Чому ми виступаємо на конференціях?

Ми з моєю колегою Анастасією вирішили поділитися відповіддю на це запитання у форматі діалогу. Про наші виступи ми регулярно постимо у себе у Twitter: мій аккаунт — @julepka, аккаунт Анастасії — @vixentael. Отже, поїхали...

Юлія

Нас постійно запитують: «Ми часто бачимо ваші виступи на конференціях та онлайн-подіях. Це круто, але як вам це вдається?» Це дуже слушне питання, адже через нього можна багато дізнатися про сферу нашої роботи — кібербезпеку та безпеку даних.

Анастасія

Додам трохи контексту — ми з Юлею працюємо інженерками з безпеки в Cossack Labs. Компанія займається захистом даних та cutting-edge cryptography: від R&D у zk-SNARKs до шифрування даних в базах даних. Часто ми працюємо з незвичними технологіями: криптографічний захист ML-моделей, автентифікація сервісів, що зав’язана на криптографічні ключі, розробляємо протоколи наскрізного шифрування та будуємо differential privacy системи.

Юлія

Так, працюючі у такій сфері, ми дійсно багато часу приділяємо нішевим подіям. Наприклад, у вересні я виступала з однією доповіддю на «онлайн-святкуванні» 20-річчя OWASP та ще з однією доповіддю на конференції з практичної кібербезпеки NoNameCon. @vixentael також виступала на NoNameCon, мітапі OWASP London та вживу на OSDN у Києві. Навіть за часи пандемії ми не припиняємо :)

Анастасія

Справа у тому, що сучасна безпека даних та передова криптографія розвиваються надшвидкими темпами. Якщо хочеш бути у курсі останніх тенденцій, у підручниках їх не знайдеш.

Проте саме на івентах можна дізнатися у софтверних інженерів про їхні поточні складнощі з захистом даних, поділитися власним досвідом, або дізнатися про новітні дослідження від колег з індустрії. Наприклад, так навесні 2019 року, наш колега Артем презентував доповідь про шифрування даних з підтримкою пошуку, яке з «багато обіцяючої технології» перетворилося на фічу в одному з наших продуктів.

Юлія

Перший раз з технічною доповіддю я виступала не так давно — у 2019 році. Це був мітап від OWASP Kyiv. Тоді я ще працювала iOS-розробницею, але вже дуже цікавилася темою безпеки мобільних застосунків. Моя тема була «OWASP MSTG in Real Life», де я ділилася власним досвідом роботи з безпекою мобільних застосунків з точки зору команди розробки.

Можна сказати, що мій перший виступ кардинально вплинув на мою кар’єру, адже саме після нього мною зацікавилася компанія Cossack Labs, де я зараз і працюю.

Анастасія

Так, так, я пам’ятаю, як прийшла на виступ і така «ага, ось розробниця, якій цікава безпека. Я б хотіла з нею працювати» :) І всьо завєртєлось :)

Юлія

Конференції з кібербезпеки відрізняються від багатьох інших тим, що кожен може знайти тему за власною спеціалізацією: розробники діляться практиками secure coding, тестувальники вивчають інструменти для тестів на проникнення, devops-інженери дізнаються про покращення безпеки в інфраструктурі, менеджери та власники бізнесів слухають про Secure-SDLC, керування ризиками та пріоритезацію задач і т. д.

Як розробниці в минулому ми з Анастасією добре усвідомлюємо, чому інші розробники допускають помилки, коли мова йде про безпеку та криптографію. І саме наш колишній досвід допомагає нам у спілкуванні з командами розробки.

Анастасія

Наприклад, у 2020 ми тішилися на конференції присвяченій iOS розробці — Swift Heroes, що проходила онлайн. Ми провели Security Roundtable — це такий дискурсійний формат — де ми озвучували різні ситуації та запитували у авдиторії, як вони б реагували. Наприклад, що б ви робили, якщо вам надійшов лист від користувача, що знайшов проблему у безпеці вашого застосунку. Або як розібратися, які дані застосунку треба захищати, а які можна зберігати як є. Або як обрати розділи з OWASP MASVS, на які треба звернути увагу у першу чергу. Ми коментували різні відповіді, показуючи сильні та слабкі сторони того чи іншого рішення.

Це дуже корисний досвід, адже у власній роботі ми також спілкуємося з розробниками та допомагаємо їм будувати більш захищені системи. Проведення воркшопів на конференціях це хороше тренування, щоб завжди бути у формі — спілкування з інженерною командою, робота з запереченнями, відповіді на питання, пошук рішень, що і розробникам подобаються і задовольняють команду з безпеки.

Юлія

На відомих міжнародних конференціях з безпеки піднімаються найактуальніші теми. Звісно, є досить багато бажаючих виступити. Податися на такі конференції зі своєю темою — це справжній виклик. За останній рік найчастіше «перемагала» моя доповідь про безпеку React Native мобільних застосунків. Ця тема виявилась цікавою як для мобільних девелоперів — бо React Native досить популярний, так і для інженерів з безпеки — бо ще немає установлених security best practices для «гібридних» застосунків.

Анастасія

А я люблю розповідати про прикладну криптографію — наприклад, як ми вже 6 років підтримуємо опен-сорсну криптографічну бібліотеку Themis, що працює на 14 мовах — і у нас коду тестів у 10 раз більше ніж коду бібліотеки. Або як ми будували шар захисту ML моделей — від шифрування до оцінювання легітимності поведінки користувачів. Або як писали шар наскрізного шифрування у популярному застосунку Bear — де і криптографія, і особливості Keychain, і недовіра до Apple інфраструктури.

Юлія

Ми можемо на практиці побачити, які саме теми є затребуваними з точки зору програмних комітетів та, власне, слухачів. Але погодьтеся, що конференції це не лише про отримання знань з доповідей. Багато хто шукає корисні знайомства, що потенційно переростають у співпрацю.

Наприклад, цього року до Києва приїздив відомий експерт з криптографії Jean-Philippe Aumasson, автор популярних книжок з сучасної криптографії, а також один з розробників хеш-функцій сімейства BLAKE. Оскільки Анастасія вже була з ним знайома з попередніх конференцій, нам вдалося організувати камерну мітап-дискусію з криптографії.

Анастасія

Ой так, я з JP познайомилася на конференції у Польщі кілька років тому — ми єдині з потоку «crypto» розповідали про криптографію, а не блокчейн :) Це знайомство переросло у гарні бізнес-відносини — ми з JP розробили програму та провели спільний тренінг з практичної криптографії у Лозані, проводили воркшопи, разом представляли наші компанії на виставках, слідкуємо та рев’юємо публікації наших команд, і т. п. І ось влітку показали JP Київ та познайомили з варениками, бо не криптографією єдиною :)

Юлія

Якщо підсумувати, чому ми виступаємо на конференціях:

  1. Коли ти розповідаєш щось іншим, сам стаєш кращим експертом.
  2. Конференції дають зворотній зв’язок, що допомагає зорієнтуватися, які сфери галузі наразі викликають найбільший інтерес.
  3. Спілкуючись на конференціях, ми можемо познайомитися з унікальними спеціалістами, знайти нових друзів та колег.
  4. Виступи допомагають покращити навички спілкування, вміння пояснювати та взаємодіяти з авдиторією.

В Cossack Labs ми будуємо продукти для захисту даних, займаємося прикладною криптографією, і охоче ділимося знаннями. Коли ти відчуваєш позитивну віддачу від авдиторії, розумієш, якою цікавою роботою займаєшся.

👍ПодобаєтьсяСподобалось8
До обраногоВ обраному1
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Конференції та внші айтішні збіговиська давно перетворилися на сміттєвий контент.

так можно охарактеризовать ИТ рынок кадров за последние пару лет) учитывая, как много новых людей развиваются не в ширь и вглубь, а лишь вглубь, чтобы хватило «вайти в айти», нет уверенности что на «годный контент» прийдет достаточно народа и усилия оценят)
даже если оценить текстовые онлайн материалы 5 летней давности, и 2-3 летней давности, можно заметить как стало реже выходить чего-то годного

это само собой но основной контингент это те кто хочет понадувать щеки с трибуны и/bkb найти кому впарить свою наколенную поделку. Ну и новички который еще интересны всякие айтишные тусовки как мне было интересно лет 20 назад .
Вот эти перцы вместо стопицотой библиотеки криптографии сделали сделали бы конкретно нужную чтобы подписывать и отправлять чеки в нашу налоговую без танцев с бубном или посредников. а то с нового года поменяют ДСТУ стандарты и дажн то что есть на гитхабе перестанет работать.

кому у нас нужна библиотека для подписывания чеков в налоговую?) вы планируете делать свой софт\веб морду для этого?) все те, кому это интересно, насколько я вижу, сами являются АЦСК и предоставляют ключи и софт\веб морду для подписывания, либо пара лавок, которые уже умеют все это и написали сами (taxer, medoc, etc). к либе нужна будет обвязка, которая будет очень специфична и имеет маленький рынок и клиентов, имхо.
сам для себя чет такое пытался найти. но по итогу, проще чет существующее использовать для личных нужд. а новых компаний\продуктов, которым это нужно — не встречал\не слышал.

вообще то все уже есть — складская система. в виде веб сайта и с открытым кодом.
Сейчас в ней используется проект на ноде с гитхаба. но кто знает будет ли автор саппортить и потом хорошо бы встроеное решение чтобы на обычном хостинге работало.
ПО с АЦСК нормального нет. да и то фиг найдешь где скачать.
А интересно все кто хочет програмный РРО с отправкой чеков в налоговую и без посредников.

Epic NPC girl:
— Хороший день для рыбалки конференции

ми вже 6 років підтримуємо опен-сорсну криптографічну бібліотеку Themis

дякую

Підписатись на коментарі