Forwarded from лингвист реалист
Госдума приняла закон ...
...да-да, очередной... нет, не о улучшении жизни населения, защите малоимущих, дружбе и жвачке, а о полном запрете на образовательную деятельность для иноагентов.
Раньше им запрещали работать только с детьми — чтобы, не дай бог, не рассказали в кружке «Юный эколог» что-нибудь подрывное вроде «сортировать мусор полезно». А теперь и взрослым россиянам довериться себе нельзя. Дядям и тётям из Думы лучше знать. Вдруг взрослые россияне чему-то полезному научатся у злых иноагентов: по слогам читать слова, к четырём прибавить два, а может даже причины и следствия правильно сопоставлять.
Теперь лекции, мастер-классы, семинары и даже ламповые посиделки в формате «вот вам список книг, что мне помогли» — табу. Всё, что пахнет образованием, будь то карточки в телеграмном посте или комментарий под ним, для иноагентов запрещено. Не выполнить им их коварные планы!
Кстати, этот потрясающий закон вступает в силу с 1 сентября. Символично. Это такая издёвка, я правильно понимаю?
Так что если вы давно думали, что «прочту книгу/пройду курс потом», этого "потом" может не случиться. Потом будет «Репка» и патриотическая рисовалка.
...да-да, очередной... нет, не о улучшении жизни населения, защите малоимущих, дружбе и жвачке, а о полном запрете на образовательную деятельность для иноагентов.
Раньше им запрещали работать только с детьми — чтобы, не дай бог, не рассказали в кружке «Юный эколог» что-нибудь подрывное вроде «сортировать мусор полезно». А теперь и взрослым россиянам довериться себе нельзя. Дядям и тётям из Думы лучше знать. Вдруг взрослые россияне чему-то полезному научатся у злых иноагентов: по слогам читать слова, к четырём прибавить два, а может даже причины и следствия правильно сопоставлять.
Теперь лекции, мастер-классы, семинары и даже ламповые посиделки в формате «вот вам список книг, что мне помогли» — табу. Всё, что пахнет образованием, будь то карточки в телеграмном посте или комментарий под ним, для иноагентов запрещено. Не выполнить им их коварные планы!
Кстати, этот потрясающий закон вступает в силу с 1 сентября. Символично. Это такая издёвка, я правильно понимаю?
Так что если вы давно думали, что «прочту книгу/пройду курс потом», этого "потом" может не случиться. Потом будет «Репка» и патриотическая рисовалка.
🤡32💩6🌚6❤2👍2🤬2😁1🍌1
Forwarded from AlexRedSec
Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣ Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣ Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣ Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣ Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣ Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢 Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢 Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢 Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢 Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢 Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?
Рекомендуемые критерии выбора и оценки инструментов:
🟠 Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠 Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠 Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠 Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠 Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
Рекомендуемые критерии выбора и оценки инструментов:
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
🤷4😱3❤🔥2👍1🤔1
Forwarded from Постироничные идеи для ебаного C++ (Ivan Sokolov (2))
/* /* */
#include <fmt/core.h>
int main() {
fmt::println("Hello C++!");
auto _ = R"(*/
fn main() {
println!("Hello Rust!");
const _:&str = ")";
}
$ g++ -x c++ code.rspp -lfmt -o as-cxx && ./as-cxx
Hello C++!
$ rustc code.rspp -o as-rs && ./as-rs
Hello Rust!
😁15👍4🥴4🔥2
Forwarded from Постироничные идеи для ебаного C++ (Ivan Sokolov (2))
Постироничные идеи для ебаного C++
/* /* */ #include <fmt/core.h> int main() { fmt::println("Hello C++!"); auto _ = R"(*/ fn main() { println!("Hello Rust!"); const _:&str = ")"; } $ g++ -x c++ code.rspp -lfmt -o as-cxx && ./as-cxx Hello C++! $ rustc code.rspp -o as-rs && ./as-rs …
как вы могли догадаться, весь секрет в
R"(: в C++ так обозначается начало литерала с кодом на Rust😁19🤣9
D&D би лайк:
Мастер, а достать мозг [из расколотого черепа гоблина] является свободным действием?
😁6👍1😐1
Forwarded from Tech Crimes (Architector #4)
🤡17💩8🎉2
Forwarded from StringConcat - разработка без боли и сожалений (Евгений)
Немножечко откровений от Капитана Очевидность.
Как вы наверное в курсе, существует 2 способа задания идентификаторов.
- Естественные идентификаторы, которые натурально идентифицируют объект. Н-р СНИЛС, SSN, номер паспорта.
- Суррогатные идентификаторы, которые вводятся для того, чтобы просто различать сущности друг от друга (вообще, некоторые деятели считают идентификаторы протекающей абстракцией, но сейчас не об этом).
Когда-то я пытался опираться на естестенные идшки, но довольно часто что-то шло не так, а именно:
- идентификатор был не совсем уникальный, хотя клялись что такого быть не может
- идентификатор был внесен с ошибкой
- идентификатор оказался изменяемым по мере развития системы и предметной области
- или идентификатор вообще перестал быть идентификатором
Надеюсь вы понимаете, какое количество усилий нужно, чтобы внести подобные изменения в систему
На днях снова приключилась ситуация, когда натуральный идентификатор стал неуникальным. Суть такова. Есть устройство, его серийный номер глобально уникален. Отличный кандидат для естественного ключа. Но вдруг появляется сценарий, когда устройство нужно перенести в другую группу (юрлицо), при этом из старой оно исчезнуть не должно, ибо должна остаться отчетость и история, связаная с ним. И наш уникальный ключ становится уникальным только в пределах группы. Самое фиговое, когда в такой ситуации ключ уже протек в другие системы. Поэтому мое эмпирическое правило - всегда делай суррогатный, даже кажется, что есть отличный кандидат для естественного
Как вы наверное в курсе, существует 2 способа задания идентификаторов.
- Естественные идентификаторы, которые натурально идентифицируют объект. Н-р СНИЛС, SSN, номер паспорта.
- Суррогатные идентификаторы, которые вводятся для того, чтобы просто различать сущности друг от друга (вообще, некоторые деятели считают идентификаторы протекающей абстракцией, но сейчас не об этом).
Когда-то я пытался опираться на естестенные идшки, но довольно часто что-то шло не так, а именно:
- идентификатор был не совсем уникальный, хотя клялись что такого быть не может
- идентификатор был внесен с ошибкой
- идентификатор оказался изменяемым по мере развития системы и предметной области
- или идентификатор вообще перестал быть идентификатором
Надеюсь вы понимаете, какое количество усилий нужно, чтобы внести подобные изменения в систему
На днях снова приключилась ситуация, когда натуральный идентификатор стал неуникальным. Суть такова. Есть устройство, его серийный номер глобально уникален. Отличный кандидат для естественного ключа. Но вдруг появляется сценарий, когда устройство нужно перенести в другую группу (юрлицо), при этом из старой оно исчезнуть не должно, ибо должна остаться отчетость и история, связаная с ним. И наш уникальный ключ становится уникальным только в пределах группы. Самое фиговое, когда в такой ситуации ключ уже протек в другие системы. Поэтому мое эмпирическое правило - всегда делай суррогатный, даже кажется, что есть отличный кандидат для естественного
👍33🤡3
Forwarded from Segment@tion fault
С платформы мониторинга сотрудников WorkComposer утекли 21 миллион скриншотов, где может быть код, пароли и всякое другое NDA. Галерщики в панике.
https://cybernews.com/security/employee-monitoring-app-leaks-millions-screenshots/
https://cybernews.com/security/employee-monitoring-app-leaks-millions-screenshots/
🤩11🤣11🤯2🔥1
Блог*
#prog #rust #dotnet #article Rust panics under the hood, and implementing them in .NET Или немного о том, почему наивная трансляция раскрутки стека в исключения .NET в некоторых случаях вызывала замедление на порядок.
#prog #rust #article
Implementation of Rust panics in the standard library
Реализация паник складывается из двух вещей: генерируемой компилятором информации о действиях, которые необходимо сделать при раскрутке стека, и рантайм-поддержки. Эта статья рассказывает про второе — точнее, про ту часть, которая в std, а заодно рассказывает, почему это так много кода.
Implementation of Rust panics in the standard library
Реализация паник складывается из двух вещей: генерируемой компилятором информации о действиях, которые необходимо сделать при раскрутке стека, и рантайм-поддержки. Эта статья рассказывает про второе — точнее, про ту часть, которая в std, а заодно рассказывает, почему это так много кода.
👍6
Forwarded from Generative Anton
This media is not supported in your browser
VIEW IN TELEGRAM
🤡24😁8🌚3