Все потоки

Недавно мы рассказывали о проекте, позволяющем передавать данные по WebRTC с помощью звука. Обсудим еще одну аудиотехнологию, которая уже занимает нишу бесконтактных платежей в супермаркетах, ресторанах и даже на транспорте.

Работа в публичном облаке открывает широкие возможности гибкой разработки и доставки приложений. Так как компании и специалисты DevOps заинтересованы в развертывании кода и функций в кратчайшие сроки, переход в публичное облако — один из важнейших этапов цифровой трансформации. Согласно исследованию Radware, 70% рабочих приложений сейчас запущено в публичном облаке. Это значит, что под термином «кибербезопасность» все чаще подразумевается безопасность облака.

Быстродействие и динамичность облачных сред, кроме преимуществ и возможностей гибкой работы, представляют ряд угроз безопасности, которые организации должны также учитывать. Например, такой проблемой может стать управление доступом и учетными данными в публичном облаке.

Разрешения доступа = поверхность атаки

Разработка приложений, размещенных в публичном облаке, по определению производится удаленно. Для доступа используется удаленное подключение с помощью механизмов и API, которые предоставляет поставщик услуг публичного облака. У администраторов больше нет физического контроля над ресурсами, а весь доступ к их ресурсам осуществляется дистанционно. Однако и хакеры, злоумышленники и другие посторонние лица могут получить доступ к тем же ресурсам с помощью тех же стандартных протоколов, API и методов.

Безопасность разработки зависит от того, у кого есть доступ к приложениям, и от предоставленных полномочий.

В сущности, это означает, что чем больше разрешений вы дадите, тем больше будет поверхность атаки на вашу организацию. Обеспечение безопасности в публичном облаке начинается с контроля выдаваемых разрешений и управления идентификацией и доступом (identity and access management, IAM).

Разные сети, схожие проблемы

Компании все чаще развертывают приложения в облачных средах, и эксперты Radware обнаружили несколько общих проблем, с которыми они сталкиваются. Как уже было сказано, многие из них связаны с управлением разрешениями и учетными данными.

До прихода в индустрию я искал материалы про QA в геймдеве, чтобы понять отличия от других областей. Результатов нашлось не много — обычно пишут про общие или абстрактные вещи, или о том, что это простой путь в геймдев, или рекламируют курсы. В итоге захотелось закрыть некоторые вопросы самому, так как на собеседованиях я вижу, что далеко не все представляют себе эту профессию на практике.

Надеюсь, материал поможет получить знания о реальной работе тестировщика в геймдеве, а попутно прокомментирую некоторые мифы и опишу наш воркфлоу на конкретных примерах.

Пандемия и связанные с ней экономические потрясения дали толчок к появлению технологических инноваций, в том числе к масштабным прорывам в сферах облачных и периферийных систем. Давно устоявшиеся компании перестраивают свою бизнес-модель и превращаются в полностью бесконтактные онлайн-сервисы. Согласно отчету Radware "The State of Web Application and API Protection", 70% производственных веб-приложений в настоящее время выполняются в облачных средах. Масштабный перенос рабочих нагрузок в облако и на периферию не ограничится 2022 годом и станет существенным фактором корпоративной безопасности. В этой статье эксперты рассуждают о тенденциях ушедшего года и строят прогнозы на 2022 год.

В последние годы мы наблюдаем масштабные изменения в области цифровой трансформации. Как люди, мы все "подключены" к сети — наши умные устройства, умные дома, умные автомобили, умные города и так далее. Мы используем умные устройства из-за удобства, которое они нам предлагают — автоматизируя ежедневные задачи и давая представление о текущих событиях, от давления в шинах автомобиля до того, оставили ли мы плиту включенной перед выходом из дома.

В этой статье мы расскажем о том, как запускать Selenium-тесты в Docker и выполнять их в браузерах Chrome и Firefox. И мы, вероятно, также поймем, зачем запускать Selenium-тесты в Docker.

Среди изучающих английский есть один очень интересный миф. Многие считают, что бокал вина или кружка пива, выпитые перед занятием, улучшают восприятие иностранного языка и в целом помогают его изучать.

Мы решили исследовать этот вопрос подробнее. Действительно ли алкоголь улучшает способности человека к изучению языков? Давайте разберемся.

Масштабы атак продолжают стремительно расти, однако наряду с этим ростом возникает сложная задача отслеживания тактик, техник и процедур (TTPs), используемых различными злоумышленниками («акторами»). Лаборатория информационных технологий CSRC (Computer Security Resource Center) Национального института стандартов и технологий США (The National Institute of Standards and Technology, NIST) разделяет поведение злоумышленников на уровни тактик, техник и процедур. Отслеживание такого поведения стало основополагающей концепцией для специалистов по анализу киберугроз. Классификация и документирование тактик, техник и процедур злоумышленников позволяет специалистам по информационной безопасности лучше понять их поведение и принципы организации конкретных атак и, следовательно, подготовиться к эффективному реагированию и отражению текущих и будущих угроз.

Определение тактик, техник и процедур (TTPs)

Тактика в аббревиатуре TTP означает обобщенное описание поведения или действий злоумышленника. Например, первоначальный доступ — это тактика, которую будет использовать злоумышленник для проникновения в сеть.

Техника — это подробное описание ожидаемого поведения или действий для конкретной тактики. Например, техника получения первоначального доступа к сети может предполагать фишинговую атаку.

Процедура — это технические подробности или способы использования злоумышленником выбранной техники для достижения своей цели. Например, процедуры для фишинговой атаки будут включать в себя порядок проведения или этапы кампании. К ним будут относиться сбор сведений об инфраструктуре для отправки вредоносного электронного письма, выбор целевых пользователей и планирование способов проникновения на их компьютеры.

К сожалению, отслеживание поведения злоумышленников всегда было сложной задачей, во многом из-за отсутствия единого, повсеместно применяемого, стандартизированного подхода, которого можно было бы придерживаться. Показательный пример приводила компания Radware в первом выпуске справочника Hacker's Almanac, когда одна и та же группа злоумышленников была известна под множеством имен в зависимости от организации из сферы безопасности, раскрывшей и описавшей кибератаку: APT10 (раскрыта компанией Mandiant) также упоминается как menuPass (раскрыта компанией Fireeye), Stone Panda (раскрыта компанией Crowdstrike) или Red Apollo, Cloud Hopper и POTASSIUM (раскрыты корпорацией Microsoft). Такая ситуация чрезвычайно осложняет процесс обсуждения, документирования и информирования о действующих злоумышленниках или группировках.

К счастью, за последние несколько лет в отрасли началось повсеместное внедрение платформы MITRE ATT&CK для корпоративной среды, которая призвана обеспечить стандартизацию и содержит каталог тактик, техник и процедур (TTPs), используемых злоумышленниками, а также их имена и псевдонимы.

Представьте ситуацию: вы приходите в новую компанию, погружаетесь в проект, но с первого же дня не успеваете в сроки. Вы собираетесь с мыслями: формализуете бэклог, выделяете MVP, но все равно не успеваете даже с минимальным жизнеспособным продуктом. Через пару спринтов получаете среднюю скорость команды, делите сумму оценок задач бэклога на скорость и высчитываете реалистичную дату реализации проекта. Готовите внушительное обоснование руководству, «посыпаете голову пеплом» и согласуете новый срок его сдачи. Продолжаете работать, но всё равно не успеваете. Очевидно, что-то идет не так, отсюда зреет вопрос «доколе?»

Меня зовут Алексей, я IT product manager, занимаюсь развитием внутренних систем в ВТБ Лизинг. В ситуации выше смешались проекты, продукты и agile, но так даже интереснее и жизненнее. В этой статье я расскажу, как мы выходили из подобной ситуации.

Работали два программиста с опытом 3-5 лет (MS Dynamics AX, D 365 FO, 1С ERP, SAP). Оба были относительно хорошими программистами, честными и ответственными людьми со своими тараканами и установками. Оба к чему-то стремились, хотели, чтобы их ценили. Каждый по-своему. Оба развивались, читали книги и статьи, слушали различные тренинги и умных людей, задумывались о будущем. Оба знали про биржу, инвестиции, пассивный доход, финансовую подушку, бизнесы и прочее из этой серии.

Первый старался откладывать каждый месяц по 50 тысяч рублей, планировал через несколько лет купить небольшую квартиру на этапе строительства или офисное помещение, чтобы сдавать в будущем. Экономил. 

Второй тратил всё. Каждый месяц уходил в ноль. Иногда накапливал за полгода на путешествие-отдых и снова обнулялся.

Ежедневно я общаюсь с большим количеством крупных компаний. Нередко они выражают желание построить data-driven компанию в течение следующих нескольких лет. Их ключевая стратегия заключается в создании DWH/Big data и подключении к ней пользователей, которые сами будут строить отчеты, визуализации и дашборды, используя self-service инструменты - Tableau, Power BI или Qlik.

Одна из основных проблем Tableau, Power BI или Qlik - у них нет единого семантического слоя, единой логической модели, единого определения всех атрибутов, фактов и показателей для всей бизнес-аналитики компании. Именно поэтому они растут в компании без контроля и governance, порождая множество версий правды в отчетности и аналитике в компании. Через какое-то время компании сталкиваются с тем, что уже не могут разобраться какому отчету доверять - данные не сходятся не только в разных системах Tableau, Power BI или Qlik, но и между отчетами в одной системе. Получается, что компании вкладывают огромные средства в построение единой версии правды на уровне хранилищ данных, а в конечном счете получают невероятное количество отдельных и ungoverned отчетов, визуализаций, дашбордов, которым они не могут доверять.

Tableau, Power BI и Qlik - отличные инструменты, если вы хотите, чтобы бизнес-пользователь мог выполнять локальную аналитику self-services для нужд своего отдела. Тем не менее, чтобы построить data-driven компанию на уровне всего предприятия, вам потребуется инструмент, который позволит упорядочить, структурировать и стандартизовать всю вашу бизнес-аналитику. 

Прежде чем создавать сложнейшие миры на сотни и тысячи страниц, многие писатели сначала пробуют себя в малой прозе — благодаря рассказам и повестям. Например, так начинал свою карьеру Джордж Мартин, который начал публиковаться еще в середине 60-х, а первый его роман увидел свет только в 1977 году. 

Мартин, впрочем, на протяжении большей части своей карьеры считался мастером именно короткой формы. Есть же фантасты, которые сегодня известны по масштабным романам и циклам, хотя некогда первую известность завоевывали рассказами и повестями. Вот — несколько тому примеров. 

Раз меня упомянул @Arnak в его большой статье "Почему СтарЛинк от Илона Маска это Скам", то нужно написать ответ. (точнее повторить и немного расширить, тот что я написал там в комментах)

1) Я не знаю, что точно обозначает "скам". Поэтому не могу тут ответить ни да, ни нет.

2) так же не хочу говорить про другие проекты Маска (а там ведь помимо СоларСити есть и крайне успешный Falcon9).

3) В комментируемой статье есть ряд фактических ошибок в части спутникового проекта СтарЛинк или спутниковой связи, но они не меняют общий смысл утверждения Автора статьи, хотя и позволяют комментаторам статьи поставить под сомнения основной вывод автора.

4) Проект СтарЛинк безусловно был начат Маском (и Гуглом) в 2014 году без понимания всей его сложности и особенностей этого рынка (первый признак этого заявка на Сеть первого этапа она же Generation 1 (в Ку банд) от 2016 года потом изменялась еще 4 (четыре!!!) раза итого до 2020 года имелось 5 версий сети с разными частотными планами, орбитами и количеством спутников

5) основная проблема сети нынешнего первого этапа StarLink Generation 1 не хватка пропускной способности. Это признал в начале декабря 2021 года сам Илон Маск , сказав что это поколение СтарЛинка "финансово слабо" (то есть по сути нерентабельно). Я лично пришел к этому выводу на основании расчетов пропускной способности сети в сентябре 2021 года .(это есть в одной из статей тут на Хабре)

6) Следующая сеть V диапазона (7000 спутников), если верить письму СпейсХ в ФСС не подходит для создания сети с коммерческим сервисом (большие потери мощности сигнала на этих частотах, нет задела по радиоборудованию для абонентскмих терминалов)) и видимо вообще не будет реализована. По крайней мере сейчас не видно ни малейшего движения в эту сторону со стороны СпейсХ.

В этой статье мы рассмотрим, каким образом можно использовать GitHub Actions для создания конвейера непрерывной интеграции, который автоматически тестирует, проверяет и анализирует ваш код Go.

Что такое SAP Central Finance? Это комплексные решения, позволяющие на базе S/4HANA с включенной бизнес-функцией «CFIN» и SAP SLT сервера решать различные задачи в ситуациях, когда в компании или холдинге имеется несколько исторических систем, автоматизирующих неунифицированные финансовые бизнес-процессы с различными основными данными и организационными структурами в каждой ERP-системе и есть потребность в централизации финансовой функции. То есть сценарии Central Finance это on-line подключение различных систем к Центральной системе SAP S/4HANA для репликации детальных операций финансового учета, гармонизации данных из различных ERP-систем с целью формирования эквивалентных финансовых документов в Центральной системе и предоставления согласованной и актуальной финансовой информации в масштабах всей компании или всего холдинга.

Статья предназначена для консультантов и архитекторов по продуктам SAP, а также для процесных экспертов и представителей бизнеса, кто заинтересован в централизации процессов своей компании или холдинга с использованием ПО SAP, уже знаком с решениями SAP и хочет больше узнать о возможностях продукта SAP Central Finance.

Тип varchar(max) часто используется как в обычных, так и во временных таблицах. Да, с ним можно не беспокоиться о длине строк или появления ошибки "Произойдет усечение строковых или двоичных данных" (String or binary data would be truncated).

Но стоит ли использовать varchar(max) повсюду?

Подробнее о varchar(n) вы можете прочитать здесь, а в этой статье мы сравним типы varchar(max) и varchar(n).