Репутационные и денежные риски, связанные с уязвимостями, огромны. На фоне этого понятен повышенный интерес к безопасности и стремление выстроить цикл безопасной разработки (SSDLC). Сегодня мы поговорим об одном из подходов, используемых в SSDLC, – SAST.
Новости
Как умереть со своими зубами в 90 лет
КТ челюсти. Очень важная вещь для составления календаря планового лечения.
Вообще у человека, который задался таким вопросом, есть три способа:
- Идеальный. От рождения до смерти следить за зубами.
- Типовой. Обратить внимание на свои зубы в возрасте примерно 30–40 лет. Вылечить кариес, наладить правильную гигиену. Это когда не просто горизонтальными движениями щёткой по зубам. И зайти к ортодонту и ортопеду. Если вы достоверно точно знаете, что с опорным аппаратом зубов у вас всё ОК, то можете пропустить этот шаг.
- Сложный. Когда вам уже 60 лет и вставную челюсть не хочется. Это, конечно, уже не про экономию, а про съёмные протезы и профилактику пародонтита.
Сегодня поговорим про календарь планового лечения, про то, что человек должен делать с начала своей жизни и в течение, чтобы у него с зубами было всё хорошо или, по крайней мере, прогнозируемо. В общем, этот пост — про экономию: как грамотно инвестировать в свои зубы и исходя из составленного плана управлять сроками, бюджетом и процессом лечения.
Двенадцатифакторная модель создания CLI-приложений
Современному пользователю сложно представить себе взаимодействие с операционной системой без мышки или пальца на экране. Интерфейс однозначно ассоциируется с чем-то графическим и оконным, основанным на пользовательском опыте миллионов людей за несколько десятилетий. Это очень удобно, однако в разработке софта есть ещё удалённые уголки Вселенной, где для решения сложных комплексных задач просто нет готовых решений с графическими интерфейсами. Тут на помощь приходит старая добрая командная строка (Command Line Interface, CLI). Поводом для перевода и публикации этой статьи стал интерес команды Artezio к повышению удобства, читаемости и возможности поддержки CLI в части разработки. В конце концов это такой же интерфейс как и графический, он тоже должен быть удобным. Мы очень надеемся, что эти знания окажутся полезными для читателей блога.
Инженерный хакатон YADRO для студентов
14-15 мая 2022 г. YADRO впервые в России проведёт инженерный хакатон для студентов старших курсов.
Студенты смогут прокачать навыки проектирования современных микропроцессоров на базе архитектуры RISC-V и попробовать свои силы в решении практических задач маршрута проектирования системы на кристалле (СнК) по направлениям:
- RTL проектирование;
- функциональная верификация;
- топологическое проектирование.
История Windows CE
Microsoft за всё время своего существования неоднократно пыталась выйти на рынок, отличный от компьютерного. И за всё время существования компании накопилось огромное количество проектов, которые сразу оказались неудачными или просуществовали недолго. Исключением стала разве что история с Xbox.
Надо заметить, что были и весьма интересные попытки. Например, с Windows CE. Эта операционная система очень напоминала самое известное творение Microsoft: Windows, но имела свои отличия. Предполагалось, что на этой мобильной ОС будет работать всё, кроме компьютеров. Windows CE просуществовала довольно долго, но в итоге эта ОС так и не получила широкой известности. Более того, она стала рассматриваться как угроза самой Windows.
Почему? Рассказываем.
Как сделать фотошоп конвейером контента
В этом гайде вы научитесь создавать шаблонизированные картинки с разным наполнением и данными с помощью магии фотошопа и капелькой программирования
«Идеальный процесс работы» UX/UI Дизайнера
Итак, вообще для чего нужна последовательность в проектировании? Я бы привела аналогию с замешиванием теста. Есть много нюансов, которые нужно делать последовательно, не перемешивая процессы, иначе тесто получится не пригодным для наших самых красивых и вкусных синабонов. С этапами работы все так же. Ты не можешь отрисовать дизайн, а потом искать пользователей. Твоя работа окажется бесполезной и не удовлетворит конечного потребителя. Здесь я расскажу про каждый этап и какие лучше применять исследования, фреймворки и методологии.
Отношения с IT. Часть седьмая. Ничто не ново под луной
Все персонажи и события являются вымышленными. Любое совпадение с реально живущими или когда-либо жившими людьми случайно.
- Скажи, пожалуйста, каких результатов ты хочешь? – спрашиваю я сюзерена, разглядывая бейсбольные панамки, грамоты и кубки в его кабинете.
- Ну как? Хочу роста по проектам и выручке. – Отвечает он и смотрит в мою сторону настороженно.
- Слушай, я тоже хочу этого. Хочу менять рынок и подход к задаче, которая беспокоит наших заказчиков. Давай попробуем выстроить внутри эффективную систему и постепенно менять то, что мы можем для достижения результата? Хочешь, чтобы мы развивались как стартап? Хорошо, мы будем искать свой путь и двигаться в своем векторе.
- Продолжай…
- Оставим штат как есть, не будем пока тратить бюджет на маркетинг, сконцентрируемся на том, что мы можем изменить – повысим эффективность работы коммерческого отдела. Вот здесь и будет фокус нашего внимания. Что думаешь? – С замиранием спрашиваю я у СЕО.
- От меня-то что нужно?
….
Это был второй раз, когда мне удалось договориться с сюзереном. Он разрешил привлечь стороннего эксперта для краткосрочной проекта. И если в первый раз на эту же самую просьбу он ответил нет НЕТ, то сейчас великодушно сообщил:
- Хорошо, я встречусь с этим твоим чудо-экспертом. Организуй встречу.
В тот день я порхала по офису и сыпала остротами на разборе заказчиков. Вне зависимости от будущего результата встречи – это был успех. Успех, потому что вместо привычных «нет», «никогда», «ни за что», «это твоя проблема» и «за что я тебе плачу», было «окей, давай попробуем».
Process Mining c bupaR
В настоящее время тема Process Mining продолжает набирать популярность, и все больше применяется при поиске новых путей повышения эффективности бизнес-процессов, в оперативном анализе пилотных проектов и конечно же в задачах аудита. При выборе инструмента для разработки в рамках данной задачи важнейшими критериями становятся доступность, производительность, наличие сообщества.
В этой статье мы рассмотрим bupaR – open-source пакет для анализа бизнес-процессов на языке R. В качестве IDE использовалась RStudio.
Допустим, у нас уже есть файл (csv) журнала (лога) событий активностей пользователей в интернет-магазине. Воспользуемся пакетом readr для загрузки лога событий из данного файла и методом activities_to_eventlog из bupaR для преобразования:
Техподдержка АЭРОДИСК: как построить хорошо работающую систему и не сойти с ума?
Всем привет.
В этой статье мы в подробностях расскажем, как функционирует техническая поддержка систем хранения и систем виртуализации АЭРОДИСК. Поговорим об её особенностях и развитии от «полутора» инженеров до сети сервис-центров на всей территории России и ближайших стран.
И, как положено, после статьи на Хабре мы делаем вебинар «ОколоИТ». Тема –техническая поддержка АЭРОДИСК. Вебинар состоится 28 апреля в 14 00. Зарегистрироваться можно по ссылке.
Эргономичный подход к разработке информационных систем v1.0M1
... или как писать программы, которые приносят больше положительных эмоций.
Работу над Эргономичным подходом я начал весной 2020 года. Причиной тому стал возврат к работе над стандартными для экосистемы Spring-а проектами после четырёхлетнего перерыва.
На контрасте с работой над своими проектами, я особенно остро ощутил уже забытые чувства раздражения от избыточной трудоёмкости решения задач и страха внести регрессию. Уже тогда я понимал, что причины и того и другого кроются во многих широко распространённых практиках - пакетировании по слоям, связном графе анемичных JPA-сущностей, глобальном компонент скане, тестах на моках. В своих проектах я делал это как-то по-другому, но именно "как-то" - каждый раз уникальным образом на основе интуиции.
Для того чтобы вытащить эту интуицию наружу и сначала систематизировать собственную работу, а потом научить других делать так же и систематизировать работу команды, я начал писать книгу.
Про уязвимости в системе и баг-хантинг
Ну, здравствуй, Хабр. Так уж сложилась моя личность, что будь я персонажем ролевой игры, моей способностью, однозначно, было бы накидывание экскрементов на промышленный вентилятор. Шутки шутками, но тема злободневная - я нашел уязвимость бизнес-профиля Google, позволяющую получить доступ к конфиденциальным данным компаний и их клиентов.
Полдень, весна, XXI век. Лев Абалкин. Архетипы
— Лева! - произнес Экселенц изумленно-растроганным голосом. - Боже мой, дружище! А мы с ног сбились, вас разыскивая!
Не делайте лишних колонок в ваших таблицах, вам это не нужно
Всем привет.
Я люблю базы данных, люблю строить запросы, люблю проектировать БД. Раскладывать по полочка, систематизировать это моё любимое занятие. Конечно первые годы я проектировал таблицы БД как меня научили в ВУЗе - каждому свойству отдельная колонка.
Но этот подход отстал от жизни, то есть он удобен если ваша бизнес логика работает на хранимых процедурах. Тогда действительно, записи таблицы это готовые объекты вашей бизнес логики.
Но актуальных подход это разделение ответственности за обработку данных между сервером баз данных и сервером приложений. Сервер баз данных предоставляет данные, сервер приложений их обрабатывает.
Речь конечно об Online Transaction Processing (OLTP). Когда нам надо получить данные по одной сущности, например, показать профиль пользователя, или показать товарные позиции определённого заказа.
Ниже я расскажу о продвинутом способе хранения данных.
Отношение к ТЗ в современных ИТ-проектах
В мире накоплено немало знаний о том, как вести проекты. Разработаны ГОСТы, стандарты, методологии и целые идеологии, которые говорят нам, что нужно сделать, чтобы прийти от идеи к результату. Нам остается только выбрать рекомендуемый путь и следовать ему.
Сегодня я хочу поговорить об инструменте, который встречается на всяком пути, независимо от того, кто по нему идет, какая у него роль и какой управленческой методологией для ведения проектов он пользуется (или не пользуется).
Этот инструмент в широких кругах называется ТЗ – техническое задание. Еще он может называться спецификацией, user story, заданием или требованиями к разработке, суть одна – этот документ помогает нам прийти из точки A в точку B. Именно с такой позиции мы будем его рассматривать, независимо от формализации.
Но довольно банальностей! Перейдем к мясу.
Новый сетевой стек Reticulum — если нужно построить децентрализованную сеть
С помощью Reticulum можно развернуть территориально-распределенную сеть на бюджетном железе и без IP. Поговорим об особенностях технологии.
Как согласовать NDA без юриста
NDA (non-disclosure agreement) - это соглашение о неразглашении конфиденциальной информации. Такое соглашение очень часто подписывают с работниками, подрядчиками, партнерами. Это практически классика деловых взаимоотношений. Я думаю, вы тоже хоть раз в жизни подписывали такой документ.
Хорошая новость заключается в том, что почти все NDA как близнецы-братья похожи между собой. Сейчас я расскажу, на что стоит обратить внимание.
Как отформатировать текст в Интернет по ширине с переносами
Большинство сайтов в интернете используют выравнивание текста влево и не используют переносы. Дизайнеры утверждают, что возможности браузеров по форматированию текста далеки от возможностей настольных издательских систем в плане изменения расстояния между словами, между отдельными символами в словах, расстановке переносов и т. д. Все выглядит ужасно, поэтому рекомендуется никогда не использовать выравнивание текста по ширине в Web.
Однако, я решил попробовать читать новостные сайты, habr или lib.ru с "книжным форматированием".
Pine64 продолжает удивлять: экосистема устройств пополняется новыми гаджетами
Сообщество Pine64 — те самые ребята, кто выпустил Linux-телефон PinePhone, который мы уже обозревали, а также его «наследника», PinePhone Pro, с более мощным процессором, лучшей камерой и несколькими дополнительными улучшениями. Сейчас разработчики представили сразу несколько обновлений, среди которых — беспроводные наушники с открытым «железом» и ПО. Обо всем этом — читайте под катом.
Сразу стоит сказать, что пост о беспроводных наушниках и тестовой плате для аудио появился в качестве первоапрельского поста. Многие решили, что это шутка, но она оказалась с двойным дном. Шутка как раз в том, что девайсы, заявленные как «первоапрельские», реально разрабатывались и вскоре их начнут отгружать в продажу.
Сравнение алгоритмов детекции лиц
Привет, Хабр! Очень часто я на просторах интернета натыкаюсь на такой вопрос: «А какое готовое решение по детекции лиц лучше всего использовать?» Так вот, я отобрал 5 решений с Github, которые показались мне хорошими, относительно новыми и лёгкими в использовании, и хотел бы сравнить их между собой. Всем, кому интересно, что из этого вышло, добро пожаловать под кат!