#prog #article
The Configuration Complexity Clock
Немного про то, как отказ от хардкода может в конечном счёте привести к тем же проблемам, что и хардкод.
The Configuration Complexity Clock
Немного про то, как отказ от хардкода может в конечном счёте привести к тем же проблемам, что и хардкод.
I’m not saying that it’s never appropriate to implement complex configuration, a rules-engine or a DSL, <...> but I am saying that you should understand the implications and recognise where you are on the clock before you go down that route.
👍1🤡1
Вот вы сегодня отмечаете — а знаете, что сегодня за день?
Правильно,день рождения Гитлера .
Правильно,
🌚15👎7👍3🤮2👌2🫡2🤡1
Forwarded from Голый землекоп
Не могу молчать!) какая же оголтелая жеребятина...
Обложка журнала Time: "Это - ужасный волк. Первый, что родился за последние 10000 лет".
Сейчас вы увидите сотни таких заголовков. Речь о новом эксперименте компании Colossal -- и опять без всякого рецензирования независимыми специалистами.
Но даже в самой комплиментарной заметке в NewYorker, научный директор этого проекта легендарная и выдающаяся Бет Шапиро признает: да, мы взяли просто яйцеклетку волка, и произвели в ней несколько замен. Да, мы хотели получить белую шерсть, какая была у ужасного волка. Но нет, мы не стали копировать ген белой окраски ужасного волка (который мы прочитали из ископаемого зуба ужасного волка) - мы просто знаем ген белой окраски у современного волка, вот его мы и задействуем. Это не совсем воскрешение? Ну почему, это функциональное воскрешение. Мы получили ФЕНОПТИП ужасного волка.
Это как если бы они хотели воскресить вымершую рыбу, прочитали бы ее геном, а потом плюнули бы на него. Просто взяли бы мышь, и сделали ей вместо лап - ласты как у тюленя, потому что они знают, как у тюленя получаются ласты. И все это назвали бы ФЕНОТИПОМ рыбы.
В прессе есть туманные указания на присутствие в геноме этих волчат все же нескольких прямых заимствований из генома ужасного волка. Но во-первых мы должны принять это на веру, во-вторых - нам также нужно верить, что эти замены привели действительно к воссозданию вымершего фенотипа, если только авторы в курсе что значит это слово.
Это идеальная иллюстрация мира пост-правды. Причем итог может быть неоднозначным: (1) они собирают большие инвестиции, в группе работает 140 ученых (2) они отрываются от контроля независимых экспертов, а значит обязательно врут себе и инвесторам и в мелочах и по-крупному (3) они попутно могут делать серьезные прорывы в технологиях, у которых будут медицинские применения.
Постправда как она есть.
Обложка журнала Time: "Это - ужасный волк. Первый, что родился за последние 10000 лет".
Сейчас вы увидите сотни таких заголовков. Речь о новом эксперименте компании Colossal -- и опять без всякого рецензирования независимыми специалистами.
Но даже в самой комплиментарной заметке в NewYorker, научный директор этого проекта легендарная и выдающаяся Бет Шапиро признает: да, мы взяли просто яйцеклетку волка, и произвели в ней несколько замен. Да, мы хотели получить белую шерсть, какая была у ужасного волка. Но нет, мы не стали копировать ген белой окраски ужасного волка (который мы прочитали из ископаемого зуба ужасного волка) - мы просто знаем ген белой окраски у современного волка, вот его мы и задействуем. Это не совсем воскрешение? Ну почему, это функциональное воскрешение. Мы получили ФЕНОПТИП ужасного волка.
Это как если бы они хотели воскресить вымершую рыбу, прочитали бы ее геном, а потом плюнули бы на него. Просто взяли бы мышь, и сделали ей вместо лап - ласты как у тюленя, потому что они знают, как у тюленя получаются ласты. И все это назвали бы ФЕНОТИПОМ рыбы.
В прессе есть туманные указания на присутствие в геноме этих волчат все же нескольких прямых заимствований из генома ужасного волка. Но во-первых мы должны принять это на веру, во-вторых - нам также нужно верить, что эти замены привели действительно к воссозданию вымершего фенотипа, если только авторы в курсе что значит это слово.
Это идеальная иллюстрация мира пост-правды. Причем итог может быть неоднозначным: (1) они собирают большие инвестиции, в группе работает 140 ученых (2) они отрываются от контроля независимых экспертов, а значит обязательно врут себе и инвесторам и в мелочах и по-крупному (3) они попутно могут делать серьезные прорывы в технологиях, у которых будут медицинские применения.
Постправда как она есть.
🥴9👍4👎2🤔1🤡1
#prog #amazingopensource
libriscv is a simple, slim and complete sandbox that is highly embeddable and configurable. It is a specialty emulator that specializes in low-latency, low-footprint emulation. libriscv may be the only one of its kind. Where other solutions routinely require ~50-150ns to call a VM function and return, libriscv requires 3ns. libriscv is also routinely faster than other interpreters, JIT-compilers and binary translators. libriscv has specialized APIs that make passing data in and out of the sandbox safe and low-latency.(thanks @itpgchannel)
🔥5👍1🎉1
#prog #cpp #article
C++26: no more UB in lexing
(на практике, правда, главные реализации и так нормально такой код обрабатывали)
C++26: no more UB in lexing
(на практике, правда, главные реализации и так нормально такой код обрабатывали)
Sandor Dargo’s Blog
C++26: no more UB in lexing
If you ever used C++, for sure you had to face undefined behaviour. Even though it gives extra freedom for implementers, it’s dreaded by developers as it may cause havoc in your systems and it’s better to avoid it if possible. Surprisingly, even the lexing…
🤣9😁2🤯1
Forwarded from лингвист реалист
Госдума приняла закон ...
...да-да, очередной... нет, не о улучшении жизни населения, защите малоимущих, дружбе и жвачке, а о полном запрете на образовательную деятельность для иноагентов.
Раньше им запрещали работать только с детьми — чтобы, не дай бог, не рассказали в кружке «Юный эколог» что-нибудь подрывное вроде «сортировать мусор полезно». А теперь и взрослым россиянам довериться себе нельзя. Дядям и тётям из Думы лучше знать. Вдруг взрослые россияне чему-то полезному научатся у злых иноагентов: по слогам читать слова, к четырём прибавить два, а может даже причины и следствия правильно сопоставлять.
Теперь лекции, мастер-классы, семинары и даже ламповые посиделки в формате «вот вам список книг, что мне помогли» — табу. Всё, что пахнет образованием, будь то карточки в телеграмном посте или комментарий под ним, для иноагентов запрещено. Не выполнить им их коварные планы!
Кстати, этот потрясающий закон вступает в силу с 1 сентября. Символично. Это такая издёвка, я правильно понимаю?
Так что если вы давно думали, что «прочту книгу/пройду курс потом», этого "потом" может не случиться. Потом будет «Репка» и патриотическая рисовалка.
...да-да, очередной... нет, не о улучшении жизни населения, защите малоимущих, дружбе и жвачке, а о полном запрете на образовательную деятельность для иноагентов.
Раньше им запрещали работать только с детьми — чтобы, не дай бог, не рассказали в кружке «Юный эколог» что-нибудь подрывное вроде «сортировать мусор полезно». А теперь и взрослым россиянам довериться себе нельзя. Дядям и тётям из Думы лучше знать. Вдруг взрослые россияне чему-то полезному научатся у злых иноагентов: по слогам читать слова, к четырём прибавить два, а может даже причины и следствия правильно сопоставлять.
Теперь лекции, мастер-классы, семинары и даже ламповые посиделки в формате «вот вам список книг, что мне помогли» — табу. Всё, что пахнет образованием, будь то карточки в телеграмном посте или комментарий под ним, для иноагентов запрещено. Не выполнить им их коварные планы!
Кстати, этот потрясающий закон вступает в силу с 1 сентября. Символично. Это такая издёвка, я правильно понимаю?
Так что если вы давно думали, что «прочту книгу/пройду курс потом», этого "потом" может не случиться. Потом будет «Репка» и патриотическая рисовалка.
🤡32💩6🌚6❤2👍2🤬2😁1🍌1
Forwarded from AlexRedSec
Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣ Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣ Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣ Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣ Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣ Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢 Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢 Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢 Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢 Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢 Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?
Рекомендуемые критерии выбора и оценки инструментов:
🟠 Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠 Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠 Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠 Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠 Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
Рекомендуемые критерии выбора и оценки инструментов:
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
🤷4😱3❤🔥2👍1🤔1