IT-стандарты *

Про Secure by Design в кибербезе не слышал только ленивый, но не только лишь все смогут объяснить, как на практике выглядит процесс внедрения этого подхода в крупной ИТ-компании. Чтобы разобраться в этом, мы поговорили с Романом Паниным — руководителем направления архитектуры ИБ в крупной телекоммуникационной компании и автором Telegram-канала «Пакет безопасности».

Роман поделился собственным опытом применения Secure by Design и рассказал о преимуществах и издержках методики. «На десерт» — несколько полезных лайфхаков для тех, кто планирует внедрить эту практику в своей компании. Передаем слово эксперту!

Еще, наверное, 5 лет назад цифровая трансформация даже в производственном секторе считалась хайпом. Стильно, модно, молодежно. Сегодня еже нет возможность повыбирать: идти в нее или нет, потому что все прекрасно понимают, не пойдешь - конкуренты уйдут так далеко, что потом уже не догонишь; со всеми самыми печальными последствиями для бизнеса.

Получить патент на ПО раньше было практически невозможно. Сейчас ситуация изменилась. IT-решения смогут попадать в реестр Роспатента. Нужно только учесть некоторые нюансы. 

Меня зовут Юрий Горбачев. Я руковожу патентным бюро «Лирейт». В этой статье я расскажу, что изменилось в 2024 году, как пройти процедуру и получить патент на IT-решение.

Привет, Хабр! Меня зовут Александр, я frontend-разработчик SimbirSoft. Я 7 лет занимаюсь разработкой, и могу утверждать, что в процессе получения опыта работа специалиста становится все более творческой. Мы не просто стремимся заставить ПО работать нужным заказчику образом, а стараемся сделать все его части элегантными, производительными и легко поддерживаемыми. 

Язык программирования, являясь нашим главным инструментом, не статичен и постоянно развивается. Какие-то его части устаревают и отмирают, появляются новые фичи языка, отвечающие духу последних методологий по разработке ПО.

Я расскажу о сообществе, которое занято развитием нашего языка JavaScript. В первую очередь это организация ECMA International, которая разрабатывает стандарт языка ECMA Script, диалектом которого является JavaScript.

Мы разберем основные движки, реализующие стандарт ECMA Script, его ключевые разделы, опишем содержание на примере фичи. Рассмотрим, для чего изучать стандарт и как его дополнить, внеся свой вклад в сообщество разработчиков.

5 сентября 2024 года стала открыта для подписания Рамочная конвенция Совета Европы об искусственном интеллекте и правах человека, демократии и верховенстве права. Документ часто называют историческим и первым в своем роде.

Мы разберем, повлияет ли конвенция на сферу разработки и применения ИИ, а также какие требования она налагает на государственный и частный секторы.

Multicast DNS и DNS-SD являются ключевой составной частью стека Zero-configuration networking (zeroconf) и отвечают в нем за службу имен и автоматический поиск устройств в пределах локальной сети.

Технология zeroconf, позволяющая собрать работающую локальную сеть с нулевыми усилиями по администрированию и конфигурации, известна уже давно. Еще в 1980-х AppleTalk, локальная сеть для компьютеров и устройств Apple, позволяла просто соединить устройства проводами и сразу начать работать.

AppleTalk не выдержал конкуренцию с TCP/IP в эпоху Интернета, но идея сети, которая работает сама, не умерла. В мире TCP/IP Apple продвигает ее под именем Bonjour (ранее Rendezvous).

mDNS/DNS-SD являются одними из ключевых технологий в устройстве современного стека печати и сканирования. Кроме того, они могут использоваться в "облаке", позволяя отдельным компонентам облачного сервиса найти друг друга при условии, что они подключены к одной локальной сети, реальной или виртуальной.

В этой статье я расскажу, как вся эта конструкция устроена под капотом. Эта информация может быть полезна системным и сетевым программистам, которым приходится работать с соответствующими API, администраторам сетей да и просто для лучшего понимания того, как устроены современные сети.

Приходят как-то на синк разработчик, тестировщик и time.sleep(1), а он им и говорит: ребята, мы что, в анекдоте?

→ Ну почти: они в подводке к статье про то, как тестировать мл системы, что бы не потерять $100k.

Привет, Хабр! Меня зовут Денис Басковский. Я фронтенд-разработчик в билетном сервисе Ticketland.ru. В одном из пет-проектов мне понадобилось управлять календарными событиями: ставить время начала и окончания, добавлять комментарии и посылать оповещения. Обычно такая информация хранится и передается в .ics-файлах, описанных в спецификации iCalendar. Благодаря им сейчас синхронизируются все современные календарные приложения. 

В этой статье я расскажу об особенностях этой спецификации, приведу примеры использования .ics-файлов и поделюсь своей библиотекой на TypeScript для их генерации. Все подробности — под катом.

Привет, Хабр! Я Дмитрий Бохан, начальник отдела инновационных проектов в ПГК Диджитал. Мой отдел занимается разработкой и внедрением инновационных ИТ продуктов, мы всегда на гребне современного мейнстрима.

Перед тем, как мы перейдем к основной теме, небольшое погружение для тех, кто никогда не слышал о ПГК: наша компания является одним из крупнейших российских операторов железнодорожных грузоперевозок, а в рамках нашей ИТ дочки ПГК Диджитал, мы разрабатываем цифровые продукты для логистики.

9 марта 2023 года в российском теле- и радиоэфире прозвучало объявление о воздушной тревоге. Пугающий знак радиационной опасности, звук сирены на заднем фоне, напряженный синтетический голос, призывающий спрятаться в укрытии… Спустя несколько часов в МЧС отчитались о том, что тревога была ложной: трансляцию запустили хакеры, взломавшие сервера нескольких радиостанций и телеканалов. 

Ситуация, прямо скажем, не из приятных. Еще более неприятным может оказаться взлом ЛСО — локальных систем оповещения на предприятиях. В этом сценарии атаки есть все, что может сделать больно бизнесу: репутационные и финансовые потери, риск лишиться лицензии на дальнейшую деятельность, угроза жизни и здоровью людей. 

В статье расскажу функциях ЛСО и о том, как спроектировать защиту подобной системы на производстве.

Как я решил проблему с постоянными обрывами RDP-соединения после внедрения MFA-аутентификации

После внедрения в рабочие процессы компании MFA-аутентификации появилась проблема - RDP-соединение обрывалось каждые 10-15 минут. Это сильно мешало работе сотрудников, в основном при работе с сервером 1С. К сожалению, точную причину проблемы в итоге мне выявить не удалось, но сама проблема все же была решена.

Всем привет! С вами Антон Комаров, сегодня расскажу о старом-добром Sony VAIO VGN-P11ZВ, который недавно попал ко мне в руки.

В 2000-х мне очень нравилось рассматривать товары в магазинах компьютерной техники. Обычные ноутбуки и десктопные ПК впечатляли, не говоря уже о КПК. Но сильнее всего привлекали внимание ультрапортативные ноутбуки. На тот момент они выглядели крайне футуристично — прямо техника из далекого будущего. Их цена тоже была фантастической, точнее сказать, фантастически высокой. К сожалению, приобрести такое устройство тогда я не мог.

И вот недавно мне удалось закрыть свой гештальт. Мне подарили ультрабук Sony VAIO VGN-P11Z. Знакомый давно купил такой в Европе, но почти им не пользовался. Сейчас девайс оказался ему не нужен. Зная о моем увлечении необычными гаджетами, он решил отдать его мне. Я повозился пару недель с этой моделью и теперь могу рассказать, что это за устройство и на что оно способно в оригинальной комплектации и с дефолтным софтом.

Привет! Меня зовут Артём Коньков, я тимлид команды продуктовой разработки в Купере. У меня в команде шесть разработчиков, по два на каждый стек: мобилка, фронтенд, бекенд и два QA. В статье расскажу о том, как, став тимлидом в уже почти сложившейся команде, менял систему оценки задач и переводил абстрактные сторипоинты в конкретные.

Дисклеймер: понимаю, что тема холиварная, и с точки зрения строгой методологии нужно выбрать между оценкой по времени или по сторипоинтам и не пытаться поженить одно с другим. У нас в компании допустимы разные варинты и я, как тимлид, очень рад, что такие решения даются на откуп юнитов и отдельных команд — можно настроить процессы под свою команду и свои задачи.

Здесь хочу поделиться своей логикой и тем, как искал аргументы, чтобы реализовать свой эксперимент. Любые менния по теме приветствую в комментариях.

Разные компании по-разному оформляют свои политики конфиденциальности — единого формата нет. Подавляющее большинство из них написано тяжелым юридическим языком, поэтому многие даже не пытаются изучать их, например, чтобы понять, как тот или иной сервис будет работать с персональными данными.

Есть множество инициатив, призванных повысить прозрачность таких документов: от унифицированных иконок на сайтах до браузерных расширений, и новые проекты продолжают появляться. Мы решили взглянуть на ситуацию со стандартизацией политик конфиденциальности и обсудить, нужен ли им единый формат.

Привет! Я Максим Коровенков, DevSecOps Lead в Купере (ex СберМаркет). Хочу поделиться мыслями по поводу минимально необходимого набора процессов, сопутствующих внедрению сканеров безопасности в пайплайны разработки. 

В результате попытаюсь ответить на вопрос: «А что, собственно, стоит иметь в виду под фразой “Мы внедрили сканеры безопасности в пайплайны разработки”?» 

Да, в тысячный раз про пайплайны, но, как вы, думаю, догадываетесь, желание поделиться казалось бы очевидными мыслями появилось не случайно! Не так давно я завершил найм и укомплектовал свою DevSecOps-команду. В рамках поиска пришлось провести достаточное количество интервью, на которых я любопытствовал, как обстоят дела у соискателей с пайплайнами безопасности на текущем/предыдущем месте работы. Это удивительно, но для 90% респондентов фраза «внедрение сканеров безопасности в пайплайны» означает только факт внедрения. Лишь некоторые кандидаты упоминали отправку результатов в VMs/ASOC систему. 

Ведь действительно кажется, что все просто: запаслись вокабуляром из нескольких аббревиатур, внедрили инструменты, SAST, SCA, может что-то еще, настроили отправку результатов для AppSec-ов и, как-будто, можно идти бить баклуши. Но я на своем опыте убедился, что DevSecOps — это про глубокую проработку процессов. Поэтому в данной статье сконцентрируюсь больше на процессах, нежели на технике. 

Предлагаю наконец переходить к сути!