🔵 عنوان مقاله
FlipSwitch: a Novel Syscall Hooking Technique (9 minute read)
🟢 خلاصه مقاله:
این مقاله تکنیک جدیدی به نام FlipSwitch را معرفی میکند که برای دور زدن سازوکار تازهٔ dispatch سیستمکال در kernel 6.9 طراحی شده است. برخلاف روش سنتیِ دستکاری sys_call_table، FlipSwitch مستقیماً کد ماشین در تابع x64_sys_call را پچ میکند. این روش با یافتن دستورهای call داخل دیسپچر و تغییر آفست نسبی ۴ بایتی آنها، اجرای برخی syscallها را به توابع مخرب هدایت میکند؛ بدون آنکه لازم باشد sys_call_table تغییر کند. نتیجه نشان میدهد چگونه مهاجمان با حرکت به سطح پایینترِ کد و کنترل جریان اجرا، به سختسازیهای جدید Linux پاسخ میدهند و این «مسابقه تسلیحاتی» میان تکنیکهای روتکیت و دفاعهای هسته همچنان ادامه دارد.
#LinuxKernel #Rootkit #SyscallHooking #KernelSecurity #FlipSwitch #x64_sys_call #sys_call_table
🟣لینک مقاله:
https://www.elastic.co/security-labs/flipswitch-linux-rootkit?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
FlipSwitch: a Novel Syscall Hooking Technique (9 minute read)
🟢 خلاصه مقاله:
این مقاله تکنیک جدیدی به نام FlipSwitch را معرفی میکند که برای دور زدن سازوکار تازهٔ dispatch سیستمکال در kernel 6.9 طراحی شده است. برخلاف روش سنتیِ دستکاری sys_call_table، FlipSwitch مستقیماً کد ماشین در تابع x64_sys_call را پچ میکند. این روش با یافتن دستورهای call داخل دیسپچر و تغییر آفست نسبی ۴ بایتی آنها، اجرای برخی syscallها را به توابع مخرب هدایت میکند؛ بدون آنکه لازم باشد sys_call_table تغییر کند. نتیجه نشان میدهد چگونه مهاجمان با حرکت به سطح پایینترِ کد و کنترل جریان اجرا، به سختسازیهای جدید Linux پاسخ میدهند و این «مسابقه تسلیحاتی» میان تکنیکهای روتکیت و دفاعهای هسته همچنان ادامه دارد.
#LinuxKernel #Rootkit #SyscallHooking #KernelSecurity #FlipSwitch #x64_sys_call #sys_call_table
🟣لینک مقاله:
https://www.elastic.co/security-labs/flipswitch-linux-rootkit?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
www.elastic.co
FlipSwitch: a Novel Syscall Hooking Technique — Elastic Security Labs
FlipSwitch offers a fresh look at bypassing Linux kernel defenses, revealing a new technique in the ongoing battle between cyber attackers and defenders.
🔵 عنوان مقاله
"Shift Right" Testing, Done Right
🟢 خلاصه مقاله:
تست شیفت-رایت یعنی ادامهدادن اعتبارسنجی و پایش نرمافزار پس از انتشار و یادگیری از رفتار واقعی کاربران در محیط Production. Arik Aharoni توصیههایی در سطح بالا ارائه میدهد: تعریف SLO و بودجه خطا، سرمایهگذاری در Observability، تحویل تدریجی با Feature Flags و Canary Release، خودکارسازی انتشار و Rollback، توجه به حریم خصوصی و امنیت، شروع تدریجی در سناریوهای کمریسک، و همکاری میان Dev، QA، Ops، SRE و Product. دستاوردها شامل بازخورد سریعتر و واقعیتر، شناسایی مشکلاتی که قبل از انتشار دیده نمیشوند، بهبود قابلیت اتکا و تابآوری، و کاهش MTTR است. شیفت-رایت جایگزین شیفت-لفت نیست، بلکه مکمل آن است و نیازمند ریلگذاریهای ایمن مانند کنترل دسترسی، محدودکردن شعاع ریسک و برنامههای Rollback روشن است.
#ShiftRightTesting #Observability #DevOps #SRE #ProgressiveDelivery #FeatureFlags #CanaryRelease #SoftwareQuality
🟣لینک مقاله:
https://cur.at/VbiIVHW?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
"Shift Right" Testing, Done Right
🟢 خلاصه مقاله:
تست شیفت-رایت یعنی ادامهدادن اعتبارسنجی و پایش نرمافزار پس از انتشار و یادگیری از رفتار واقعی کاربران در محیط Production. Arik Aharoni توصیههایی در سطح بالا ارائه میدهد: تعریف SLO و بودجه خطا، سرمایهگذاری در Observability، تحویل تدریجی با Feature Flags و Canary Release، خودکارسازی انتشار و Rollback، توجه به حریم خصوصی و امنیت، شروع تدریجی در سناریوهای کمریسک، و همکاری میان Dev، QA، Ops، SRE و Product. دستاوردها شامل بازخورد سریعتر و واقعیتر، شناسایی مشکلاتی که قبل از انتشار دیده نمیشوند، بهبود قابلیت اتکا و تابآوری، و کاهش MTTR است. شیفت-رایت جایگزین شیفت-لفت نیست، بلکه مکمل آن است و نیازمند ریلگذاریهای ایمن مانند کنترل دسترسی، محدودکردن شعاع ریسک و برنامههای Rollback روشن است.
#ShiftRightTesting #Observability #DevOps #SRE #ProgressiveDelivery #FeatureFlags #CanaryRelease #SoftwareQuality
🟣لینک مقاله:
https://cur.at/VbiIVHW?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Software Test Management | Testuff | SaaS Test Management
“Shift Right” Testing, Done Right | Software Test Management | Testuff
Discover why “Shift Right” testing. Monitoring and experimentation in production—is essential for modern QA strategies. Learn how to implement it responsibly and gain real-world insights that pre-production testing can’t deliver.
🔵 عنوان مقاله
Chinese TA415 Uses VS Code Remote Tunnels to Spy on US Economic Policy Experts (2 minute read)
🟢 خلاصه مقاله:
گروه تهدید TA415 وابسته به چین با ارسال ایمیلهای فریبنده و سوءاستفاده از قابلیت VS Code Remote Tunnel، کارشناسان سیاستگذاری اقتصادی آمریکا را هدف گرفته است. مهاجمان با جا زدن خود بهعنوان منابع معتبر، قربانیان را به فعالسازی یا استفاده از این ابزار ترغیب میکنند تا دسترسی پنهانی به سیستمها بگیرند و با ترافیکی شبیه کار عادی توسعهدهندگان، اسناد و فعالیتها را بیسروصدا رصد و دادهها را استخراج کنند. تمرکز عملیات بر جمعآوری اطلاعات حساس درباره سیاستهای تجاری آمریکا و چین—از مذاکرات و تعرفهها تا جهتگیریهای کلان—است و تکیه بر ابزارهای رایج و قابلاعتماد، کشف حمله را دشوارتر میکند. بر اساس شواهد رفتاری و زیرساختی، این فعالیت به TA415 نسبت داده میشود و هدف آن فراهمکردن بینشهای بهموقع برای تصمیمسازی است.
#CyberEspionage #TA415 #VSCodeRemoteTunnel #APT #SpearPhishing #USChinaTrade #Infosec #ThreatIntelligence
🟣لینک مقاله:
https://thehackernews.com/2025/09/chinese-ta415-uses-vs-code-remote.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Chinese TA415 Uses VS Code Remote Tunnels to Spy on US Economic Policy Experts (2 minute read)
🟢 خلاصه مقاله:
گروه تهدید TA415 وابسته به چین با ارسال ایمیلهای فریبنده و سوءاستفاده از قابلیت VS Code Remote Tunnel، کارشناسان سیاستگذاری اقتصادی آمریکا را هدف گرفته است. مهاجمان با جا زدن خود بهعنوان منابع معتبر، قربانیان را به فعالسازی یا استفاده از این ابزار ترغیب میکنند تا دسترسی پنهانی به سیستمها بگیرند و با ترافیکی شبیه کار عادی توسعهدهندگان، اسناد و فعالیتها را بیسروصدا رصد و دادهها را استخراج کنند. تمرکز عملیات بر جمعآوری اطلاعات حساس درباره سیاستهای تجاری آمریکا و چین—از مذاکرات و تعرفهها تا جهتگیریهای کلان—است و تکیه بر ابزارهای رایج و قابلاعتماد، کشف حمله را دشوارتر میکند. بر اساس شواهد رفتاری و زیرساختی، این فعالیت به TA415 نسبت داده میشود و هدف آن فراهمکردن بینشهای بهموقع برای تصمیمسازی است.
#CyberEspionage #TA415 #VSCodeRemoteTunnel #APT #SpearPhishing #USChinaTrade #Infosec #ThreatIntelligence
🟣لینک مقاله:
https://thehackernews.com/2025/09/chinese-ta415-uses-vs-code-remote.html?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Data Breach at Doctors Imaging Group Impacts 171,000 People (2 minute read)
🟢 خلاصه مقاله:
** Doctors Imaging Group، ارائهدهنده رادیولوژی در فلوریدا، اعلام کرد هکرها در نوامبر ۲۰۲۴ برای چند روز به شبکه آن دسترسی داشتهاند. این رخداد دادههای شخصی و پزشکی بیش از ۱۷۱هزار نفر را در معرض افشا قرار داد، از جمله Social Security و شمارههای حساب. این افشا خطر سرقت هویت، تقلب مالی و نقض حریم خصوصی پزشکی را افزایش میدهد؛ تحقیقات فنی در جریان است و طبق رویههای رایج و قوانین مرتبط، اطلاعرسانی به نهادهای ذیربط و افراد آسیبدیده انجام میشود و به افراد توصیه میشود حسابها و سوابق بیمهای خود را رصد کنند.
#DataBreach #HealthcareSecurity #Cybersecurity #PHI #IdentityTheft #Privacy #Florida
🟣لینک مقاله:
https://www.securityweek.com/data-breach-at-doctors-imaging-group-impacts-171000-people/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Data Breach at Doctors Imaging Group Impacts 171,000 People (2 minute read)
🟢 خلاصه مقاله:
** Doctors Imaging Group، ارائهدهنده رادیولوژی در فلوریدا، اعلام کرد هکرها در نوامبر ۲۰۲۴ برای چند روز به شبکه آن دسترسی داشتهاند. این رخداد دادههای شخصی و پزشکی بیش از ۱۷۱هزار نفر را در معرض افشا قرار داد، از جمله Social Security و شمارههای حساب. این افشا خطر سرقت هویت، تقلب مالی و نقض حریم خصوصی پزشکی را افزایش میدهد؛ تحقیقات فنی در جریان است و طبق رویههای رایج و قوانین مرتبط، اطلاعرسانی به نهادهای ذیربط و افراد آسیبدیده انجام میشود و به افراد توصیه میشود حسابها و سوابق بیمهای خود را رصد کنند.
#DataBreach #HealthcareSecurity #Cybersecurity #PHI #IdentityTheft #Privacy #Florida
🟣لینک مقاله:
https://www.securityweek.com/data-breach-at-doctors-imaging-group-impacts-171000-people/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
SecurityWeek
Data Breach at Doctors Imaging Group Impacts 171,000 People
Doctors Imaging Group is informing customers about a cybersecurity incident nearly a year after it occurred.
میدونستید میتونید 0 های آیپی رو ننویسید و کار کنه؟؟؟
خب حالا سیستم از کجا میفهمه چطوری؟
بر اساس این که شما چند بخش رو نوشتید کار میکنه:
a.b.c.d -> یه آیپی معمولی
a.b.c -> a.b.0.c
a.b -> a.0.0.b
a -> 0.0.0.a
پس وقتی بنویسید 10.22.2 میشه 10.22.0.2
یا اگر بنویسید 127.1 میشه 127.0.0.1
یعنی سیستم قسمتهای جا افتاده رو از چپ با صفر پر میکنه.
خب حالا سیستم از کجا میفهمه چطوری؟
بر اساس این که شما چند بخش رو نوشتید کار میکنه:
a.b.c.d -> یه آیپی معمولی
a.b.c -> a.b.0.c
a.b -> a.0.0.b
a -> 0.0.0.a
پس وقتی بنویسید 10.22.2 میشه 10.22.0.2
یا اگر بنویسید 127.1 میشه 127.0.0.1
یعنی سیستم قسمتهای جا افتاده رو از چپ با صفر پر میکنه.
🔵 عنوان مقاله
US banking giant Citi pilots agentic AI with 5,000 staff (3 minute read)
🟢 خلاصه مقاله:
** Citi در حال اجرای یک پایلوت از Stylus Workspaces ارتقایافته با قابلیتهای agentic AI میان ۵۰۰۰ کارمند و بهمدت حداکثر شش هفته است تا پژوهش خودکار، پروفایلسازی مشتری و اتوماسیون چندمرحلهای جریانکار را با مدلهایی از Gemini تا Claude بیازماید. CTO بانک میگوید این فناوری میتواند بهرهوری را افزایش دهد و در برخی نقشها نیاز به نیرو را کاهش دهد، اما نرخ موفقیت فعلی agentic AI حدود ۳۰ تا ۳۵ درصد است؛ به همین دلیل این طرح فعلاً بهصورت کنترلشده اجرا میشود تا دقت، قابلیت اتکا و بازده واقعی سنجیده شود. این اقدام همزمان با پررنگشدن agentic AI در تحلیلهای اخیر Gartner انجام میگیرد.
#AgenticAI #Citi #EnterpriseAI #Banking #AIWorkflows #Gartner #GenAI #Productivity
🟣لینک مقاله:
https://go.theregister.com/feed/www.theregister.com/2025/09/24/citi_pilots_agentic_ai/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
US banking giant Citi pilots agentic AI with 5,000 staff (3 minute read)
🟢 خلاصه مقاله:
** Citi در حال اجرای یک پایلوت از Stylus Workspaces ارتقایافته با قابلیتهای agentic AI میان ۵۰۰۰ کارمند و بهمدت حداکثر شش هفته است تا پژوهش خودکار، پروفایلسازی مشتری و اتوماسیون چندمرحلهای جریانکار را با مدلهایی از Gemini تا Claude بیازماید. CTO بانک میگوید این فناوری میتواند بهرهوری را افزایش دهد و در برخی نقشها نیاز به نیرو را کاهش دهد، اما نرخ موفقیت فعلی agentic AI حدود ۳۰ تا ۳۵ درصد است؛ به همین دلیل این طرح فعلاً بهصورت کنترلشده اجرا میشود تا دقت، قابلیت اتکا و بازده واقعی سنجیده شود. این اقدام همزمان با پررنگشدن agentic AI در تحلیلهای اخیر Gartner انجام میگیرد.
#AgenticAI #Citi #EnterpriseAI #Banking #AIWorkflows #Gartner #GenAI #Productivity
🟣لینک مقاله:
https://go.theregister.com/feed/www.theregister.com/2025/09/24/citi_pilots_agentic_ai/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Register
US banking giant Citi pilots agentic AI with 5,000 staff
: Financial services firm admits it may mean fewer staff
🔵 عنوان مقاله
Docker makes Hardened Images Catalog affordable for small businesses (2 minute read)
🟢 خلاصه مقاله:
Docker دسترسی نامحدود به Hardened Images Catalog را با یک اشتراک مقرونبهصرفه برای کسبوکارهای کوچک ارائه کرده است. این کاتالوگ شامل تصاویر کانتینری پیشتاییدشده با CVEs نزدیک به صفر و کاهش سطح حمله تا 95% است و با یک 7-day patch SLA همراه میشود تا وصلهها ظرف یک هفته ارائه شوند. نتیجه برای تیمهای کوچک: کاهش بار وصلهکردن و مدیریت آسیبپذیری، ریسک کمتر و امنیت قابل پیشبینیتر در خطوط CI/CD با هزینهای قابل مدیریت.
#Docker #HardenedImages #ContainerSecurity #DevSecOps #SmallBusiness #CVEs #SLA #Containers
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/docker-makes-hardened-images-catalog-affordable-for-small-businesses/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Docker makes Hardened Images Catalog affordable for small businesses (2 minute read)
🟢 خلاصه مقاله:
Docker دسترسی نامحدود به Hardened Images Catalog را با یک اشتراک مقرونبهصرفه برای کسبوکارهای کوچک ارائه کرده است. این کاتالوگ شامل تصاویر کانتینری پیشتاییدشده با CVEs نزدیک به صفر و کاهش سطح حمله تا 95% است و با یک 7-day patch SLA همراه میشود تا وصلهها ظرف یک هفته ارائه شوند. نتیجه برای تیمهای کوچک: کاهش بار وصلهکردن و مدیریت آسیبپذیری، ریسک کمتر و امنیت قابل پیشبینیتر در خطوط CI/CD با هزینهای قابل مدیریت.
#Docker #HardenedImages #ContainerSecurity #DevSecOps #SmallBusiness #CVEs #SLA #Containers
🟣لینک مقاله:
https://www.bleepingcomputer.com/news/security/docker-makes-hardened-images-catalog-affordable-for-small-businesses/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
BleepingComputer
Docker makes Hardened Images Catalog affordable for small businesses
The Docker team has announced unlimited access to its Hardened Images catalog to make access to secure software bundles affordable for all development teams at startups and SMBs.
🔵 عنوان مقاله
Apple Pulls ICEBlock From the App Store (2 minute read)
🟢 خلاصه مقاله:
اپل اپلیکیشن ICEBlock را از App Store حذف کرد؛ این برنامه خود را «Waze برای مشاهده ICE» معرفی میکرد و به کاربران امکان میداد مشاهده مأموران ICE را بهصورت ناشناس گزارش کنند. به گفته AG Pam Bondi، این حذف پس از درخواست رسمی و با ادعای تهدید علیه نیروهای اجرای قانون انجام شد. توسعهدهنده، Joshua Aaron، این ادعا را «کاملاً نادرست» خواند و هرگونه تهدید را رد کرد. این ماجرا تنشهای مربوط به نظارت پلتفرمها، امنیت عمومی، و مرزهای اجرای سیاستهای App Store در قبال ابزارهای گزارشدهی کاربرمحور را پررنگ میکند.
#Apple #AppStore #ICEBlock #ICE #PamBondi #آزادی_بیان #امنیت_عمومی
🟣لینک مقاله:
https://www.theverge.com/news/791170/iceblock-app-store-removed-by-apple?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Apple Pulls ICEBlock From the App Store (2 minute read)
🟢 خلاصه مقاله:
اپل اپلیکیشن ICEBlock را از App Store حذف کرد؛ این برنامه خود را «Waze برای مشاهده ICE» معرفی میکرد و به کاربران امکان میداد مشاهده مأموران ICE را بهصورت ناشناس گزارش کنند. به گفته AG Pam Bondi، این حذف پس از درخواست رسمی و با ادعای تهدید علیه نیروهای اجرای قانون انجام شد. توسعهدهنده، Joshua Aaron، این ادعا را «کاملاً نادرست» خواند و هرگونه تهدید را رد کرد. این ماجرا تنشهای مربوط به نظارت پلتفرمها، امنیت عمومی، و مرزهای اجرای سیاستهای App Store در قبال ابزارهای گزارشدهی کاربرمحور را پررنگ میکند.
#Apple #AppStore #ICEBlock #ICE #PamBondi #آزادی_بیان #امنیت_عمومی
🟣لینک مقاله:
https://www.theverge.com/news/791170/iceblock-app-store-removed-by-apple?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Verge
Apple pulls ICEBlock from the App Store
ICEBlock reportedly has 1.1 million users.
🔵 عنوان مقاله
The Salesloft-Drift Breach: Analyzing the Biggest SaaS Breach of 2025 (6 minute read)
🟢 خلاصه مقاله:
بزرگترین رخداد امنیتی SaaS در سال ۲۰۲۵ با سوءاستفاده از یکپارچگی Salesloft و Drift بیش از ۷۰۰ شرکت را تحت تأثیر قرار داد. مهاجمان با بهرهگیری از توکنهای OAuth و اتصالهای SaaS-to-SaaS بدون نیاز به گذر از دفاعهای سنتی، بهصورت جانبی جابهجا شدند و به دادهها و مدارک حساس دسترسی یافتند. ماهیت زنجیره تأمین این حمله باعث شد یک رخنه، سریعاً به سرویسهای پرکاربردی مانند Salesforce و Gmail سرایت کند و اثر آن چندبرابر شود. این رویداد نشان داد شناسایی و مهار سوءاستفادههای مبتنی بر توکن در محیطهای چندسرویسدهنده دشوار است و نیازمند دیدپذیری و هماهنگی بین پلتفرمهاست. جمعبندی عملی: محدودسازی و بازبینی منظم دسترسیهای OAuth، کوتاهکردن عمر توکنها و ابطال دسترسیهای بلااستفاده، پایش ترافیک اپلیکیشن-به-اپلیکیشن با ابزارهای SSPM و CASB، بهکارگیری اصول Zero Trust برای یکپارچهسازیها، و داشتن برنامه واکنش به رخداد ویژه compromise توکنها.
#SaaS #OAuth #SupplyChainAttack #Salesloft #Drift #ZeroTrust #SSPM #CASB
🟣لینک مقاله:
https://www.reco.ai/blog/the-salesloft-drift-breach-analyzing-the-biggest-saas-breach-of-2025?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Salesloft-Drift Breach: Analyzing the Biggest SaaS Breach of 2025 (6 minute read)
🟢 خلاصه مقاله:
بزرگترین رخداد امنیتی SaaS در سال ۲۰۲۵ با سوءاستفاده از یکپارچگی Salesloft و Drift بیش از ۷۰۰ شرکت را تحت تأثیر قرار داد. مهاجمان با بهرهگیری از توکنهای OAuth و اتصالهای SaaS-to-SaaS بدون نیاز به گذر از دفاعهای سنتی، بهصورت جانبی جابهجا شدند و به دادهها و مدارک حساس دسترسی یافتند. ماهیت زنجیره تأمین این حمله باعث شد یک رخنه، سریعاً به سرویسهای پرکاربردی مانند Salesforce و Gmail سرایت کند و اثر آن چندبرابر شود. این رویداد نشان داد شناسایی و مهار سوءاستفادههای مبتنی بر توکن در محیطهای چندسرویسدهنده دشوار است و نیازمند دیدپذیری و هماهنگی بین پلتفرمهاست. جمعبندی عملی: محدودسازی و بازبینی منظم دسترسیهای OAuth، کوتاهکردن عمر توکنها و ابطال دسترسیهای بلااستفاده، پایش ترافیک اپلیکیشن-به-اپلیکیشن با ابزارهای SSPM و CASB، بهکارگیری اصول Zero Trust برای یکپارچهسازیها، و داشتن برنامه واکنش به رخداد ویژه compromise توکنها.
#SaaS #OAuth #SupplyChainAttack #Salesloft #Drift #ZeroTrust #SSPM #CASB
🟣لینک مقاله:
https://www.reco.ai/blog/the-salesloft-drift-breach-analyzing-the-biggest-saas-breach-of-2025?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
🔵 عنوان مقاله
Fantastic AWS Policies and Where to Find Them (10 minute read)
🟢 خلاصه مقاله:
خدمات AWS مجموعه گسترده و گاهی گیجکنندهای از انواع سیاستهای IAM ارائه میدهد؛ از principal policies متصل به کاربران، نقشها و گروهها تا resource policies کنار خودِ سرویسها و دادهها، سازوکارهای اشتراکگذاری در AWS Resource Access Manager، resource control policies در سطح سازمان، و permission sets در IAM Identity Center. این مطلب با فهرستکردن و توضیح روشن هر دسته، محدوده کاربرد، محل اتصال و سناریوهای رایج را مقایسه میکند تا انتخاب میان آنها سادهتر شود. همچنین ابزار جدیدی به نام iam-collect معرفی میشود که میتواند همه سیاستهای IAM را از تمام حسابهای یک سازمان گردآوری کند و برای تحلیل در اختیار بگذارد؛ علاوه بر آن، مجموعهای از agent instructions برای خودکارسازی بررسیها ارائه میکند. نتیجه، دیدی یکپارچه از سطح سیاستهای AWS و روشی عملی برای موجودیگیری، ارزیابی ریسک، تشخیص ناهماهنگی و ممیزی است—همه در یک مطالعه ۱۰ دقیقهای.
#AWS #IAM #CloudSecurity #AWSOrganizations #SecurityAutomation #PolicyManagement #iamcollect
🟣لینک مقاله:
https://iam.cloudcopilot.io/posts/fantastic-aws-policies-and-where-to-find-them?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Fantastic AWS Policies and Where to Find Them (10 minute read)
🟢 خلاصه مقاله:
خدمات AWS مجموعه گسترده و گاهی گیجکنندهای از انواع سیاستهای IAM ارائه میدهد؛ از principal policies متصل به کاربران، نقشها و گروهها تا resource policies کنار خودِ سرویسها و دادهها، سازوکارهای اشتراکگذاری در AWS Resource Access Manager، resource control policies در سطح سازمان، و permission sets در IAM Identity Center. این مطلب با فهرستکردن و توضیح روشن هر دسته، محدوده کاربرد، محل اتصال و سناریوهای رایج را مقایسه میکند تا انتخاب میان آنها سادهتر شود. همچنین ابزار جدیدی به نام iam-collect معرفی میشود که میتواند همه سیاستهای IAM را از تمام حسابهای یک سازمان گردآوری کند و برای تحلیل در اختیار بگذارد؛ علاوه بر آن، مجموعهای از agent instructions برای خودکارسازی بررسیها ارائه میکند. نتیجه، دیدی یکپارچه از سطح سیاستهای AWS و روشی عملی برای موجودیگیری، ارزیابی ریسک، تشخیص ناهماهنگی و ممیزی است—همه در یک مطالعه ۱۰ دقیقهای.
#AWS #IAM #CloudSecurity #AWSOrganizations #SecurityAutomation #PolicyManagement #iamcollect
🟣لینک مقاله:
https://iam.cloudcopilot.io/posts/fantastic-aws-policies-and-where-to-find-them?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Tools for AWS IAM
Fantastic AWS Policies and Where to Find Them - Tools for AWS IAM
There are more than you think, and now it's easy to find them.
🔵 عنوان مقاله
Klopatra: exposing a new Android banking trojan operation with roots in Turkey (15 minute read)
🟢 خلاصه مقاله:
کلاپاترا یک تروجان بانکی جدید روی Android است که توسط مهاجمان ترکزبان اداره میشود و با اتکا به حفاظت تجاری Virbox و کتابخانههای کد بومی، شناسایی را دشوار میکند. این بدافزار با تظاهر به اپهای IPTV جعلی کاربران اسپانیا و ایتالیا را آلوده کرده و از Android Accessibility Services سوءاستفاده میکند تا کنترل کامل دستگاه را به دست بگیرد. برای سرقت مالی، هم از حملات Overlay روی اپهای بانکی استفاده میکند و هم با قابلیت Hidden VNC به مهاجم امکان کنترل نامرئی و انجام تراکنشها—حتی هنگام خواب کاربر—را میدهد. تاکنون بیش از ۳۰۰۰ دستگاه آلوده گزارش شده است. این مورد روند رو به رشد تهدیدات موبایلی را نشان میدهد: محافظت حرفهای، کد بومی و سواستفاده از Accessibility. توصیه میشود اپها فقط از منابع معتبر نصب شوند، مجوزهای Accessibility بهدقت مدیریت شوند، Android بهروز بماند، احراز هویت چندمرحلهای در بانکها فعال شود و از راهکارهای امنیت موبایل استفاده گردد.
#AndroidMalware #BankingTrojan #Cybersecurity #MobileThreats #AccessibilityAbuse #HiddenVNC #Spain #Italy
🟣لینک مقاله:
https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Klopatra: exposing a new Android banking trojan operation with roots in Turkey (15 minute read)
🟢 خلاصه مقاله:
کلاپاترا یک تروجان بانکی جدید روی Android است که توسط مهاجمان ترکزبان اداره میشود و با اتکا به حفاظت تجاری Virbox و کتابخانههای کد بومی، شناسایی را دشوار میکند. این بدافزار با تظاهر به اپهای IPTV جعلی کاربران اسپانیا و ایتالیا را آلوده کرده و از Android Accessibility Services سوءاستفاده میکند تا کنترل کامل دستگاه را به دست بگیرد. برای سرقت مالی، هم از حملات Overlay روی اپهای بانکی استفاده میکند و هم با قابلیت Hidden VNC به مهاجم امکان کنترل نامرئی و انجام تراکنشها—حتی هنگام خواب کاربر—را میدهد. تاکنون بیش از ۳۰۰۰ دستگاه آلوده گزارش شده است. این مورد روند رو به رشد تهدیدات موبایلی را نشان میدهد: محافظت حرفهای، کد بومی و سواستفاده از Accessibility. توصیه میشود اپها فقط از منابع معتبر نصب شوند، مجوزهای Accessibility بهدقت مدیریت شوند، Android بهروز بماند، احراز هویت چندمرحلهای در بانکها فعال شود و از راهکارهای امنیت موبایل استفاده گردد.
#AndroidMalware #BankingTrojan #Cybersecurity #MobileThreats #AccessibilityAbuse #HiddenVNC #Spain #Italy
🟣لینک مقاله:
https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Cleafy
Klopatra: exposing a new Android banking trojan operation with roots in Turkey | Cleafy LABS
In late August 2025, Cleafy's Threat Intelligence team discovered Klopatra, a new, highly sophisticated Android malware currently targeting banking users primarily in Spain and Italy. The number of compromised devices has already exceeded 1,000. Read the…
بلندتر کردن یا اضافهکردن کاراکتر ویژه کافی نیست — الگوها قابل حدساند. هکرها با شناخت الگو و هوشمصنوعی حمله رو هدفمند میکنن. از password manager و تسترهای امن استفاده کن؛ هرگز رمز اصلی رو تو سایتهای ناشناس وارد نکنید.
https://www.terrific.tools/online/password-strength-checker
| <Nimo/>
https://www.terrific.tools/online/password-strength-checker
| <Nimo/>
terrific.tools
AI Password Strength Checker: Logic & AI Analysis [2025] | terrific.tools
Check your password strength using both standard logic checks and advanced AI analysis. Get detailed feedback to create stronger, more secure passwords.
امین بشیری که مسیرش از استارتاپهایی در ایران شروع شد و امروز در کمپانی تاکسی اینترنتی لیفت(Lyft) بهعنوان Software Engineer فعالیت میکند.
امین از مسیر واقعی مهاجرت کاری، چالشهای مصاحبه در شرکتهای بزرگ، تجربههای شکستخورده و درسهایی گفت که هر برنامهنویس باید بشنود!
https://youtu.be/PH1qcACGRXw?si=B50eJ8adFDGL3QBC
<Name/>
امین از مسیر واقعی مهاجرت کاری، چالشهای مصاحبه در شرکتهای بزرگ، تجربههای شکستخورده و درسهایی گفت که هر برنامهنویس باید بشنود!
https://youtu.be/PH1qcACGRXw?si=B50eJ8adFDGL3QBC
<Name/>
YouTube
EP6 - Amin Bashiri | از استارتاپ آدرس تا کمپانی لیفت کانادا
امین بشیری که مسیرش از استارتاپهایی در ایران شروع شد و امروز در کمپانی تاکسی اینترنتی لیفت(Lyft) بهعنوان Software Engineer فعالیت میکند.
امین از مسیر واقعی مهاجرت کاری، چالشهای مصاحبه در شرکتهای بزرگ، تجربههای شکستخورده و درسهایی گفت که هر برنامهنویس…
امین از مسیر واقعی مهاجرت کاری، چالشهای مصاحبه در شرکتهای بزرگ، تجربههای شکستخورده و درسهایی گفت که هر برنامهنویس…
Forwarded from AI Labdon
اگه برنامه نویس هستید و از هوش مصنوعی برای کدنویسی استفاده میکنید، واقعاً به خودتون لطف میکنید که OpenSpec رو چک کنید. این ابزار به شما کمک میکنه کنترل کامل پروژه رو دست بگیرید و از AI به عنوان یک همکار قابل اعتماد استفاده کنید!
تا حالا با دستیارهای کدنویسی هوش مصنوعی (مثل Cursor یا Copilot) کار کردید و به جای چیزی که دقیقاً در ذهن داشتید، یک چیز کاملاً دیگه تحویل گرفتید؟ یا یک بخش رو نوشته و یک بخش دیگه رو براتون خراب کرده
من جدیدا ابزاری رو پیدا کردم به اسم OpenSpec که داره این بازی رو برای همیشه عوض میکنه.
ایدهاش ساده و ناب هست: شما و هوش مصنوعی، قبل از نوشتن حتی یک خط کد، روی «چیزی که باید ساخته بشه» به توافق کامل میرسید.
دیگه خبری از پرامپتهای مبهم در چت و خروجیهای غیرقابل پیشبینی نیست. OpenSpec یک فرآیند کاری سبک و قدرتمند اضافه میکنه که پروژهها رو اینطوری پیش میبره:
۱. پیشنهاد تغییر (Change Proposal): شما به AI میگید چه قابلیتی رو میخواید اضافه کنید. AI یک ساختار کامل از مشخصات، وظایف و پیشنهادها رو براتون میسازه.
۲. بازبینی و هماهنگی: شما و AI با هم مشخصات رو دقیق میکنید تا همه چیز شفاف و بدون ابهام باشه.
۳. پیادهسازی: AI بر اساس مشخصات نهایی و توافق شده، کدنویسی رو انجام میده.
۴. آرشیو: بعد از اتمام کار، تغییرات به آرشیو منتقل میشن و مشخصات اصلی پروژه رو بهروز میکنن.
چرا این ابزار به خوبی جواب میده
- بدون نیاز به کلید API: نصب کن و استفاده کن. ساده و سریع.
- با ابزارهای فعلی شما کار میکنه: با Claude Code, Cursor, GitHub Copilot, Windsurf و دهها ابزار دیگه یکپارچه میشه.
- قابل پیشبینی و شفاف: دیگه نمیخواد حدس بزنید AI چی میسازه. همه چیز از قبل مشخصه.
- عالی برای پروژههای موجود: نه فقط برای پروژههای جدید، بلکه برای تغییر و توسعه کدهای قدیمی هم عالیه.
- مستندسازی خودکار: هر تغییری با مشخصات و وظایفش ثبت میشه و یک سند زنده از پروژه میسازه.
اینم آدرس گیتهابش که همه چیز اماده یک جا هست!
https://github.com/Fission-AI/OpenSpec
اگر نتونستنید دستی نصبش کنید ، میتونید فایل README[.]md رو کپی کنید ، بدید به همون ابزار Ai که براتون کد میزنه مثل Claude Code, Cursor, GitHub Copilot ، بگید نصبش کن!
<POURYA/>
تا حالا با دستیارهای کدنویسی هوش مصنوعی (مثل Cursor یا Copilot) کار کردید و به جای چیزی که دقیقاً در ذهن داشتید، یک چیز کاملاً دیگه تحویل گرفتید؟ یا یک بخش رو نوشته و یک بخش دیگه رو براتون خراب کرده
من جدیدا ابزاری رو پیدا کردم به اسم OpenSpec که داره این بازی رو برای همیشه عوض میکنه.
ایدهاش ساده و ناب هست: شما و هوش مصنوعی، قبل از نوشتن حتی یک خط کد، روی «چیزی که باید ساخته بشه» به توافق کامل میرسید.
دیگه خبری از پرامپتهای مبهم در چت و خروجیهای غیرقابل پیشبینی نیست. OpenSpec یک فرآیند کاری سبک و قدرتمند اضافه میکنه که پروژهها رو اینطوری پیش میبره:
۱. پیشنهاد تغییر (Change Proposal): شما به AI میگید چه قابلیتی رو میخواید اضافه کنید. AI یک ساختار کامل از مشخصات، وظایف و پیشنهادها رو براتون میسازه.
۲. بازبینی و هماهنگی: شما و AI با هم مشخصات رو دقیق میکنید تا همه چیز شفاف و بدون ابهام باشه.
۳. پیادهسازی: AI بر اساس مشخصات نهایی و توافق شده، کدنویسی رو انجام میده.
۴. آرشیو: بعد از اتمام کار، تغییرات به آرشیو منتقل میشن و مشخصات اصلی پروژه رو بهروز میکنن.
چرا این ابزار به خوبی جواب میده
- بدون نیاز به کلید API: نصب کن و استفاده کن. ساده و سریع.
- با ابزارهای فعلی شما کار میکنه: با Claude Code, Cursor, GitHub Copilot, Windsurf و دهها ابزار دیگه یکپارچه میشه.
- قابل پیشبینی و شفاف: دیگه نمیخواد حدس بزنید AI چی میسازه. همه چیز از قبل مشخصه.
- عالی برای پروژههای موجود: نه فقط برای پروژههای جدید، بلکه برای تغییر و توسعه کدهای قدیمی هم عالیه.
- مستندسازی خودکار: هر تغییری با مشخصات و وظایفش ثبت میشه و یک سند زنده از پروژه میسازه.
اینم آدرس گیتهابش که همه چیز اماده یک جا هست!
https://github.com/Fission-AI/OpenSpec
اگر نتونستنید دستی نصبش کنید ، میتونید فایل README[.]md رو کپی کنید ، بدید به همون ابزار Ai که براتون کد میزنه مثل Claude Code, Cursor, GitHub Copilot ، بگید نصبش کن!
<POURYA/>
GitHub
GitHub - Fission-AI/OpenSpec: Spec-driven development for AI coding assistants.
Spec-driven development for AI coding assistants. Contribute to Fission-AI/OpenSpec development by creating an account on GitHub.
بالاخره Zed برای ویندوز منتشر شد!
یه ادیتور فوقالعاده سریع و خفن که به نظرم میتونه حسابی جای Visual Studio Code رو تنگ کنه.
من حدود ۸ ساله کدنویسی میکنم و از Eclipse و NetBeans گرفته تا JetBrains، همه رو امتحان کردم. از وقتی VsCode اومد، دیگه اون وسواس انتخاب ادیتور رو گذاشتم کنار تا وقتی که اسم Zed رو شنیدم.
یه ادیتور نوشتهشده با Rust و سرعتی در حد گاد
اول فقط برای مک بود، بعد رسید به لینوکس. منم که عشق به اوبونتو، سریع یه ماشین مجازی بالا آوردم و تستش کردم.
یه پروژه نسبتا سنگین داشتم، ریا نشه یه پلتفرم انبارداری با چت و مدیریت کارمندان و محصولات. با Zed رانش کردم و همونجا بود که برگای VsCodeم ریخت
سرعت، autocomplete محشر، لود سریع اکستنشنها، محیط مینیمال و مدرن و خلاصه یه تجربه بینقص بود. و حالا برای ویندوز هم ریلیز شد
اگه هنوز امتحانش نکردی، پیشنهاد میکنم حتما تستش کنی
https://zed.dev/
<Soheil Ghanbary/>
یه ادیتور فوقالعاده سریع و خفن که به نظرم میتونه حسابی جای Visual Studio Code رو تنگ کنه.
من حدود ۸ ساله کدنویسی میکنم و از Eclipse و NetBeans گرفته تا JetBrains، همه رو امتحان کردم. از وقتی VsCode اومد، دیگه اون وسواس انتخاب ادیتور رو گذاشتم کنار تا وقتی که اسم Zed رو شنیدم.
یه ادیتور نوشتهشده با Rust و سرعتی در حد گاد
اول فقط برای مک بود، بعد رسید به لینوکس. منم که عشق به اوبونتو، سریع یه ماشین مجازی بالا آوردم و تستش کردم.
یه پروژه نسبتا سنگین داشتم، ریا نشه یه پلتفرم انبارداری با چت و مدیریت کارمندان و محصولات. با Zed رانش کردم و همونجا بود که برگای VsCodeم ریخت
سرعت، autocomplete محشر، لود سریع اکستنشنها، محیط مینیمال و مدرن و خلاصه یه تجربه بینقص بود. و حالا برای ویندوز هم ریلیز شد
اگه هنوز امتحانش نکردی، پیشنهاد میکنم حتما تستش کنی
https://zed.dev/
<Soheil Ghanbary/>
Zed
Zed — The editor for what's next
Zed is a high-performance, multiplayer code editor from the creators of Atom and Tree-sitter.
🔵 عنوان مقاله
The Testing Skyscraper: A Modern Alternative to the Testing Pyramid
🟢 خلاصه مقاله:
Andrew Knight مدل سنتی Testing Pyramid را ناکافی میداند و بهجای آن رویکرد منعطفتری به نام Testing Skyscraper پیشنهاد میکند. در این مدل، بهجای نسبتهای ثابت بین لایههای تست، «طبقات» متناسب با ریسکها و نیازهای سیستم شکل میگیرند؛ مثلا ممکن است یک سیستم به طبقه پررنگتری از contract testing، یا عملکرد و تابآوری، یا سناریوهای end-to-end نیاز داشته باشد. این رویکرد بر تناسب پوشش با معماری و اهداف محصول، بازخورد سریع، و ارزشسنجی بر اساس کاهش ریسک و افزایش اطمینان تأکید دارد، نه شمارش تستها. در عمل، ترکیبی از unit، integration، contract، end-to-end، تستهای غیرعملکردی (کارایی، امنیت، دسترسپذیری)، و حتی observability و synthetic monitoring بهعنوان طبقات مستقل در نظر گرفته میشوند و با تغییر سیستم، بهصورت پویا تقویت، بازچینی یا حذف میگردند.
#SoftwareTesting #TestingPyramid #TestingSkyscraper #QualityEngineering #DevOps #Automation #RiskBasedTesting #TestStrategy
🟣لینک مقاله:
https://cur.at/W2rklZc?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Testing Skyscraper: A Modern Alternative to the Testing Pyramid
🟢 خلاصه مقاله:
Andrew Knight مدل سنتی Testing Pyramid را ناکافی میداند و بهجای آن رویکرد منعطفتری به نام Testing Skyscraper پیشنهاد میکند. در این مدل، بهجای نسبتهای ثابت بین لایههای تست، «طبقات» متناسب با ریسکها و نیازهای سیستم شکل میگیرند؛ مثلا ممکن است یک سیستم به طبقه پررنگتری از contract testing، یا عملکرد و تابآوری، یا سناریوهای end-to-end نیاز داشته باشد. این رویکرد بر تناسب پوشش با معماری و اهداف محصول، بازخورد سریع، و ارزشسنجی بر اساس کاهش ریسک و افزایش اطمینان تأکید دارد، نه شمارش تستها. در عمل، ترکیبی از unit، integration، contract، end-to-end، تستهای غیرعملکردی (کارایی، امنیت، دسترسپذیری)، و حتی observability و synthetic monitoring بهعنوان طبقات مستقل در نظر گرفته میشوند و با تغییر سیستم، بهصورت پویا تقویت، بازچینی یا حذف میگردند.
#SoftwareTesting #TestingPyramid #TestingSkyscraper #QualityEngineering #DevOps #Automation #RiskBasedTesting #TestStrategy
🟣لینک مقاله:
https://cur.at/W2rklZc?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Automation Panda
The Testing Skyscraper: A Modern Alternative to the Testing Pyramid
The Testing Pyramid, once a foundational model in software testing, is now deemed outdated. The emergence of advanced tools and continuous testing feedback necessitates a shift to a more flexible m…
🔵 عنوان مقاله
Capita fined £14M after 58-hour delay exposed 6.6M records (2 minute read)
🟢 خلاصه مقاله:
کاپیتا در سال 2023 هدف یک حمله سایبری قرار گرفت که دادههای 6.6 میلیون نفر را افشا کرد و به دلیل تأخیر 58 ساعته در پاسخ و نقصهای جدی امنیتی که صدها سازمان را تحتتأثیر گذاشت، با جریمهای به مبلغ £14 میلیون مواجه شد. این پرونده بر اهمیت واکنش سریع، کنترلهای پایهای قوی، پایش مداوم، و مدیریت ریسک زنجیره تأمین تأکید میکند تا دامنه آسیب در رویدادهای مشابه کاهش یابد.
#Cybersecurity #DataBreach #IncidentResponse #Compliance #Privacy #Capita #InfoSec #Regulation
🟣لینک مقاله:
https://www.theregister.com/2025/10/15/ico_fines_capita_14m/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Capita fined £14M after 58-hour delay exposed 6.6M records (2 minute read)
🟢 خلاصه مقاله:
کاپیتا در سال 2023 هدف یک حمله سایبری قرار گرفت که دادههای 6.6 میلیون نفر را افشا کرد و به دلیل تأخیر 58 ساعته در پاسخ و نقصهای جدی امنیتی که صدها سازمان را تحتتأثیر گذاشت، با جریمهای به مبلغ £14 میلیون مواجه شد. این پرونده بر اهمیت واکنش سریع، کنترلهای پایهای قوی، پایش مداوم، و مدیریت ریسک زنجیره تأمین تأکید میکند تا دامنه آسیب در رویدادهای مشابه کاهش یابد.
#Cybersecurity #DataBreach #IncidentResponse #Compliance #Privacy #Capita #InfoSec #Regulation
🟣لینک مقاله:
https://www.theregister.com/2025/10/15/ico_fines_capita_14m/?utm_source=tldrinfosec
➖➖➖➖➖➖➖➖
👑 @software_Labdon
The Register
Capita fined £14M after 58-hour delay exposed 6.6M records
: ICO makes example of outsourcing giant over sluggish cyber response
❤1
🔵 عنوان مقاله
Web Accessibility Testing — Are We There Yet?
🟢 خلاصه مقاله:
**با اجرای European Accessibility Act، آزمونهای دسترسپذیری از یک گزینه جانبی به یک ضرورت قانونی و اخلاقی تبدیل شدهاند. مقاله میگوید با وجود پیشرفتها، وضعیت هنوز مطلوب نیست: ابزارهای خودکار فقط بخشی از مشکلات را مییابند و بسیاری از موانع در استفاده واقعی و با فناوریهای کمکی آشکار میشوند. راهکار، ترکیب آزمون خودکار و دستی، مشارکت کاربران دارای معلولیت، و ادغام دسترسپذیری در طراحی، توسعه، CI/CD و حاکمیت کیفیت است. پیام نهایی: دسترسپذیری باید یک فرایند مستمر و مشترک باشد تا هم ریسک را کاهش دهد و هم تجربهای فراگیرتر ایجاد کند.
#Accessibility #A11y #EuropeanAccessibilityAct #WCAG #InclusiveDesign #Testing #QA #DevOps
🟣لینک مقاله:
https://cur.at/fU9ymSF?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Web Accessibility Testing — Are We There Yet?
🟢 خلاصه مقاله:
**با اجرای European Accessibility Act، آزمونهای دسترسپذیری از یک گزینه جانبی به یک ضرورت قانونی و اخلاقی تبدیل شدهاند. مقاله میگوید با وجود پیشرفتها، وضعیت هنوز مطلوب نیست: ابزارهای خودکار فقط بخشی از مشکلات را مییابند و بسیاری از موانع در استفاده واقعی و با فناوریهای کمکی آشکار میشوند. راهکار، ترکیب آزمون خودکار و دستی، مشارکت کاربران دارای معلولیت، و ادغام دسترسپذیری در طراحی، توسعه، CI/CD و حاکمیت کیفیت است. پیام نهایی: دسترسپذیری باید یک فرایند مستمر و مشترک باشد تا هم ریسک را کاهش دهد و هم تجربهای فراگیرتر ایجاد کند.
#Accessibility #A11y #EuropeanAccessibilityAct #WCAG #InclusiveDesign #Testing #QA #DevOps
🟣لینک مقاله:
https://cur.at/fU9ymSF?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
My world of testing and thoughts
Web Accessibility Testing – Are We There Yet?
In the tech world right now, web accessibility is being talked about a lot. Webinars. Blog posts. Conference talks. Panels. How to do web accessibility testing, the tools and the law etc. There’s n…
❤1
یک هشدار به همه کسانی که مصاحبه شغلی دارند که کد review هم دارد!
نویسنده از تجربهای را بازگو می کند که با ایجاد فشار روانی بر وی، او را متقاعد کرده بودن که کدهای آلوده nodejs را روی سیستم برای review اجرا کند که در آخرین لحظه شک کرده و ماجرا کشف می شود.
https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview
<VAHID NAMENI/>
نویسنده از تجربهای را بازگو می کند که با ایجاد فشار روانی بر وی، او را متقاعد کرده بودن که کدهای آلوده nodejs را روی سیستم برای review اجرا کند که در آخرین لحظه شک کرده و ماجرا کشف می شود.
https://blog.daviddodda.com/how-i-almost-got-hacked-by-a-job-interview
<VAHID NAMENI/>
❤1👍1
Forwarded from Bardia & Erfan
دارم پادکست پاول دوروف مال تلگرام رو میبینم
نکته جالبش اینجا اگر برادر نابغش نبود هیچ وقت تلگرامی وجود نداشت
نکته دیگه اینه اگر دقت کرده باشید پاول برعکس مارک زاکربرگ ، ایلان ماسک و . . .
زندگی خیلی لاکچری داره ولی ایلان و زاکربرگ همیشه ساده پوشن و خیلی زنی بی آلایشی از خودشون نشون میدن
حتی مارک و ایلان نهایتا ۶ تا ۸ ساعت میخوابن و پاول ۱۲ ساعت
دلیلش از نظر من خیلی جالبه
ایلان و زاکربرگ تمام سهام شرکتشون برای خودشون نیست! سرمایه گذار های بزرگی پشتشونه و هروقت بیان خودشون رو اینطور نشون بدن قطعابا فشار زیادی مواجه میشن
ولی پاول مالک خودش هست و برادرش و کلا ۴۰ برنامه نویس
هیچ وقت هم جواب به کسی نمیده
نکات خیلی زیادی داره این شخص پیشنهاد میکنم حتما درموردش مطالعه کنید
https://www.youtube.com/watch?v=qjPH9njnaVU
نکته جالبش اینجا اگر برادر نابغش نبود هیچ وقت تلگرامی وجود نداشت
نکته دیگه اینه اگر دقت کرده باشید پاول برعکس مارک زاکربرگ ، ایلان ماسک و . . .
زندگی خیلی لاکچری داره ولی ایلان و زاکربرگ همیشه ساده پوشن و خیلی زنی بی آلایشی از خودشون نشون میدن
حتی مارک و ایلان نهایتا ۶ تا ۸ ساعت میخوابن و پاول ۱۲ ساعت
دلیلش از نظر من خیلی جالبه
ایلان و زاکربرگ تمام سهام شرکتشون برای خودشون نیست! سرمایه گذار های بزرگی پشتشونه و هروقت بیان خودشون رو اینطور نشون بدن قطعابا فشار زیادی مواجه میشن
ولی پاول مالک خودش هست و برادرش و کلا ۴۰ برنامه نویس
هیچ وقت هم جواب به کسی نمیده
نکات خیلی زیادی داره این شخص پیشنهاد میکنم حتما درموردش مطالعه کنید
https://www.youtube.com/watch?v=qjPH9njnaVU
❤1
🔵 عنوان مقاله
Finally: Unit Testing for LLMs That Doesn't Require a PhD or $100K Budget
🟢 خلاصه مقاله:
** دکتر Ernesto Lee نشان میدهد برای ساخت اپلیکیشنهای مبتنی بر LLM لازم نیست PhD یا بودجههای بسیار بزرگ داشته باشید تا تست خودکار جدی و مؤثر پیاده کنید. ایده اصلی این است که هر prompt، chain و فراخوانی ابزار را مثل یک واحد مستقل با مشخصات روشن ببینید و برای آنها تست بنویسید: از اعتبارسنجی ساختار خروجی (مثلاً JSON Schema) و الزامات فیلدها، تا چکهای ایمنی/سیاست و نمونههای طلایی دامنهای. با snapshot test، دادههای نمونه کمحجم اما پوششدهنده لبهها، و mock/stub برای وابستگیهای خارجی، تستها سریع، ارزان و قابل تکرار میمانند.
برای کنترل هزینه و نوسان، میتوان پاسخها را cache کرد، بیشتر تستها را با temperature=0 اجرا نمود، محدودیت توکن گذاشت، و مجموعه تستهای «سریع» را از ارزیابیهای «سنگینتر» دورهای جدا کرد. نسخهدهی به promptها و دادههای طلایی، گزارشکردن معیارها و اتصال این چرخه به CI باعث میشود هر تغییر کد یا prompt فوراً ارزیابی شود و رگرسیونها دیده شوند. در صورت شکست تست، سریع مشخص کنید مشکل از تغییر prompt است، drift مدل بالادستی یا وابستگی ابزار، و همان یادگیری را به تستها برگردانید.
نتیجه این رویکرد، چرخه توسعه سریعتر با اطمینان بیشتر و هزینه کنترلشده است. پیام Lee روشن است: Unit Testing عملی و مقیاسپذیر برای LLMها در دسترس همه تیمهاست، نه فقط تیمهای بزرگ.
#LLM
#UnitTesting
#AIEngineering
#TestingAutomation
#MLOps
#PromptEngineering
#ContinuousIntegration
#QualityAssurance
🟣لینک مقاله:
https://cur.at/YHqFc9m?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Finally: Unit Testing for LLMs That Doesn't Require a PhD or $100K Budget
🟢 خلاصه مقاله:
** دکتر Ernesto Lee نشان میدهد برای ساخت اپلیکیشنهای مبتنی بر LLM لازم نیست PhD یا بودجههای بسیار بزرگ داشته باشید تا تست خودکار جدی و مؤثر پیاده کنید. ایده اصلی این است که هر prompt، chain و فراخوانی ابزار را مثل یک واحد مستقل با مشخصات روشن ببینید و برای آنها تست بنویسید: از اعتبارسنجی ساختار خروجی (مثلاً JSON Schema) و الزامات فیلدها، تا چکهای ایمنی/سیاست و نمونههای طلایی دامنهای. با snapshot test، دادههای نمونه کمحجم اما پوششدهنده لبهها، و mock/stub برای وابستگیهای خارجی، تستها سریع، ارزان و قابل تکرار میمانند.
برای کنترل هزینه و نوسان، میتوان پاسخها را cache کرد، بیشتر تستها را با temperature=0 اجرا نمود، محدودیت توکن گذاشت، و مجموعه تستهای «سریع» را از ارزیابیهای «سنگینتر» دورهای جدا کرد. نسخهدهی به promptها و دادههای طلایی، گزارشکردن معیارها و اتصال این چرخه به CI باعث میشود هر تغییر کد یا prompt فوراً ارزیابی شود و رگرسیونها دیده شوند. در صورت شکست تست، سریع مشخص کنید مشکل از تغییر prompt است، drift مدل بالادستی یا وابستگی ابزار، و همان یادگیری را به تستها برگردانید.
نتیجه این رویکرد، چرخه توسعه سریعتر با اطمینان بیشتر و هزینه کنترلشده است. پیام Lee روشن است: Unit Testing عملی و مقیاسپذیر برای LLMها در دسترس همه تیمهاست، نه فقط تیمهای بزرگ.
#LLM
#UnitTesting
#AIEngineering
#TestingAutomation
#MLOps
#PromptEngineering
#ContinuousIntegration
#QualityAssurance
🟣لینک مقاله:
https://cur.at/YHqFc9m?m=web
➖➖➖➖➖➖➖➖
👑 @software_Labdon
Medium
Finally: Unit Testing for LLMs That Doesn’t Require a PhD or $100K Budget
Stop manually reviewing AI outputs like it’s 2019. This pytest-style framework (DeepEval) tests LLMs with 40+ metrics, catches…
❤2