IT-стандарты *

«ГОСТ Р 57580.1-2017 „О безопасности финансовых (банковских) операций“ обязателен для выполнения кредитными и некредитными финансовыми организациями» — эта сухая фраза из стандарта, как, впрочем, и весь документ, порождает множество вопросов. На кого конкретно распространяются его требования? В какие сроки их необходимо выполнить? Как происходит оценка соответствия вашей организации требованиям ГОСТа? Какие меры защиты реально реализовать с помощью SIEM-систем?

Мы решили разобраться в этой теме и попросили Наталию Казанькову, старшего менеджера по продуктовому маркетингу Positive Technologies, ответить на наши вопросы и рассказать простыми словами, для чего данный ГОСТ нужен и как на практике компаниям соответствовать его требованиям. В статье вас ждет приятный бонус — специальное предложение на MaxPatrol SIEM All-in-One для тех, кому необходимо реализовать требования  этого стандарта.

Консорциум PCI SIG представит финальную спецификацию нового стандарта уже через пару месяцев. Однако устройства на его основе появятся еще не скоро. Под катом — обсуждаем сложившуюся ситуацию и возможности PCIe 6.0.

Он нажал пробел и новые потоки экранной боли хлынули через глазки прямо к мозгу. Я думал: «Ну как можно быть таким именитым тренером и показывать такую дрянь на проекторе!?»  На меня смотрели миллионы маленьких разноцветных циферок сведенных в какую-то табличку, сбоку был приляпан милый стоковый песик. Тренер тыкал в каждую циферку лазерной указкой и что-то там объяснял. Я думал об одном: «Зачем на слайде этот песик?»

Статья задумана как констатация существующей проблемы – сравнительно низкого качества российских веб-ресурсов, и как стартер для серии предстоящих публикаций, развивающих эту тему. Обозначить проблему – единственная ее цель, поэтому она не предполагает какого бы то ни было анализа, тем более готовых ответов на логичный вопрос «что делать?».

В отличие от российских дорог (используются здесь в качестве метафоры), космоса, науки, медицины, образования, экономики и с чем еще наши дела обстоят не лучшим образом, развитию которых традиционно что-то мешает, как то яйц, простите, санкции, шпионы и иноагенты, встречный ветер, сглаз и т. п., пример веба примечателен.

Во-первых, он по природе своей децентрализован и в настоящее время на удивление демократично не стеснен законодательством – во-вторых.

Объяснить состояние российского веба одной лишь неблагоприятной экономической обстановкой вряд ли получится. Как мы увидим из представленных в статье данных, в Китае, в котором перечисленные выше, а заодно и другие сферы деятельности находятся в менее удручающем и более оптимистичном состоянии, качество веба также оставляет желать лучшего.

Технологии и наилучшие практики, использующиеся во всем мире для строительства веба, доступны повсеместно и многие из них open source и free. Сам процесс строительства не требует капитальных вложений, требующихся на строительство дорог, газопроводов, запуск космических станций. Поэтому, в отличие от прочих глобальных составляющих жизни любого общества, применительно к вебу вопрос «почему он у нас такой хреновый?» не является риторическим.

• operator[](int, int, int)
• монадические интерфейсы для std::optional
• std::move_only_function
• std::basic_string::resize_and_overwrite
• больше гетерогенных перегрузок для ассоциативных контейнеров
• std::views::zip и zip_transform, adjacent, adjacent_transform

В статье рассказывается про процесс Code Review, подходы к реализации, как использовать в команде и на что обращать внимание во время Code Review.

Code Review - это процесс проверки и анализа кода задачи разработчиком перед ее релизом. CR (Code Review) выполняется не тем человеком, который делал задачу, а другими членами команды. Результатом CR является обратная связь по выполненной задаче: необходимость внести правки, либо готовность задачи к последующему тестированию и релизу.

Чем отличается воин от солдата? Воин – это индивидуальность, прирожденный военный. Один на один у солдата против воина, в большинстве, нет шанса. Однако, война ведется не отдельными схватками. В масштабах войны, влияние индивидуальных навыков конкретного бойца на исход сражения резко падает.

Чем больше масштаб – тем заметнее становится то, что подготовленный строй солдат действует эффективнее, чем толпа индивидуалистов.

После дискуссии с коллегами о TLS 1.3 в целом и прикладном использовании идущих в комплекте с ним шифров я решил кратко изложить основы, которые не худо было бы знать любому разработчику. Мне хотелось бы показать, на какую нишу направлен каждый из пяти шифров и как конкретно применяются содержащиеся в них хеш-функции.

Всем привет! Меня зовут Александра Камзеева, я руководитель направления системного анализа в IT PMO в Lamoda. За полтора года мы выросли с 3 до 22 человек.

Такой стремительный рост и подтолкнул нас на вопрос: «Кто такой системный аналитик и какую роль он выполняет именно в Lamoda?» Мы поняли, что четкий ответ позволил бы нам эффективнее расширять команду, проводить собеседования и онбординг. Благодаря объяснению, кто мы такие, наши коллеги из разработки, QA, бизнеса лучше понимают, с какими вопросами и задачами стоит или не стоит к нам приходить. 

Функции аналитиков могут отличаться от компании к компании. Сегодня я хотела бы поделиться опытом работы системных аналитиков в Lamoda. Из статьи вы узнаете, как системные аналитики помогают делать кросс-функциональные проекты, о разграничении ответственности между техлидом и системными аналитиками, о ценности для команды разработки и кто может в целом прийти на эту роль.

На днях на Хабре появилась критическая статья о бакалавриате, что называется "из первых уст", от очередного первохода. Статья далеко не лишена смысла, однако главная проблема не была в ней затронута. А заключается она вовсе не в обилии посторонних дисциплин и даже не в том, что в учебных заведениях так мало разъясняют суровую конкретику жизни "научиться штамповать JavaScript сайты за месяц". Да, эти проблемы присутствуют, наряду с плохой подготовкой педагогов и отношением к студентам, но не они на корню обесценивают нынешнее образование.

Пару лет назад в статическом анализаторе кода PVS-Studio появился ряд диагностических правил для проверки соответствия текста программ стандарту MISRA C и MISRA C++. Увидев интерес и собрав feedback, команда разработчиков стала дальше развивать анализатор в этом направлении. В статье будет рассказано про стандарт MISRA C/C++, отчёт MISRA Compliance, про то, что мы уже успели сделать и что собираемся достичь до конца года.

• Грейд — структура, позволяющая привязать зарплаты в компании к навыкам и задачам сотрудников.
• Грейды нужны не всем компаниям.
• Грейды не только про hard-skills.
• Грейды обоюдно удобны, если позволяют тем, кто больше вкладывает в развитие компании, получать больше.
• Грейды могут быть вертикальные и горизонтальные.
• Круто, когда человека сам решает, куда он хочет развиваться, и компания идет ему навстречу.

Введение

Когда я устанавливаю Vault в Kubernetes, я держу в голове, что очень важно иметь возможность сделать автоматическое распечатывание(Auto-Unseal), чтобы кластер Vault был по настоящему высокодоступным.

В моей предыдущей статье "Highly available Vault cluster in Kubernetes" (ссылка), несмотря на то, что я изо всех сил пытался сделать кластер Vault максимально доступным, без автоматического распечатывания кластер Vault мог бы выдержать частичный отказ подов, но не пережил бы перезагрузку всего кластера.

В этой статье хорошо объяснено, почему это произошло. Для меня проблема заключается в том, что я не пользуюсь "службой AWS KMS", которую можно было бы использовать, или подобной службы безопасности от "облачного" провайдера, потому что я управляю Kubernetes на self-hosted "облаке" (в этой статье объясняется моя настройка).

В Vault версии 1.1 добавлена поддержка "Transit Auto Unseal", которая заключается в использовании второго Vault кластера B для автоматического распечатывания (Auto-Unseal) кластера А.

Итак, вот идея: развернуть 2 кластера Vault A и B и настроить их так, чтобы они делали автоматическое распечатывание друг для друга.

В преддверии продаж новых iPhone 13 и iPad с iOS 15 хотим поделиться своими впечатлениями о новшествах в управлении яблочными девайсами.

На прошедшей WWDC-2021 Apple сделали несколько докладов об использовании iOS и macOS для работы. Обзорный доклад доступен по ссылке. Далее под катом расскажем о нём и остальных докладах подробнее.

В обычный день мы сталкиваемся с разными баркодами более десятка раз, не обращая на них особого внимания. К обычным линейным штрих-кодам на продуктах мы уже привыкли, не говоря уже о QR-кодах в эпоху COVID. Но давайте присмотримся повнимательнее, какие еще коды служат нам каждый день, храня информацию о нас и об услугах и товарах, которыми мы пользуемся. 

Статья по мотивам доклада «Эффективный DevOps / Максим Залысин (Ситимобил)» с конференции DevOps Live 2020 команды Онтико.

Технология Thread разработана специально для умных домов, с целью улучшения коммуникации между устройствами. С недавних пор устройства совместимые с HomeKit, могут «общаться» не только используя Wi-Fi и Bluetooth, но и Thread.

Большое преимущество этой технологии в том, что Thread создает меш-сеть (mesh-network). В ней лампочки, термостаты, розетки, датчики и другие устройства могут «разговаривать» друг с другом без ограничений централизованных мостов и хабов. Это потому, что Thread не нуждается ни в мостах, ни в хабах. Если какое-то устройство выходит из строя, пакеты данных просто перешлются на другое устройство в сети. По сути, чем больше в Thread-сети устройств, тем эластичней и надежней становится вся сеть.

Привет, Хабр! Меня зовут Олег Сало, я ведущий архитектор MTS Digital в центре IT-продуктов клиентского опыта B2C. Уже достаточно давно я занимаюсь разработкой и проектированием корпоративных информационных систем, в основном в области  CRM и Customer Experience.

В больших компаниях архитектура любого уровня (Enterprise/Solution/Application) - всегда предмет горячих споров и обсуждений, как минимум потому, что каждое архитектурное решение затрагивает большое количество команд. И с мнением каждой команды нужно считаться, иначе вероятность превратить архитектуру в работающее решение стремится к нулю.

Сегодня я бы хотел рассказать про такую интересную технику, как Active Design Review, как мы ее попробовали применить у нас в компании и что из этого вышло.

Разработка протокола велась на протяжении восьми лет, и в этом году его, наконец, оформили в RFC 9000. Представители ИТ-индустрии по большей части тепло приняли технологию, но энтузиазм разделяют не все. Рассмотрим аргументы скептиков.