумагам США (SEC)
41:15 Ноябрьский Linux Patch Wednesday
45:34 Обсуждаем зарплаты ИБ-шников в США
53:33 Распределение видов списаний с карт жертв в схеме Fake Date с помощью фейкового мобильного приложения
55:01 На днях начал использовать чатботы для генерации кода
01:01:32 Постановление Правительства и 100% Отечественный Производитель
01:08:11 Прощание от Mr.X

На днях начал использовать чатботы для генерации кода

На днях начал использовать чатботы для генерации кода

На днях начал использовать чатботы для генерации кода. Удобно. С задачками типа "напиши python код, который сделает текстовую замену в docx файле и сохранит его как новый docx файл" справляется хорошо. Можно брать код и использовать as is.

🔹 Можно ли нагуглить ответ на такой вопрос и чуть подправить под себя? Безусловно. Но через бота удобнее.

🔹 Заменит ли это программистов? Вряд ли, но даст буст. Причём и джунам, и мидлам, и сеньорам. Всем станет эффективнее и удобнее работать. Но совсем профанам буст не даст, т.к. нужно понимать, что конкретно ты хочешь от бота.

🔹 А как это скажется на безопасности? Пока непонятно. Не так давно у Start X (бывшие Антифишинг) вышла статья и видяшка, в которой они описали работу с ботом для генерации кода веб-приложения и смогли получить приложение с небезопасной десериализацией пользовательских данных. 🤷‍♂️ Так что без скиллов в безопасной разработке обойтись не получится.

Про программный код, отношения и эпикуреизм

Про программный код, отношения и эпикуреизм

Я, конечно, не настоящий программист. Даже не претендую. Но код пишу, мнение имею и иногда позволяю себе его высказывать. Мнение такое. Кажется, что некоторые максимы, к которым мы привыкли как к чему-то разумеющемуся в современных реалиях требуют переосмысления. Например то, что использовать чужой код в виде модулей и библиотек это правильно и хорошо. Да, конечно, это позволяет получить нужную функциональность несколько быстрее и проще. И возможно этот чужой код будет лучше протестирован, в том числе и с точки зрения безопасности.

Но надо понимать, что использование чужого кода порождает зависимость от него. В известной степени это означает вступление в определенные отношения с автором кода. Возможно весьма токсичные. Придется приспосабливаться к возможным тараканам в голове этого человека. Автор сделал изменения, умышленно или случайно, которые поломали ваше приложение и/или испортили ваши данные? Ну что ж, вы сами виноваты. Лучше надо было тестироваться. На сайт проекта заглядывать, интересоваться что там автор делает и какую позицию по разным вопросам имеет. Уязвимости и баги в коде автора это теперь ваши общие уязвимости и баги. Автор в своем праве исправлять их в сколь угодно большие сроки или вовсе не обращать на них внимание.

Конечно без использования чужого кода не получится. Но следует проявлять при этом разумность и умеренность. Если неограниченно плодить зависимости (а значит отношения с авторами этого кода), это перестанет быть сколько-нибудь контролируемым и неизбежно приведет к проблемам. Тем более, когда использование чужого кода оправдывается не объективными насущными причинами, а тем, что так "проще писать", "на N строчек короче", "работает на 10% быстрее", "да все так делают", "уважаемый эксперт N сказал, что так делать правильно".

"Никакое наслаждение само по себе не есть зло; но средства достижения иных наслаждений доставляют куда больше хлопот, чем наслаждений" © Эпикур.

Прежде чем вкорячивать в проект очередную монструозную вундервафлю, подумай не создаёшь ли ты сам себе проблемы на ровном месте.

К примеру, если мне потребуется интеграция через http-based API я скорее разберусь сам как оно устроено и буду сам делать запросы, чем понадеюсь на непонятно кем и как поддерживаемый модуль. Если для моей частной задачи будет достаточно небольшого самописного "велосипеда", то я буду использовать его, а не мега-комбайн (привет log4j, ага).

Итого, Keep It Simple Stupid и в отношении чужого кода тоже. Лучше лишний спросить себя действительно ли эта новая зависимость нужна и не хватит ли того, на что мы уже завязались (и чьим авторам доверились).

"Величайший плод ограничения желаний — свобода." © Эпикур.