#prog #amazingopensource
libriscv is a simple, slim and complete sandbox that is highly embeddable and configurable. It is a specialty emulator that specializes in low-latency, low-footprint emulation. libriscv may be the only one of its kind. Where other solutions routinely require ~50-150ns to call a VM function and return, libriscv requires 3ns. libriscv is also routinely faster than other interpreters, JIT-compilers and binary translators. libriscv has specialized APIs that make passing data in and out of the sandbox safe and low-latency.(thanks @itpgchannel)
🔥5👍1🎉1
#prog #cpp #article
C++26: no more UB in lexing
(на практике, правда, главные реализации и так нормально такой код обрабатывали)
C++26: no more UB in lexing
(на практике, правда, главные реализации и так нормально такой код обрабатывали)
Sandor Dargo’s Blog
C++26: no more UB in lexing
If you ever used C++, for sure you had to face undefined behaviour. Even though it gives extra freedom for implementers, it’s dreaded by developers as it may cause havoc in your systems and it’s better to avoid it if possible. Surprisingly, even the lexing…
🤣9😁2🤯1
Forwarded from лингвист реалист
Госдума приняла закон ...
...да-да, очередной... нет, не о улучшении жизни населения, защите малоимущих, дружбе и жвачке, а о полном запрете на образовательную деятельность для иноагентов.
Раньше им запрещали работать только с детьми — чтобы, не дай бог, не рассказали в кружке «Юный эколог» что-нибудь подрывное вроде «сортировать мусор полезно». А теперь и взрослым россиянам довериться себе нельзя. Дядям и тётям из Думы лучше знать. Вдруг взрослые россияне чему-то полезному научатся у злых иноагентов: по слогам читать слова, к четырём прибавить два, а может даже причины и следствия правильно сопоставлять.
Теперь лекции, мастер-классы, семинары и даже ламповые посиделки в формате «вот вам список книг, что мне помогли» — табу. Всё, что пахнет образованием, будь то карточки в телеграмном посте или комментарий под ним, для иноагентов запрещено. Не выполнить им их коварные планы!
Кстати, этот потрясающий закон вступает в силу с 1 сентября. Символично. Это такая издёвка, я правильно понимаю?
Так что если вы давно думали, что «прочту книгу/пройду курс потом», этого "потом" может не случиться. Потом будет «Репка» и патриотическая рисовалка.
...да-да, очередной... нет, не о улучшении жизни населения, защите малоимущих, дружбе и жвачке, а о полном запрете на образовательную деятельность для иноагентов.
Раньше им запрещали работать только с детьми — чтобы, не дай бог, не рассказали в кружке «Юный эколог» что-нибудь подрывное вроде «сортировать мусор полезно». А теперь и взрослым россиянам довериться себе нельзя. Дядям и тётям из Думы лучше знать. Вдруг взрослые россияне чему-то полезному научатся у злых иноагентов: по слогам читать слова, к четырём прибавить два, а может даже причины и следствия правильно сопоставлять.
Теперь лекции, мастер-классы, семинары и даже ламповые посиделки в формате «вот вам список книг, что мне помогли» — табу. Всё, что пахнет образованием, будь то карточки в телеграмном посте или комментарий под ним, для иноагентов запрещено. Не выполнить им их коварные планы!
Кстати, этот потрясающий закон вступает в силу с 1 сентября. Символично. Это такая издёвка, я правильно понимаю?
Так что если вы давно думали, что «прочту книгу/пройду курс потом», этого "потом" может не случиться. Потом будет «Репка» и патриотическая рисовалка.
🤡32💩6🌚6❤2👍2🤬2😁1🍌1
Forwarded from AlexRedSec
Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
1️⃣ Манипуляции с бенчмарками и искусственные условия тестирования.
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
2️⃣ Низкие реальные показатели обнаружения уязвимостей статическими анализаторами.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
3️⃣ Высокий уровень ложных срабатываний.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
4️⃣ Ограничения покрытия при использовании методов черного ящика.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
5️⃣ Сложности интеграции и настройки инструментов в CI/CD-средах.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
🟢 Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах?
🟢 Проверялся ли инструмент на ранее неизвестных уязвимостях?
🟢 Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений?
🟢 Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение?
🟢 Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора?
Рекомендуемые критерии выбора и оценки инструментов:
🟠 Эмпирическая обоснованность.
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
🟠 Прозрачность покрытия.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
🟠 Влияние на разработчиков.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
🟠 Интеграция и эксплуатация.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
🟠 Комплементарность.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов:
Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей.
Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО.
Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов.
Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях.
Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями.
Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения:
Рекомендуемые критерии выбора и оценки инструментов:
Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями.
Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента.
Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки.
Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные
расходы.
Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов.
#vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm
Please open Telegram to view this post
VIEW IN TELEGRAM
🤷4😱3❤🔥2👍1🤔1
Forwarded from Постироничные идеи для ебаного C++ (Ivan Sokolov (2))
/* /* */
#include <fmt/core.h>
int main() {
fmt::println("Hello C++!");
auto _ = R"(*/
fn main() {
println!("Hello Rust!");
const _:&str = ")";
}
$ g++ -x c++ code.rspp -lfmt -o as-cxx && ./as-cxx
Hello C++!
$ rustc code.rspp -o as-rs && ./as-rs
Hello Rust!
😁15👍4🥴4🔥2
Forwarded from Постироничные идеи для ебаного C++ (Ivan Sokolov (2))
Постироничные идеи для ебаного C++
/* /* */ #include <fmt/core.h> int main() { fmt::println("Hello C++!"); auto _ = R"(*/ fn main() { println!("Hello Rust!"); const _:&str = ")"; } $ g++ -x c++ code.rspp -lfmt -o as-cxx && ./as-cxx Hello C++! $ rustc code.rspp -o as-rs && ./as-rs …
как вы могли догадаться, весь секрет в
R"(: в C++ так обозначается начало литерала с кодом на Rust😁19🤣9
D&D би лайк:
Мастер, а достать мозг [из расколотого черепа гоблина] является свободным действием?
😁6👍1😐1
Forwarded from Tech Crimes (Architector #4)
🤡17💩8🎉2