🔵 عنوان مقاله
US Teen Indicted in 764 Network Case Involving Exploitation Crimes (2 minute read)

🟢 خلاصه مقاله:
یک جوان ۱۹ساله از کالیفرنیا به‌اتهام مشارکت در شبکه افراطی «764» تحت پیگرد فدرال قرار گرفته است. به‌گفته دادستان‌ها، این شبکه در دسته‌بندی Nihilistic Violent Extremist قرار می‌گیرد و عمدتاً در فضای آنلاین فعالیت دارد؛ جایی که اعضا به سوءاستفاده از قربانیان خردسال و فروپاشاندن هنجارهای اجتماعی از طریق آزار، دست‌کاری و رفتارهای آسیب‌زا متهم هستند. مقامات می‌گویند این پرونده با رصد فعالیت‌های آنلاین و شواهد دیجیتال پیش رفته و بر توجه روزافزون پلیس به جرایم بهره‌کشی در تلاقی با خُرده‌فرهنگ‌های افراطی آنلاین تأکید دارد. با این حال، کیفرخواست به‌معنای اثبات جرم نیست و متهم تا زمان اثبات اتهامات بی‌گناه فرض می‌شود. این پرونده یادآور پیامدهای جدی قانونی مشارکت در چنین شبکه‌هایی—even اگر با پوشش «ترولینگ» یا پوچ‌گرایی انجام شود—و ضرورت محافظت بیشتر از کودکان، گزارش‌دهی به‌موقع، و همکاری پلتفرم‌ها برای پیشگیری و حمایت از قربانیان است.

#Extremism #OnlineSafety #ChildProtection #Cybercrime #LawEnforcement #USJustice #Indictment #DigitalForensics

🟣لینک مقاله:
https://hackread.com/us-teen-indicted-764-network-case-crimes/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Writing custom Cypress plug-ins that solve common software testing problems

🟢 خلاصه مقاله:
اکوسیستم افزونه‌های Cypress به تیم‌ها اجازه می‌دهد فراتر از امکانات پیش‌فرض، چالش‌های واقعی تست را حل کنند؛ از کاهش ناپایداری تست‌ها و مدیریت محیط و داده تا یکپارچه‌سازی گزارش‌ها و سرویس‌های بیرونی. Kanika Vatsyayan توضیح می‌دهد چگونه با شناسایی یک مسئله تکراری، طراحی یک API ساده، ساخت پکیج npm، ثبت tasks در Node hook، افزودن تنظیمات و مثال‌های عملی، و همچنین تست و TypeScript typings، یک افزونه قابل اتکا بسازید. او بر نسخه‌بندی شفاف، سازگاری با نسخه‌های مختلف Cypress، کارایی، امنیت داده‌ها، مستندسازی و انتشار در npm تاکید می‌کند تا افزونه‌ها قابل نگهداری و قابل استفاده توسط جامعه باشند. نتیجه این است که با چند الگوی ساده و نمونه‌های واقعی، هر کسی می‌تواند راه‌حل‌های خود را به‌صورت افزونه منتشر کرده و به اکوسیستم تست کمک کند.

#Cypress
#SoftwareTesting
#QA
#JavaScript
#Plugins
#Automation
#OpenSource
#EndToEndTesting

🟣لینک مقاله:
https://cur.at/pj9uiDZ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Hackers Use NFC Relay Malware to Clone Tap-to-Pay Android Transactions (2 minute read)

🟢 خلاصه مقاله:
پژوهشگران Zimperium شناسایی کرده‌اند که بیش از 760 اپلیکیشن مخرب روی Android با سوءاستفاده از NFC و Host Card Emulation داده‌های پرداخت را به‌صورت بلادرنگ به مهاجمان رله می‌کنند و این عملیات از طریق بیش از 70 سرور command-and-control (C2) و ربات‌های Telegram هماهنگ می‌شود. مهاجمان با اپ‌های جعلی که ظاهر Google Pay، VTB Bank و Santander را تقلید می‌کنند، کاربران در روسیه، لهستان، برزیل و چند کشور دیگر را فریب داده‌اند تا با گرفتن دسترسی‌های حساس، پرداخت‌های tap-to-pay جعلی را بدون نیاز به کارت فیزیکی انجام دهند. در این حمله، توکن‌ها/جلسات پرداخت از دستگاه قربانی جمع‌آوری و بی‌درنگ به دستگاهی نزدیک پایانه فروش منتقل می‌شود تا تراکنش تکمیل شود. برای کاهش ریسک: فقط از Google Play Store نصب کنید، Android و Play Protect را به‌روز نگه دارید، دسترسی‌های حساس (به‌ویژه accessibility و device admin) را محدود کنید، NFC را هنگام عدم نیاز خاموش کنید و هشدارهای بانکی را فعال کنید.

#Android #NFC #HCE #MobileMalware #Cybersecurity #TapToPay #GooglePay #Zimperium

🟣لینک مقاله:
https://hackread.com/nfc-relay-malware-clone-tap-to-pay-android/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Why QA Keep Losing the Same Battles, even when Automation and AI is integrated

🟢 خلاصه مقاله:
این مقاله می‌گوید با وجود سرمایه‌گذاری در Automation و AI، مشکلات QA تکرار می‌شوند، چون مسأله اصلی کمبود ابزار نیست، بلکه نبود هم‌راستایی بر سر معنای «کیفیت» و شیوه ساختن آن است. به‌گفته Marina Jordão، کیفیت واقعی از انسان‌ها، استراتژی و حمایت از کاربر می‌آید؛ ابزارها فقط سرعت می‌دهند، اما جای تحلیل ریسک، معیارهای شفاف و آزمون اکتشافی را نمی‌گیرند. شکست‌های تکراری زمانی رخ می‌دهد که QA دیر وارد چرخه می‌شود، شاخص‌ها سطحی‌اند و تمرکز از نتایج واقعی برای کاربر دور می‌شود. راه‌حل، دیدن کیفیت به‌عنوان مسئولیت تیمی، درگیر کردن زودهنگام QA، تکیه بر پیشگیری به‌جای صرفاً کشف خطا و به‌کارگیری Automation و AI به‌عنوان تقویت‌کننده قضاوت انسانی است.

#QA #Testing #Automation #AI #QualityEngineering #UserAdvocacy #TestStrategy #DevOps

🟣لینک مقاله:
https://cur.at/UzsHvzU?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Automating LLM Apps Quality: A Survey of Open-Source Evaluation Tools for CI/CD

🟢 خلاصه مقاله:
** این مقاله به‌قلم Tarek Oraby فهرستی کاربردی از ابزارهای متن‌باز برای ارزیابی LLM و خودکارسازی تضمین کیفیت در CI/CD ارائه می‌کند. ابزارها طیفی از نیازها را پوشش می‌دهند: آزمون واحد برای پرامپت و زنجیره، ارزیابی مبتنی‌بر داده و متریک، بازبینی انسانی، گاردریل‌ها و سیاست‌های ایمنی، تولید داده و تست‌های مصنوعی، و مانیتورینگ پس از استقرار. سنجه‌های کلیدی شامل درستی و وفاداری (به‌ویژه در RAG)، ایمنی و سوگیری، پایداری و رگرسیون، و همچنین تأخیر و هزینه است. راهکارهای ادغام با CI/CD شامل تعریف آستانه قبولی/رد، اجرای تست‌ها در هر PR، نسخه‌بندی پرامپت/داده، مقایسه نتایج بین اجراها و گزارش‌دهی خودکار در PRهاست و می‌تواند با GitHub Actions، GitLab CI یا Jenkins پیاده شود. پیشنهاد عملی شروع کوچک با تست‌های طلایی، افزودن تست‌های رگرسیونی برای پرامپت‌های حساس و فعال‌سازی گاردریل‌هاست تا به‌تدریج پوشش و پایداری کیفیت افزایش یابد.

#LLM #CICD #MLOps #OpenSource #AIEvaluation #PromptTesting #QualityAssurance #AISafety

🟣لینک مقاله:
https://cur.at/BRLtRlT?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
From Templates to Heuristics: Enhancing Thought Work

🟢 خلاصه مقاله:
تست مؤثر بیش از آن‌که به پر کردن قالب‌ها و چک‌لیست‌ها تکیه کند، به فهم عمیق و تأمل وابسته است. Maria Kedemo تأکید می‌کند که به‌جای تمرکز بر فرم‌ها، باید با نگاه انتقادی و زمینه‌محور به ریسک و ارزش فکر کنیم. در این رویکرد، هیوریستیک‌ها (heuristics) به‌عنوان راهنماهای منعطف و خطاپذیر به ما کمک می‌کنند پرسش‌های بهتری بپرسیم، فرضیات پنهان را آشکار کنیم و بر اساس چرخه‌های مشاهده، فرضیه‌سازی، آزمون و یادگیری مسیر را تنظیم کنیم. سازمان‌ها باید زمان و سازوکارهایی برای بازاندیشی (مثل دی‌بریف و بازبینی همتا) فراهم کنند و موفقیت را با کیفیت اطلاعات ریسکی و یادگیری حاصل بسنجند، نه با تعداد موارد آزمون یا فرم‌های تکمیل‌شده. قالب‌ها می‌توانند نقش داربست داشته باشند، اما مقصد نیستند؛ مقصد، اندیشیدن بهتر و تصمیم‌های سازگار با زمینه است.

#SoftwareTesting #Heuristics #ExploratoryTesting #QualityEngineering #TestingStrategy #CriticalThinking #ContextDrivenTesting

🟣لینک مقاله:
https://cur.at/Q0yh9ik?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Dismantling a Critical Supply Chain Risk in VSCode Extension Marketplaces (7 minute read)

🟢 خلاصه مقاله:
بیش از ۵۵۰ راز حساس در افزونه‌های عمومی VSCode افشا شد، از جمله AWS و GitHub tokens. علت اصلی، مدیریت ناامن فایل‌ها در فرایند توسعه و انتشار بود؛ مشکلی که می‌تواند به مهاجمان امکان دهد با سوءاستفاده از توکن‌ها به‌روزرسانی‌های مخرب منتشر کنند و حملات زنجیره‌تأمین را آغاز کنند. در واکنش، پلتفرم‌ها توکن‌های آسیب‌دیده را باطل کردند، ناشران را مطلع ساختند و اسکن خودکار را تقویت کردند. این حادثه بر ضرورت ایمن‌سازی اکوسیستم افزونه‌ها تأکید دارد: حذف فایل‌های حساس از بسته‌ها، استفاده از secret managers به‌جای درج مستقیم کلیدها، محدود کردن سطح دسترسی توکن‌ها، و اسکن مداوم برای کشف نشت رازها.

#SupplyChainSecurity #VSCode #DevSecOps #SecretsManagement #AppSec #TokenSecurity #SoftwareSupplyChain #SecureCoding

🟣لینک مقاله:
https://www.wiz.io/blog/supply-chain-risk-in-vscode-extension-marketplaces?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Power pairing our people process: How we moved to a collaborative QA Engineer and QA Analyst model

🟢 خلاصه مقاله:
** این مقاله نشان می‌دهد که با جفت‌کردن نقش‌های مکمل در کیفیت، یعنی QA Engineer و QA Analyst، می‌توان کیفیت را از یک مرحله انتهایی به یک فعالیت پیوسته و مشارکتی در دل فرایند توسعه تبدیل کرد. بر اساس ایده‌های Matthew Whitaker و همسو با فلسفه pair-programming، QA Engineer روی اتوماسیون، ابزارها و CI/CD تمرکز می‌کند و QA Analyst بر تحلیل نیازمندی‌ها، آزمون اکتشافی و مدیریت ریسک؛ و همکاری نزدیک آن‌ها شکاف‌های فنی و محصولی را کاهش می‌دهد. این جفت به‌صورت مشترک معیارهای پذیرش و استراتژی آزمون را می‌نویسد، بین نقش «راننده/راهنما» جابه‌جا می‌شود و یافته‌های اکتشافی را سریع به تست‌های خودکار قابل نگهداری تبدیل می‌کند. پیاده‌سازی موفق با یک پایلوت، برنامه‌ pairing شفاف، ابزارهای دیدپذیری، و سنجه‌هایی مانند نرخ خطای فرار، زمان چرخه و نرخ بازکار آغاز می‌شود و با مدیریت چالش‌هایی مانند ابهام نقش و خستگی جلسات از طریق RACI سبک، پلی‌بوک، تایم‌باکس و آداب pairing تثبیت می‌شود. دستاوردها شامل بازخورد سریع‌تر، کاهش خطاهای فرار، مالکیت مشترک کیفیت و انتقال دانش گسترده‌تر در تیم است؛ همان درسی که از pair-programming می‌گیریم: دو ذهن مکمل، از یک متخصص تنها مؤثرترند.

#QA #PairProgramming #QualityAssurance #AgileTesting #Collaboration #DevOps #TestAutomation #TeamCulture

🟣لینک مقاله:
https://cur.at/EuZObTr?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

تفاوت Access Token و Refresh Token به زبان ساده
در سیستم‌های احراز هویت مدرن مثل Keycloak یا IdentityServer،
دوبار اسم «توکن» رو می‌شنویم:
ولی واقعاً فرقشون چیه؟
Access Token
توکن کوتاه‌مدتیه (مثلاً ۵ تا ۱۵ دقیقه) که بعد از لاگین کاربر صادر میشه.
هر بار که کاربر به API درخواست می‌فرسته، این توکن همراه درخواست میره تا سرور بفهمه کاربر کیه.
Refresh Token
طول عمر بیشتری داره (مثلاً ۳۰ دقیقه یا حتی چند ساعت).
اگر Access Token منقضی بشه، سیستم با استفاده از Refresh Token یه Access Token جدید می‌گیره
— بدون اینکه کاربر مجبور باشه دوباره لاگین کنه.
به زبان ساده Access Token مثل بلیط ورود به یک سالن هست ️
اما Refresh Token مثل کارت عضویت اون سالنه
باهاش می‌تونی هر بار بلیط جدید بگیری بدون ایستادن تو صف لاگین.
مزیت این روش:
امنیت بیشتر (Access Token کوتاه‌مدت و ایمن‌تره)
تجربه کاربری بهتر (کاربر کمتر لاگ‌اوت میشه)
کنترل بهتر سمت سرور روی اعتبار توکن‌ها
در پروژه‌ی اخیرم با Keycloak این مکانیزم رو پیاده‌سازی کردم.
کاربر بعد از ثبت‌نام، هم در Keycloak و هم در SQL Server ذخیره میشه تا
میان سیستم احراز هویت و اپلیکیشن اصلی یکپارچگی کامل برقرار باشه.
هر وقت در مورد Authentication کار می‌کنی،
یادت باشه که هدف فقط «ورود کاربر» نیست —
بلکه «مدیریت ایمن و هوشمند عمر نشست (Session Lifecycle)» هست.
در دنیای Api ها ما موظفیم با توکن ها کار کنیم
در ریزور پیج ها یک ورودی هیدن داشتیم که مدیریت توسط آن توسط خود asp بود
اما در api ها مدیریت توکن ها با ماست
بهترین گزینه هم استفاده از IDP (Identity Provider) هاست چون هم فرانت و هم بک را برای ما پوشش میدهد.

<Hossein Molaei/>

🔵 عنوان مقاله
When Tests Start Drawing the Map

🟢 خلاصه مقاله:
** در دنیای واقعی توسعه، محیط‌های تست به‌ندرت کامل‌اند: اطلاعات ناقص است، وابستگی‌ها تغییر می‌کنند و قطعیت کم است. Charlie Kingston پیشنهاد می‌کند به تست مثل «نقشه‌کش» نگاه کنیم؛ هر تست یک کاوش است که مرزها، خطرها و رفتارهای واقعی سیستم را روشن می‌کند و نقشه‌ای زنده از آنچه می‌دانیم می‌سازد.

با بیان شفاف فرضیه‌ها و تبدیلشان به تست، استفاده از ابزارهـای مشاهده‌پذیری برای رفع نقاط کور، ایجاد چرخه‌های بازخورد سریع و اولویت‌بندی ریسک (مسیرهای بحرانی، حالت‌های خرابی، و درزهای یکپارچه‌سازی)، این نقشه قابل اعتماد می‌شود. تست‌ها فقط دروازه انتشار نیستند؛ دانسته‌های تیم را مستند می‌کنند، قراردادهای بین سرویس‌ها را شفاف می‌سازند و بازطراحی امن را ممکن می‌کنند. با هر تغییر، تست‌ها نشان می‌دهند کجا نقشه با واقعیت نمی‌خواند و باید دقیق‌تر بررسی شود.

ترکیبی از روش‌ها این نقشه را کامل‌تر می‌کند: Contract Testها برای انتظارات بین سرویس‌ها، Property-based Testing برای پوشش لبه‌ها، تست اکتشافی برای کشف ناشناخته‌ها، و پایش مصنوعی در محیط اجرا برای تشخیص تغییر رفتار. پیام نهایی: منتظر مشخصات کامل نمانید؛ با تست، نقشه را همزمان با حرکت ترسیم کنید تا عدم‌قطعیت کاهش یابد و کیفیت با اطمینان بیشتری ارائه شود.

#تست_نرم‌افزار #کیفیت #بازخورد_سریع #مدیریت_ریسک #Observability #مهندسی_نرم‌افزار #توسعه_چابک #QA

🟣لینک مقاله:
https://cur.at/m1egK0h?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Apple alerts exploit developer that his iPhone was targeted with government spyware (4 minute read)

🟢 خلاصه مقاله:
اپل به یک توسعه‌دهنده اکسپلویت iOS با نام مستعار Jay Gibson اطلاع داده که آیفون شخصی او در ماه مارس هدف جاسوس‌افزار «مزدور» قرار گرفته است؛ اتفاقی که می‌تواند نخستین مورد مستند از هدف قرار گرفتن توسعه‌دهندگان چنین ابزارهایی توسط همان طبقه از ابزارها باشد. این فرد چند هفته قبل از دریافت هشدار، از شرکت Trenchant (زیرمجموعه L3Harris) اخراج شده بود؛ به اتهام افشای زیرو-دی‌های Chrome، اتهامی که او و همکاران سابقش رد می‌کنند. اپل معمولاً جزئیات فنی یا نسبت‌دهی ارائه نمی‌دهد، اما این هشدارها نشانه خطر جدی تلقی می‌شود. این پرونده نشان می‌دهد استفاده از جاسوس‌افزارهای تجاری به حوزه متخصصان فنی نیز سرایت کرده و پرسش‌هایی درباره منبع حمله، انگیزه‌ها و راهکارهای حفاظتی مطرح می‌کند.
#Apple #iOS #iPhone #Spyware #MercenarySpyware #L3Harris #Trenchant #Cybersecurity

🟣لینک مقاله:
https://techcrunch.com/2025/10/21/apple-alerts-exploit-developer-that-his-iphone-was-targeted-with-government-spyware/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How to Test Asynchronous Processes That Complete Hours Later

🟢 خلاصه مقاله:
** دانیل Delimata نشان می‌دهد چگونه با بازطراحی کوچک در سیستم و تست‌ها می‌توان فرایندهای ناهمگامی را که نتیجه‌شان ساعت‌ها بعد دیده می‌شود، به‌صورت خودکار و سریع راستی‌آزمایی کرد. رویکرد پیشنهادی بر «assertionهای در نهایت» با مهلت مشخص تکیه دارد: به‌جای sleep طولانی، رویداد را آغاز کنید و با polling یا اشتراک در خروجی‌ها (داده، رویداد، ایمیل) نتیجه را تا ضرب‌الاجل تعیین‌شده بررسی کنید. زمان را تزریق‌پذیر کنید (clock فیک)، زمان‌بندی‌ها را قابل‌پیکربندی کنید یا test hook امن برای اجرای فوری کارها فراهم کنید؛ و با شناسه‌های همبستگی و مشاهده‌پذیری (مثل OpenTelemetry) مسیر انتهابه‌انتها را رهگیری کنید. برای پایداری، هندلرهای idempotent، داده‌ی تست ایزوله و محیط‌های موقتی به کار ببرید و سطح مناسب تست (واحد، یکپارچه، انتهابه‌انتها، contract) را انتخاب کنید. در CI، مسیر سریع با زمان شتاب‌داده/هوک و مسیر آهسته شبانه‌ی واقع‌گرایانه را ترکیب کنید تا فرایندهایی که ساعت‌ها طول می‌کشند، در چند دقیقه به‌طور مطمئن تست شوند.

#AsynchronousTesting #EventualConsistency #Automation #DistributedSystems #E2ETesting #Observability #CI_CD #MessageQueues

🟣لینک مقاله:
https://cur.at/tVLKSEQ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
It's Not Your Tests, It's Your Testability

🟢 خلاصه مقاله:
**
بی‌ثباتی تست‌ها همیشه تقصیر تست‌ها نیست؛ اغلب ریشه در سیستم کم‌تست‌پذیر دارد. وقتی زمان، هم‌روندی، تصادفی‌بودن یا وابستگی‌های بیرونی کنترل‌نشده باشند، تست‌ها ناپایدار می‌شوند. راه‌حل، ارتقای تست‌پذیری است: قابل‌کنترل و قابل‌مشاهده کردن سیستم، تزریق زمان و بذر تصادفی، جداسازی مرزهای شبکه با قراردادها و فیک‌ها، و هرمتیک‌کردن محیط تست. Gil Zilberfeld توصیه می‌کند برای جلب حمایت، هزینه فلیکینس را با داده نشان دهید و از بردهای کوچک (مثل افزودن seam، تزریق وابستگی برای زمان/I-O، و تست‌های قراردادی) شروع کنید. با گنجاندن تست‌پذیری در تصمیم‌های معماری و معیارهای پذیرش، تیم از آتش‌نشانی تست‌های flaky به ساخت نرم‌افزار ذاتاً تست‌پذیر و قابل‌اتکا منتقل می‌شود.

#Testability #FlakyTests #SoftwareTesting #QualityEngineering #DevOps #ContinuousIntegration #TestDesign #Observability

🟣لینک مقاله:
https://cur.at/3RbJDxt?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
QA Engineer Role Transformation in the Age of AI

🟢 خلاصه مقاله:
** در عصر AI نقش مهندسان QA از اجرای دستی آزمون‌ها به طراحی و هدایت جریان‌های تضمین کیفیت هوشمند تغییر می‌کند. به‌گفته Yerem Khalatyan، بهترین نقطهٔ شروع سه کاربرد عملی است: تولید خودکار سناریوهای آزمون، تسریع در خودکارسازی، و بهینه‌سازی اجرای تست‌ها. سامانه‌های هوشمند می‌توانند با تکیه بر نیازمندی‌ها، کد و داده‌های کاربری، سناریوهای مثبت، منفی و مرزی را پیشنهاد دهند، شکاف‌های پوشش را نشان دهند و در CI/CD اولویت اجرای تست‌ها را بر مبنای ریسک و تغییرات کد تنظیم کنند. همچنین با خودترمیمی انتخابگرها، کاهش تست‌های flaky، پیشنهاد assertion و دادهٔ آزمون، و کمک به triage خطاها، هزینهٔ نگهداشت را پایین می‌آورند. در کنار این مزایا باید به محدودیت‌ها نیز توجه کرد: خطای مدلی، تفسیر نادرست نیازمندی‌های مبهم و ملاحظات امنیت و حریم خصوصی، که حضور انسان در حلقه و حاکمیت داده را ضروری می‌سازد. برای بهره‌گیری مؤثر، مهارت‌هایی مانند طراحی پرسش برای مدل، سواد داده، آزمون مبتنی بر ریسک و ادغام ابزارها اهمیت می‌یابد؛ شروع کوچک، سنجش دقیق شاخص‌ها و سپس گسترش کنترل‌شده، مسیر عملی و کم‌ریسک است.

#QA #AIinTesting #TestAutomation #SoftwareTesting #QualityEngineering #DevOps #CICD #MachineLearning

🟣لینک مقاله:
https://cur.at/lOXHasH?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Linux Capabilities Revisited (4 minute read)

🟢 خلاصه مقاله:
امنیت در Linux با تقسیم قدرت‌های root به «capabilities» ظریف‌تر می‌شود، اما مهاجمان می‌توانند از همین سازوکار سوءاستفاده کنند: با setcap دادن قابلیتی مثل cap_setuid به یک باینری معمولی (مثلاً Python)، بدون نیاز به SUID به روت تبدیل می‌شوند و در نتیجه بک‌دوری پنهان می‌سازند. چون این مجوزها به‌صورت xattr روی inode و در security.capability ذخیره می‌شوند، در خروجی‌های معمولِ بررسی مجوزها به‌راحتی دیده نمی‌شوند و حتی بعد از rename یا ریبوت باقی می‌مانند. راهکار دفاعی این است که جست‌وجوی ارتقای دسترسی را از SUID/SGID فراتر ببریم: با getcap -r / همه قابلیت‌ها را فهرست کنیم، setcap و هر تغییر روی security.capability را مانیتور کنیم، فهرست سفید بسازیم، قابلیت‌های غیرضروری را با setcap -r حذف کنیم و این کنترل‌ها را در CI/CD و سخت‌سازی ایمیج‌ها بگنجانیم تا باینری‌های دارای capability ناخواسته وارد محیط نشوند.

#Linux #Capabilities #PrivilegeEscalation #setcap #SUID #BlueTeam #SecurityMonitoring #IncidentResponse

🟣لینک مقاله:
https://dfir.ch/posts/linux_capabilities/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

Scaling API Independence: Mocking, Contract Testing & Observability in Large Microservices Environments
https://www.infoq.com/presentations/microservices-mocking-observability/

🔵 عنوان مقاله
Chrome DevTools MCP: Automated Test, Debug and Performance Analysis with AI

🟢 خلاصه مقاله:
Chrome DevTools MCP که توسط Google عرضه شده، امکان می‌دهد AI agents کارهای رایج DevTools مثل اجرای تست، دیباگ و تحلیل عملکرد را به‌صورت خودکار انجام دهند. این ابزار با دسترسی به لاگ‌ها، شبکه، DOM و خطاها در زمان اجرا، به عامل اجازه می‌دهد سناریوهای تست را اجرا کند، مشکلات را ردیابی و اصلاح کند و دوباره تست‌ها را اجرا کند تا تغییرات را تأیید کند. ویدیوی ۱۸ دقیقه‌ای Karthik K.K. نشان می‌دهد چگونه یک عامل با استفاده از Chrome DevTools MCP می‌تواند یک تست ناکام را عیب‌یابی کند، از جزئیات کنسول و شبکه کمک بگیرد، Breakpoint بگذارد و به‌صورت تکرارشونده مشکل را حل کند. نتیجه برای تیم‌ها، چرخه بازخورد سریع‌تر، کاهش تست‌های شکننده و کشف زودهنگام مسائل عملکردی است، در حالی‌که بازبینی انسانی همچنان نقش اصلی دارد.

#ChromeDevTools #MCP #AIAgents #TestAutomation #Debugging #WebPerformance #DevTools #Google

🟣لینک مقاله:
https://cur.at/TAISOHS?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
FunnelPeek: A Modern Tool for Exploring Android UI Elements

🟢 خلاصه مقاله:
** معرفی FunnelPeek به‌عنوان یک UI inspector متن‌باز برای Android نشان می‌دهد چطور می‌توان مسیرها و locatorهای پایدار را سریع‌تر پیدا کرد. Saeed Roshan در این ابزار کاوش سلسله‌مراتب نما، برجسته‌سازی عناصر و بررسی ویژگی‌هایی مثل resource ID و content description را نشان می‌دهد تا انتخاب locatorهای قابل اعتماد آسان‌تر شود. نتیجه برای تیم‌های توسعه و QA، کاهش خطاپذیری تست‌ها و تسریع در آماده‌سازی خودکارسازی است.

#Android #MobileTesting #UIInspector #OpenSource #QA #TestAutomation #Locators

🟣لینک مقاله:
https://cur.at/O3rNmRU?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Playwright in Practice: Writing Better Tests for Beginners with Page Object Pattern, Fixtures

🟢 خلاصه مقاله:
** این مطلب با یک رویکرد گام‌به‌گام نشان می‌دهد چگونه با تکیه بر ساختاردهی و نگه‌داشت‌پذیری، از Playwright بهترین استفاده را ببریم. Michał Ślęzak با یک نمونه عملی توضیح می‌دهد که چطور از یک تست ساده شروع کنیم و آن را به مجموعه‌ای تمیز و مقیاس‌پذیر تبدیل کنیم.

نویسنده بر Page Object Pattern تأکید می‌کند تا مکان‌یاب‌ها و اعمال صفحه به‌جای پراکندگی در تست‌ها، در آبجکت‌های اختصاصی متمرکز شوند؛ این کار خوانایی را بالا می‌برد، تکرار را کم می‌کند و تغییرات بعدی را ساده‌تر می‌سازد. همچنین نشان می‌دهد چگونه Fixtures می‌تواند آماده‌سازی و پاک‌سازی را استاندارد کند؛ مثلا ایجاد contextهای احراز هویت، داده‌های اولیه، یا پیکربندی مشترک، که نتیجه‌اش تست‌های ایزوله‌تر، سریع‌تر و پایدارتر است.

در پایان، مجموعه‌ای از بهترین‌عمل‌ها مطرح می‌شود: نام‌گذاری و ساختار پوشه‌ها، انتخاب locatorهای پایدار و استراتژی‌های انتظار درست، assertionهای قابل اعتماد، آمادگی برای اجرا در مرورگرهای مختلف و پایداری در CI. حاصل کار، مسیری روشن برای مبتدیان است تا بدون قربانی کردن خوانایی یا سرعت، تدریجاً الگوهای پیشرفته‌تر را وارد فرایند تست خود کنند.

#Playwright #Testing #TestAutomation #PageObjectPattern #Fixtures #QA #EndToEndTesting #BestPractices

🟣لینک مقاله:
https://cur.at/UUnbbtX?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon