×Закрыть
Director of Engineering Security
  • Исследование продуктивности разработки [Опрос]

    Спасибо всем, кто потратил время и заполнил опросник — 14 ответов всего за три дня, я даже не надеялся на такое активное участие! ДОУ зе бест <3

  • Задай вопрос инженеру (и бывшему стажеру) Google

    Привет! Я делаю исследование для МВА о продуктивности разработки, ищу тех, кто сможет заполнить короткий опросник о методах работы, количестве релизов и составе команды. Было бы очень интересно получить данные от команды из Google.
    Вот ссылка: goo.gl/forms/oiPqJeKOuZG4GIPE2
    Там все детали. Благодарю заранее!!

  • Краш-тест Uklon: как компания проверила себя хакерской атакой и что из этого вышло

    Кстати, не советую запускать багбаунти до того, как построен хотя бы минимальный SDLC (один из примеров — www.microsoft.com/en-us/sdl). Вы получите сотни репортов, потратите много времени на их анализ, а потом программистам просто некогда будет их фиксить. Нужно будет как-то приоритизировать, что само по себе сложно, если не построены четкие критерии — как какие уязвимости грейдить, как фиксить, в какой промежуток времени, как внедрять знания, чтобы этого не повторяось итд.

  • Краш-тест Uklon: как компания проверила себя хакерской атакой и что из этого вышло

    Судя по результатам и вашим комментариям, вам нужно внедрять SDLC — Secure Development Lifecycle и начинать задумываться о безопасности на всех этапах разработки — от проектирования до релиза и эксплуатации. Пентестеры находят крупицы, стоят дорого и не дают гарантии, что самые серьезные ошибки найдены.

    В идеале, построить свою Application Security команду, купить SAST и DAST tools и внедрить их в CI/CD. Заниматься тренингом разработчиков хотя бы базируясь на октрытых ресурсах (таких как OWASP). Проводить моделирование угроз (Threat Modeling) на этапе дизайна. Сделать пентесты регулярными и найти хорошего провайдера для этого сервиса, отобрать консультантов для теста и проводить его только имея четко определенный scope.

    Также, исходя из классификации XSS из первого примера как medium, можно подумать о Vulnerability Management program и выработать четкие гайдлайны для оценки уязвиомстей. Я бы сказал что все Stored XSS и многие Reflected XSS — это как минимум high severity, а иногда — Crirical. Все зависит от business value конкретного компонента, который эта уязвимость компрометирует.

  • Без master и slave: Python частично отказывается от неполиткорректных терминов

    Можно смотреть вечно на три вещи — как течёт вода, горит огонь и бомбит у украинских разработчиков от феминитивов и политкорректности

  • О работе для IT-специалистов в Скандинавии

    Если брать Хельсинки, Тампере или Турку, то на английском тут говорят без исключения все. За три года встретил всего нескольких людей, которые не знали английского.

    Язык учить трудно.

    Экономический спад, но много стартапов, очень хорошая инфраструтура для развития небольших компаний.

    Поддержал: Sergey Nekolaiv
  • Ландшафт искусственного интеллекта в Украине

    по моей программе пока больше упор на науку, но в целом у универа очень много проектов в сотрудничестве с крупными компаниями. Науку ради науки здесь даже представить сложно, все наши лекторы работают над своими проектами или в группах, большая часть из них так или иначе связана с индастри и результаты заточены под конретное применение. Я в курсе нескольких проектов по augmented reality, deep learning. Департамент ежегодно получает гранты от государства на те или иные практические исследования

  • Ландшафт искусственного интеллекта в Украине

    в Финляндии в университете Аалто учусь на магистерской программе Machine Learning and Data Mining,

    есть много мест для PhD, весь департамент с 80 года занимается Neural Networks, Pattern Recognition etc., а с недавних пор — Deep Learning, Data Mining итд