Forwarded from DevTwitter | توییت برنامه نویسی
در سیستمهای توزیعشده یک سؤال اساسی همیشه وجود دارد:
وقتی چند نود باید با هم کار کنند، چطور مطمئن میشویم همه روی یک حقیقت واحد توافق دارند؟
اینجاست که Raft وارد میشود. Raft فقط یک الگوریتم برای انتخاب لیدر نیست؛
یک راهحل کامل برای Consensus است که مشخص میکند:
چه کسی تصمیم میگیرد
ترتیب عملیات چگونه تعیین میشود
و سیستم در زمان failure چطور همچنان امن میماند، Raft کجا استفاده میشود؟
زیرساخت Kubernetes (etcd)
سیستمهای coordination مثل Consul
دیتابیسها و سرویسهایی که نیاز به replicated state دارند
در مقالهی جدید در Medium، Raft را از دید System Design بررسی کردهام
متن کامل مقاله:
https://medium.com/@a.mousavi/understanding-raft-a-practical-system-design-perspective-36d5026278ba
@DevTwitter | <Arash Mousavi/>
وقتی چند نود باید با هم کار کنند، چطور مطمئن میشویم همه روی یک حقیقت واحد توافق دارند؟
اینجاست که Raft وارد میشود. Raft فقط یک الگوریتم برای انتخاب لیدر نیست؛
یک راهحل کامل برای Consensus است که مشخص میکند:
چه کسی تصمیم میگیرد
ترتیب عملیات چگونه تعیین میشود
و سیستم در زمان failure چطور همچنان امن میماند، Raft کجا استفاده میشود؟
زیرساخت Kubernetes (etcd)
سیستمهای coordination مثل Consul
دیتابیسها و سرویسهایی که نیاز به replicated state دارند
در مقالهی جدید در Medium، Raft را از دید System Design بررسی کردهام
متن کامل مقاله:
https://medium.com/@a.mousavi/understanding-raft-a-practical-system-design-perspective-36d5026278ba
@DevTwitter | <Arash Mousavi/>
Forwarded from DevTwitter | توییت برنامه نویسی
مدلهای زبانی در ۲۰۲۵؛ چه خبر بوده و به کجا میرن؟
آقای Sebastian Raschka بهتازگی یه گزارش خیلی خوب منتشر کرده به اسم «وضعیت مدلهای زبانی در سال ۲۰۲۵» که توش درباره روند پیشرفتها، چالشها و پیشبینیهای این حوزه صحبت کرده.
توی این گزارش به این اشاره میکنه که سال ۲۰۲۵ عملاً سال تمرکز روی توانایی استدلال مدلها بوده و روشهایی مثل RLVR و GRPO خیلی مورد توجه قرار گرفتن؛ حتی GRPO تبدیل شده به یکی از موضوعات محبوب بین محققها. از طرفی هم به این موضوع پرداخته که معماری مدلهای زبانی به یه جور دوراهی رسیده و در کنار اون، استفاده از مقیاسپذیری در زمان اجرا و کار با ابزارها هم پررنگتر شده. حتی یه اصطلاح جدید به اسم «Benchmaxxing» رو هم به عنوان واژه سال مطرح میکنه و درباره نقش جدی هوش مصنوعی در برنامهنویسی، نویسندگی و کارهای تحقیقاتی هم صحبت میکنه.
در ادامه، به اهمیت دادههای خصوصی به عنوان یه مزیت رقابتی اشاره میکنه و موضوع ساخت مدلهای زبانی و مدلهای استدلال از صفر رو هم بررسی میکنه. در نهایت هم نگاهی به اتفاقات غیرمنتظره سال ۲۰۲۵ میندازه و یه سری پیشبینی برای سال ۲۰۲۶ ارائه میده.
لینک گزارش کامل The State Of LLMs 2025: Progress, Problems, and Predictions (https://magazine.sebastianraschka.com/p/state-of-llms-2025)
@DevTwitter | <Reza Jafari/>
آقای Sebastian Raschka بهتازگی یه گزارش خیلی خوب منتشر کرده به اسم «وضعیت مدلهای زبانی در سال ۲۰۲۵» که توش درباره روند پیشرفتها، چالشها و پیشبینیهای این حوزه صحبت کرده.
توی این گزارش به این اشاره میکنه که سال ۲۰۲۵ عملاً سال تمرکز روی توانایی استدلال مدلها بوده و روشهایی مثل RLVR و GRPO خیلی مورد توجه قرار گرفتن؛ حتی GRPO تبدیل شده به یکی از موضوعات محبوب بین محققها. از طرفی هم به این موضوع پرداخته که معماری مدلهای زبانی به یه جور دوراهی رسیده و در کنار اون، استفاده از مقیاسپذیری در زمان اجرا و کار با ابزارها هم پررنگتر شده. حتی یه اصطلاح جدید به اسم «Benchmaxxing» رو هم به عنوان واژه سال مطرح میکنه و درباره نقش جدی هوش مصنوعی در برنامهنویسی، نویسندگی و کارهای تحقیقاتی هم صحبت میکنه.
در ادامه، به اهمیت دادههای خصوصی به عنوان یه مزیت رقابتی اشاره میکنه و موضوع ساخت مدلهای زبانی و مدلهای استدلال از صفر رو هم بررسی میکنه. در نهایت هم نگاهی به اتفاقات غیرمنتظره سال ۲۰۲۵ میندازه و یه سری پیشبینی برای سال ۲۰۲۶ ارائه میده.
لینک گزارش کامل The State Of LLMs 2025: Progress, Problems, and Predictions (https://magazine.sebastianraschka.com/p/state-of-llms-2025)
@DevTwitter | <Reza Jafari/>
Forwarded from MiRZaM ∞ ᴵᴺᶠᴼᴿᴹᴬᵀᴵᴼᴺ
ابلاغ دستور آمادهباش برای قطع اینترنت به دیتاسنترها
بر اساس اطلاعات دریافتی، دستور آمادهباش برای قطع ترافیک اینترنت دیتاسنترهای کشور در صورت بروز رخدادهای امنیتی ابلاغ شده است.
با توجه به احتمال تشدید تنشها پس از مذاکرات پیشرو، اینترنت کشور در وضعیت آمادهباش برای اعمال قطع یا محدودیتهای گسترده قرار دارد. این شرایط میتواند منجر به اختلال ناگهانی، کاهش شدید دسترسی بینالملل، قطع ارتباط دیتاسنترها و در سناریوی حادتر، قطع کامل یا حرکت مجدد به سمت اینترنت ملی شود.
© IRRadar
بر اساس اطلاعات دریافتی، دستور آمادهباش برای قطع ترافیک اینترنت دیتاسنترهای کشور در صورت بروز رخدادهای امنیتی ابلاغ شده است.
با توجه به احتمال تشدید تنشها پس از مذاکرات پیشرو، اینترنت کشور در وضعیت آمادهباش برای اعمال قطع یا محدودیتهای گسترده قرار دارد. این شرایط میتواند منجر به اختلال ناگهانی، کاهش شدید دسترسی بینالملل، قطع ارتباط دیتاسنترها و در سناریوی حادتر، قطع کامل یا حرکت مجدد به سمت اینترنت ملی شود.
© IRRadar
ی پروژه ای که بنظرم خیلی می تونه دنیا رو جای بهتری کنه:
چطوری می تونیم طبق ی استاندارد از ی LLM بزرگتر بخوایم که LLM کوچیکتر ما رو آموزش بده ؟
این پروژه از اونجایی جذاب تر میشه که شما می تونین توی گوشی ی LLM سبک داشته باشین و ازش برای کار های روزمره استفاده کنین و وقتی که این LLM کوچیکتر لازم داشت بره از LLM بزرگتر که روی اینترنته بپرسه.
اینطوری مثل خود اینترنت میشه بصورت اشتراکی LLM استفاده کرد ولی با هزینه کمتر و قدرت بیشتر و سرعت بیشتر ...
داخل لینکدین من می تونین مطالعه کنین:
https://www.linkedin.com/pulse/externalizing-intelligence-concrete-implementation-cognitive-nouri-f5lse/
چطوری می تونیم طبق ی استاندارد از ی LLM بزرگتر بخوایم که LLM کوچیکتر ما رو آموزش بده ؟
این پروژه از اونجایی جذاب تر میشه که شما می تونین توی گوشی ی LLM سبک داشته باشین و ازش برای کار های روزمره استفاده کنین و وقتی که این LLM کوچیکتر لازم داشت بره از LLM بزرگتر که روی اینترنته بپرسه.
اینطوری مثل خود اینترنت میشه بصورت اشتراکی LLM استفاده کرد ولی با هزینه کمتر و قدرت بیشتر و سرعت بیشتر ...
داخل لینکدین من می تونین مطالعه کنین:
https://www.linkedin.com/pulse/externalizing-intelligence-concrete-implementation-cognitive-nouri-f5lse/
Linkedin
Externalizing Intelligence: A Concrete Implementation of Hierarchical Distributed Cognitive Architecture (HDCA)
In the rapidly evolving landscape of AI, we often treat large language models (LLMs) as monolithic sources of intelligence, expanding their context windows to push the limits of reasoning. But what if intelligence could be externalized from the neural substrate…
Forwarded from یک برنامه نویس تنبل
یک برنامه نویس تنبل
🔶 سقوط ۸۰ درصدی سهام شرکت فیگما (ابزار طراحی) @TheRaymondDev
تحلیل ها رو خوندم، میگن بخاطر استارتاپ های AI هستش
Forwarded from localhost (Yousef Taheri)
زومیت/ قطع اینترنت ایران فقط صدای کاربران داخلی را خاموش نکرد، بلکه نظم الگوریتمهای جهانی را هم برهم زد. طبق گفتههای مدیرعامل نتبلاکس، حذف ناگهانی میلیونها کاربر ایرانی از فضای وب، باعث ایجاد «خلأ داده» و اختلال در سیستمهای توصیهگر شده است.
تحلیلهای فنی نشان میدهد که خاموشی دیجیتال چه بر سر الگوریتمها آورده است:
🔹 سردرگمی هوش مصنوعی پلتفرمها به دلیل حذف ناگهانی دادههای زنده و واقعی از ایران
🔹 جایگزینی محتوای معتبر با شایعات و اخبار جعلی برای پر کردن حفرههای اطلاعاتی
🔹 افزایش ضریب نفوذ منابع غیرموثق که فقط به دنبال جذب کلیک و تعامل هستند
🔹 تغییر رفتار سیستمهای پیشنهاددهنده (Recommendation Systems) و نمایش محتوای کمارزش به جای واقعیت
تحلیلهای فنی نشان میدهد که خاموشی دیجیتال چه بر سر الگوریتمها آورده است:
🔹 سردرگمی هوش مصنوعی پلتفرمها به دلیل حذف ناگهانی دادههای زنده و واقعی از ایران
🔹 جایگزینی محتوای معتبر با شایعات و اخبار جعلی برای پر کردن حفرههای اطلاعاتی
🔹 افزایش ضریب نفوذ منابع غیرموثق که فقط به دنبال جذب کلیک و تعامل هستند
🔹 تغییر رفتار سیستمهای پیشنهاددهنده (Recommendation Systems) و نمایش محتوای کمارزش به جای واقعیت
Forwarded from DevTwitter | توییت برنامه نویسی
بنیاد Apache اعلام کرد که سه پروژه جدید به عنوان پروژههای Top-Level رسمی Apache پذیرفته شدهاند.
یکی HertzBeat است که نظر من را جلب کرده و به عنوان یک سیستم observability واقعیزمان مبتنی بر AI توصیف شده که نظارت، هشدار و اعلان را یکجا ترکیب میکند.
https://news.apache.org/foundation/entry/the-apache-software-foundation-announces-new-top-level-projects-4
@DevTwitter | <VAHID NAMENI/>
یکی HertzBeat است که نظر من را جلب کرده و به عنوان یک سیستم observability واقعیزمان مبتنی بر AI توصیف شده که نظارت، هشدار و اعلان را یکجا ترکیب میکند.
https://news.apache.org/foundation/entry/the-apache-software-foundation-announces-new-top-level-projects-4
@DevTwitter | <VAHID NAMENI/>
Forwarded from DevTwitter | توییت برنامه نویسی
مقاله در مورد اشتباهات ایندکس گذاری و بهینه کردن جداول دیتابیس صحبت کرده و در ادامه با ۵ سناریو، ایندکس ها و انواع اونها رو در postgre توضیح داده.
بسیار روان، قابل فهم و کاربردی. لذت ببرید.
https://medium.com/@ArkProtocol1/postgres-indexing-mistakes-i-see-in-every-codebase-c5d02bbcb941
@DevTwitter | <Morteza Dolatkhah/>
بسیار روان، قابل فهم و کاربردی. لذت ببرید.
https://medium.com/@ArkProtocol1/postgres-indexing-mistakes-i-see-in-every-codebase-c5d02bbcb941
@DevTwitter | <Morteza Dolatkhah/>
Forwarded from DevTwitter | توییت برنامه نویسی
پروژه متنباز PentAGI یک پلتفرم تست نفوذ خودکار مبتنی بر هوش مصنوعیه که با عاملهای AI میتونه عملیات امنیتی رو در محیط ایزوله اجرا کنه؛ مناسب برای پژوهشگران و تیمهای امنیتی.
https://github.com/vxcontrol/pentagi
@DevTwitter | <MAHDI S. Homeyli/>
https://github.com/vxcontrol/pentagi
@DevTwitter | <MAHDI S. Homeyli/>
Forwarded from Recommender system (MehriMah Amiri)
🔴بحران AI: آنتروپیک
1️⃣ طبق گزارش وال استریت ژورنال ادعای آنتروپیک، شرکتهای چینی DeepSeek، MiniMax و Moonshot AI با ایجاد بیش از ۲۴ هزار حساب جعلی، بیش از ۱۶ میلیون پرامپت به مدل Claude ارسال کردهاند تا مدلهای خود را بهبود دهند. این اقدام «تقطیر» دادهها و قابلیتهای Claude را هدف قرار داده و نگرانیهای امنیتی و حقوقی گستردهای ایجاد کرده است.
2️⃣ کمپانی OpenAI نیز در نامهای به مجلس نمایندگان آمریکا، DeepSeek را به همان رفتار متهم کرده و نشان میدهد رقابت AI دیگر فقط تکنیکی نیست، بلکه جنبه سیاسی و قانونی هم پیدا کرده است.
3️⃣ معرفی ابزار جدید Anthropic مبتنی بر Claude برای تحلیل و بهینهسازی سامانههای قدیمی COBOL فشار شدیدی بر IBM وارد کرد و سهام این شرکت حدود ۱۳٪ افت داشت.
4️⃣ هر هفت بنیانگذار آنتروپیک پیشتر در OpenAI فعالیت داشتند؛
5️⃣ همزمان، طبق گزارش CNBC، نسخه V4 دیپسیک در آستانه رونمایی است؛ مدلی که از آن بهعنوان جهشی بزرگ یاد میشود. فشار روی شاخص NASDAQ Composite افزایش یافته و بازار خود را برای نوسانات شدید آماده کرده است.
🔸@Recomendersystem2023
1️⃣ طبق گزارش وال استریت ژورنال ادعای آنتروپیک، شرکتهای چینی DeepSeek، MiniMax و Moonshot AI با ایجاد بیش از ۲۴ هزار حساب جعلی، بیش از ۱۶ میلیون پرامپت به مدل Claude ارسال کردهاند تا مدلهای خود را بهبود دهند. این اقدام «تقطیر» دادهها و قابلیتهای Claude را هدف قرار داده و نگرانیهای امنیتی و حقوقی گستردهای ایجاد کرده است.
2️⃣ کمپانی OpenAI نیز در نامهای به مجلس نمایندگان آمریکا، DeepSeek را به همان رفتار متهم کرده و نشان میدهد رقابت AI دیگر فقط تکنیکی نیست، بلکه جنبه سیاسی و قانونی هم پیدا کرده است.
3️⃣ معرفی ابزار جدید Anthropic مبتنی بر Claude برای تحلیل و بهینهسازی سامانههای قدیمی COBOL فشار شدیدی بر IBM وارد کرد و سهام این شرکت حدود ۱۳٪ افت داشت.
4️⃣ هر هفت بنیانگذار آنتروپیک پیشتر در OpenAI فعالیت داشتند؛
5️⃣ همزمان، طبق گزارش CNBC، نسخه V4 دیپسیک در آستانه رونمایی است؛ مدلی که از آن بهعنوان جهشی بزرگ یاد میشود. فشار روی شاخص NASDAQ Composite افزایش یافته و بازار خود را برای نوسانات شدید آماده کرده است.
🔸@Recomendersystem2023
Forwarded from DevTwitter | توییت برنامه نویسی
آنچه امروز در دنیای هوش مصنوعی مایه نگرانی شده، پدیدهای به نام Model Distillation (تقطیر مدل) است. شرکتهای بزرگ مثل Anthropic و OpenAI میلیاردها دلار هزینه میکنند تا مدلهای پیشرو (Frontier) مثل Claude یا GPT را آموزش دهند. بخش بزرگی از این هزینه صرف Alignment (تراز کردن اخلاقی) میشود تا مدل یاد بگیرد به درخواستهای خطرناک (ساخت بمب، حملات سایبری، بیوسلاح) پاسخ ندهد.
اما ماجرا اینجاست که بازیگران دیگر (از شرکتهای رقیب گرفته تا نهادهای نظامی و اطلاعاتی در کشورهایی مثل چین و به طور اخص در توییت Deepseek)، با استفاده از API این مدلها، صدها هزار سوال پیچیده از آنها میپرسند و پاسخها را ذخیره میکنند.
سپس یک مدل بومی و کوچکتر را بر اساس این پاسخها آموزش میدهند. نتیجه؟ مدل جدید، «هوش» مدل اصلی را به ارث میبرد، اما تمام گاردریلها و فیلترهای اخلاقی آن را جا میگذارد. این یعنی دستیابی به قدرت یک مدل فوقپیشرفته، بدون هیچ قید و بند امنیتی.
این یک دزدی معمولی نیست، این "توزیع بمب اتم دیجیتال" است. با Distill کردن مدلهایی مثل Claude، عملاً گاردریلها حذف میشوند و قابلیتهای خطرناک (بیوسلاح، سایبری، دیساینفورمیشن) مستقیماً به دست نهادهای نظارتی و نظامی میافتد. این یعنی دور زدن کامل کنترل صادرات چیپ و ایجاد یک تهدید نامتقارن که میتواند به فاجعه در زیرساختها ختم شود. وقت آن رسیده که جامعه AI این Proliferation را جدیتر از یک رقابت تجاری ببیند.
@DevTwitter | <Navid Taheri/>
اما ماجرا اینجاست که بازیگران دیگر (از شرکتهای رقیب گرفته تا نهادهای نظامی و اطلاعاتی در کشورهایی مثل چین و به طور اخص در توییت Deepseek)، با استفاده از API این مدلها، صدها هزار سوال پیچیده از آنها میپرسند و پاسخها را ذخیره میکنند.
سپس یک مدل بومی و کوچکتر را بر اساس این پاسخها آموزش میدهند. نتیجه؟ مدل جدید، «هوش» مدل اصلی را به ارث میبرد، اما تمام گاردریلها و فیلترهای اخلاقی آن را جا میگذارد. این یعنی دستیابی به قدرت یک مدل فوقپیشرفته، بدون هیچ قید و بند امنیتی.
این یک دزدی معمولی نیست، این "توزیع بمب اتم دیجیتال" است. با Distill کردن مدلهایی مثل Claude، عملاً گاردریلها حذف میشوند و قابلیتهای خطرناک (بیوسلاح، سایبری، دیساینفورمیشن) مستقیماً به دست نهادهای نظارتی و نظامی میافتد. این یعنی دور زدن کامل کنترل صادرات چیپ و ایجاد یک تهدید نامتقارن که میتواند به فاجعه در زیرساختها ختم شود. وقت آن رسیده که جامعه AI این Proliferation را جدیتر از یک رقابت تجاری ببیند.
@DevTwitter | <Navid Taheri/>
🔥1
Forwarded from نوشتههای ترمینالی
چرا تیم برنامه نویسی کند عمل میکنه؟ به دلایل مختلف،ولی معمولا هیچ کدوم «برنامه نویس تنبلی میکنه» نیست.
https://medium.com/javascript-scene/why-development-teams-are-slow-89107985c75c
https://medium.com/javascript-scene/why-development-teams-are-slow-89107985c75c
Medium
Why Development Teams are Slow
Common Software Jams and Solutions
🔥1
Forwarded from 𝗠𝗜𝗟𝗜𝗧𝗔𝗥𝗬 𝗘𝗬𝗘 | چشم نظامی (عضو اسبق داعش(انتحاری))
پایانی بر گزارش "هزینهبر بودن لشکرکشی ترامپ به منطقه"
🪖 @MilitaryEye | چشم نظامی
این روزها مرتباً یک گزاره توسط چند نفر که اسم خود را نظامینویس گذاشتهاند، تکرار میشود مبنی بر اینکه «انتقال این حجم از تسلیحات به منطقه برای ترساندن نیست و قطعاً برای حمله است ، زیرا فارغ از نوع و تعداد ناوگان مستقر در خاورمیانه ، حتی توجیه اقتصادی برای جابجایی این حجم از تجهیزات آنهم تنها به جهت ترساندن وجود ندارد.» این افراد مدام با این استدلالهای واهی، به جامعه ترس و دلنگرانی تزریق میکنند.
شاید پیش از هر چیز باید اشاره کرد که نقل و انتقال نیروها در این شرایط، چندان هم پرهزینه نیست. فناوریهای جدید سوخترسانی و مصرف سوخت، هزینه جابجایی هواپیماها را خیلی کم کرده است.
اما هزینه سنگین اصلی جای دیگری است: ناوگروهها. ناو هواپیمابر جرالد فورد باید زودتر به خانه برمیگشت تا دوره تعمیرات اساسیاش را شروع کند، اما این اتفاق نیفتاده. ماههاست که هشدار داده میشود این ناو نیاز به رسیدگی فوری دارد.
اگر بحث پول مطرح است، باید یادآوری کرد که ترامپ افزایش ۵۰ درصدی بودجه دفاعی را در نظر دارد. واشنگتنپست هم نوشته که مسئولان پنتاگون هنوز نمیدانند این همه پول اضافه را کجا خرج کنند! از طرفی، کنگره و سنا هر دو برای این افزایش بودجه توجیهی نمیبینند و لشکرکشی به منطقه، همان بهانهای را به ترامپ میدهد که برای اقناع آنها نیاز دارد.
نتیجه اینکه آنچه "لشکرکشی ترامپ" نامیده میشود ، اگر به جنگ یا عملیات محدود و موثر (نظیر آنچه در ونزوئلا دیدیم) منجر نشود ، ترامپ ضرری نخواهد کرد زیرا در اینصورت ، این لشکرکشی پر سروصدا یک راه خوب برای خرج کردن پول بودجه دفاعی ، خدمت به شرکتهای خصوصی طرف قرارداد پنتاگون و ساکت کردن نمایندگان مخالف افزایش بودجه نظامی خواهد بود.
🪖 @MilitaryEye | چشم نظامی
👍1👎1
Forwarded from tech-afternoon (Amin Mesbahi)
🪞روز مهندس، و داستان جناب هانسکریستیناندرسون که هنوز تمام نشده!
قرن ۱۹ میلادی، نویسنده سرشناس دانمارکی، در کنار داستانهای به ظاهر سادهای مثل دختر کبریتفروش یا جوجهاردک زشت، داستان لباس جدید پادشاه رو نوشت که احتمالا اکثر ما یا کتابش رو در کودکی خوندیم، یا کارتونش رو تماشا کردیم.
فکر میکنم بد نباشه جامعه مهندسی نرمافزار، گاهی جلو آیینه بایسته و ببینه که چقدر لُخت است! توی قصه «پادشاه لخت»، مشکل فقط یک پادشاه سادهلوح نبود. مسئله، یک اکوسیستم کامل بود:
- خیاطهای دروغین
- درباریان تأییدکننده
- جمعیتی که جرئت پرسیدن نداشت
و فقط یک کودک بود که گفت: چیزی تنش نیست!
اگر بخوایم صادق باشیم، ما هم در اکوسیستم نرمافزار، کم از اون دربار نداریم. و چقدر برای مناسب ظاهر شدن، نیاز به یادگیری و تلاش مضاعف داریم. خیاطهای دروغین امروز همیشه شیادهای بیرونی نیستن.
گاهی در لباس لیدر فنی ظاهر میشن که بدون threat model و بدون طراحی امنیتی، سیستم رو «production-ready» اعلام میکنن.
گاهی در قامت تیم محصول که زمان تحویل را بالاتر از امنیت و کیفیت مینشونن.
گاهی در نقش مدیر که بودجه آموزش، معماری، یا امنیت رو هزینه اضافی میدونن.
و گاهی هم در قامت مهندس باتجربهای که سالهاست چیز جدیدی یاد نگرفته ولی همچنان با اعتمادبهنفس حرف میزنه.
و درباریان؟
ما وقتی بدون خوندن دقیق PR رو تأیید میکنیم.
وقتی postmortem واقعی نمینویسیم.
وقتی ضعف امنیتی رو میدونیم ولی میگیم “بعداً درستش میکنیم”.
وقتی outage رو «اتفاق طبیعی» جا میزنیم.
مسئله این نیست که هک شدیم یا نشدیم. کند یا ناپایدار هستیم یا نه!
مسئله اینه که آیا اصول مهندسی رو جدی گرفتهایم یا نه.
اما سؤال جدی اینه:
چند تیم واقعاً اینها رو در عمل اجرا میکنند، نه فقط در رزومه؟
اگر بخواهیم جلوی آینه بایستیم، شاید بهتر باشد به جای شعار، این چکلیست رو از خودمون بپرسیم:
آیا ما اینها رو داریم؟
- اصول Security by Design، نه Security after Incident
- مفاهیم Threat Modeling مستند
- ساختار Secure SDLC واقعی، نه اسلاید پاورپوینت
- مکانیزمهای observability جدی
- ساختار Data Governance مشخص
- طبقهبندی داده و سیاست retention
- مدیریت دسترسی مبتنی بر اصل Least Privilege یا زیروتراست
- اصول Software Composition Analysis و مدیریت dependency
- ساختار Incident response plan تمرینشده
و...
اگر اینها نیست، ما فقط امیدواریم، مهندسی نمیکنیم.
روز مهندس شاید بیشتر از اونکه تبریک بخواد، احتیاج به صداقت داره.
صداقت با خودمون.
شاید وقتش باشه به جای تبریکهای شاعرانه، هرکدوممون یک ضعف مهندسی رو در تیممون جدی اصلاح کنیم. (جلو آینه بایستیم و لخت بودنمون رو ببینیم!)
لباس، با آرزو دوخته نمیشه.
با استاندارد، تمرین و مسئولیتپذیری دوخته میشه.
قرن ۱۹ میلادی، نویسنده سرشناس دانمارکی، در کنار داستانهای به ظاهر سادهای مثل دختر کبریتفروش یا جوجهاردک زشت، داستان لباس جدید پادشاه رو نوشت که احتمالا اکثر ما یا کتابش رو در کودکی خوندیم، یا کارتونش رو تماشا کردیم.
فکر میکنم بد نباشه جامعه مهندسی نرمافزار، گاهی جلو آیینه بایسته و ببینه که چقدر لُخت است! توی قصه «پادشاه لخت»، مشکل فقط یک پادشاه سادهلوح نبود. مسئله، یک اکوسیستم کامل بود:
- خیاطهای دروغین
- درباریان تأییدکننده
- جمعیتی که جرئت پرسیدن نداشت
و فقط یک کودک بود که گفت: چیزی تنش نیست!
اگر بخوایم صادق باشیم، ما هم در اکوسیستم نرمافزار، کم از اون دربار نداریم. و چقدر برای مناسب ظاهر شدن، نیاز به یادگیری و تلاش مضاعف داریم. خیاطهای دروغین امروز همیشه شیادهای بیرونی نیستن.
گاهی در لباس لیدر فنی ظاهر میشن که بدون threat model و بدون طراحی امنیتی، سیستم رو «production-ready» اعلام میکنن.
گاهی در قامت تیم محصول که زمان تحویل را بالاتر از امنیت و کیفیت مینشونن.
گاهی در نقش مدیر که بودجه آموزش، معماری، یا امنیت رو هزینه اضافی میدونن.
و گاهی هم در قامت مهندس باتجربهای که سالهاست چیز جدیدی یاد نگرفته ولی همچنان با اعتمادبهنفس حرف میزنه.
و درباریان؟
ما وقتی بدون خوندن دقیق PR رو تأیید میکنیم.
وقتی postmortem واقعی نمینویسیم.
وقتی ضعف امنیتی رو میدونیم ولی میگیم “بعداً درستش میکنیم”.
وقتی outage رو «اتفاق طبیعی» جا میزنیم.
مسئله این نیست که هک شدیم یا نشدیم. کند یا ناپایدار هستیم یا نه!
مسئله اینه که آیا اصول مهندسی رو جدی گرفتهایم یا نه.
من قبلاً دو اپیزود درباره تولید امن نرمافزار ساختم. درباره: SSDLC, STRIDE, Shift-left, SAST, DAST, IAST, RASP, SCA
در مورد بدهی فنی هم یه ویدیو کوتاه
اما سؤال جدی اینه:
چند تیم واقعاً اینها رو در عمل اجرا میکنند، نه فقط در رزومه؟
اگر بخواهیم جلوی آینه بایستیم، شاید بهتر باشد به جای شعار، این چکلیست رو از خودمون بپرسیم:
آیا ما اینها رو داریم؟
- اصول Security by Design، نه Security after Incident
- مفاهیم Threat Modeling مستند
- ساختار Secure SDLC واقعی، نه اسلاید پاورپوینت
- مکانیزمهای observability جدی
- ساختار Data Governance مشخص
- طبقهبندی داده و سیاست retention
- مدیریت دسترسی مبتنی بر اصل Least Privilege یا زیروتراست
- اصول Software Composition Analysis و مدیریت dependency
- ساختار Incident response plan تمرینشده
و...
اگر اینها نیست، ما فقط امیدواریم، مهندسی نمیکنیم.
روز مهندس شاید بیشتر از اونکه تبریک بخواد، احتیاج به صداقت داره.
صداقت با خودمون.
شاید وقتش باشه به جای تبریکهای شاعرانه، هرکدوممون یک ضعف مهندسی رو در تیممون جدی اصلاح کنیم. (جلو آینه بایستیم و لخت بودنمون رو ببینیم!)
لباس، با آرزو دوخته نمیشه.
با استاندارد، تمرین و مسئولیتپذیری دوخته میشه.
منظورم از اکوسیستم، فقط گروه خاصی نیست که ربطش بدیم به وقایع سیاسی و اجتماعی کنونی و بگیم اونا که از ما نیستن یا رفتنیاند و بعدش درستش میشه و از خودمون صلب مسئولیت کنیم.
از استارتاپهای متعدد خصوصی که هک شدن، تا بانک و سازمانی که با هک شدن دادههاش نابود شد و از روی پیامکها موجودی مردم رو بازسازی! کردن! تا نرمافزار دانشگاه تا... همه و همه گواهی بر لُختی جامعه نرم افزاریه!