Безопасная разработка является неотъемлемой частью непростого пути к безопасности приложений. И у всех руководителей и лидов R&D, кто задумывается о построении у себя AppSec, возникает вопрос — с чего же начать? А начать нужно с организации процессов: определить положение дел, понять, какие активности необходимо внедрить, какие оптимизировать, а какие убрать. В общем, оценить зрелость текущих процессов безопасной разработки и обозначить дальнейшие шаги в светлое AppSec-будущее компании. И тут на помощь нам приходят фреймворки по безопасной разработке.
Софт
Программное обеспечение
Расшифровка BitLocker — добыча ключа из микросхемы TPM
Подключение сниффера к модулю TPM по шине LPC
Полнодисковое шифрование BitLocker в ОС Windows считается довольно надёжным способом сохранения данных. По умолчанию оно использует алгоритм Advanced Encryption Standard (AES) в режиме сцепления блоков (CBC) или в режиме подстроенной кодовой книги с кражей шифротекста (XTS) на базе xor-encrypt-xor (XEX) со 128- или 256-битным ключом.
В теории это довольно крепкая схема. Проблема только в том, что секретный ключ BitLocker хранится в Trusted Platform Module (TPM), а в некоторых случаях (на некоторых компьютерах) его можно извлечь, получив физический доступ к устройству.
Германия снова делает попытку перехода с Windows и MS Office на Linux и LibreOffice. Почему не получилось в прошлый раз?
На днях стало известно о том, что в Германии реализуется проект, цель которого — перевести многие тысячи компьютеров в госучреждениях на открытое ПО. В частности, вместо Windows от Microsoft власти собираются установить один из дистрибутивов Linux, а Microsoft Office заменят на LibreOffice.
Инициатива в целом неплохая. Но это уже не первая попытка немцев перейти на открытое ПО. И предыдущие заканчивались не очень хорошо. Подробности — под катом.
LayerSlider WordPress CVE-2024-2879
WordPress - самый популярный CMS для создания сайтов. Поэтому появление уязвимостей в различных плагинах затрагивает множество пользователей по всему миру. Усугубляет общую картину и тот факт, что во многих плагинах отсутствует автоматическое обновление версий. Не исключением стал и плагин LayerSlider в котором была найдена уязвимость типа SQL-injection, получившая идентификатор CVE-2024-2879 и балл CVSS равный 9,8 (критический).
Давайте вместе с вами более детально рассмотрим данную уязвимость в нашей статье и покажем ее эксплуатацию.
Истории
МойОфис обновил цифровое рабочее пространство Squadus. В релизе 1.4 улучшены возможности для коммуникации команд
В 2023 году мы выпустили цифровое рабочее пространство Squadus. Продукт быстро приобрел популярность и стал востребованным: это полноценная замена решениям иностранных вендоров, ушедших с российского рынка. В частности, функциональность Squadus покрывает потребности пользователей сервиса Microsoft Teams, доступ к которому был ограничен в нашей стране. Приложение позволяет общаться в чатах, совместно работать над документами, проводить конференции и автоматизировать типовые действия с помощью Bot SDK. При этом все данные защищены от утечек.
Мы продолжаем активно совершенствовать Squadus; свежий релиз 1.4 — уже второе обновление в этом году. В нём мы сосредоточились на функциях, улучшающих взаимодействие участников команд и повышающих скорость совместной работы.
Теперь детально разберём важные обновления в релизе.
Программирование и ИТ во мгле, но это не точно
Приветствую хабравчане!
В данной статье хочу поделиться проблемами в ИТ. Высказать об этом своё мнение. Обсудить в комментариях, всё ли так плохо на самом деле и каков выход из данной ситуации. Меня не покидает ощущение, что мы как программисты, что то потеряли при очередном витке ИТ прогресса. Обсудим?
Кейс: переезд с Microsoft Dynamics CRM за 3 месяца
Дано: крупная торгово-производственная компания столкнулась с отключением от MS Dynamics CRM.
Задача: перенести все данные и подключить пользователей в ограниченные сроки, иначе данные будут утеряны.
Рассказываем, как мы прошли этот путь за три месяца. Статья будет полезна тем, кто тоже готовится в спешке переезжать с Microsoft.
Почему переезд на новое ПО — такая боль для сотрудников. С чем смириться и что можно улучшить
Эта статья для тех, кто хоть раз организовывал переезд на новое ПО на работе. И не важно, что это было — Notion в стартапе, Jira для разработки или пачка отдельных SaaS-систем.
В процессе жизни и роста любой компании приходится перетасовывать, объединять, менять системы, на которых уже сложились процессы команд, и это всегда неприятно.
На правах специалиста с десятилетним стажем внедрения B2B-систем разного формата, а также продуктового (UI/UX) дизайнера, я постараюсь сформулировать боли общего процесса переезда и частые ошибки. Расскажу, чего нельзя избежать, а что можно сделать лучше.
И два года не прошло: вышел релиз NetBSD 10.0. Что добавили и изменили в этой ОС?
И снова с нами релиз NetBSD, на этот раз десятый. Со времени предыдущего прошло полтора года, так что обновлений, дополнений и прочих изменений достаточно много. Уже готовы загрузочные образы сразу для 57 разных архитектур и 16 семейств процессоров. Ознакомиться с релизом можно вот здесь, а пока давайте посмотрим, что там интересного. Подробности — под катом.
МойОфис выпустил крупное обновление 2.8: больше 250 улучшений для эффективной работы с документами и почтой
В МойОфис мы регулярно ориентируемся на опыт пользователей: учитываем их потребности и пожелания при разработке свежих продуктовых релизов. Сегодня мы выпустили большое обновление 2.8, которое привнесло массу новых возможностей в наши настольные, мобильные и веб-приложения, а также серверные системы.
В «МойОфис Частное Облако 2» стало еще удобнее и безопаснее управлять файлами, редакторы «МойОфис Стандартный 2» получили новые функции для работы с текстами и таблицами, а в «МойОфис Почта 2» появилось больше возможностей, связанных с использованием календаря и обработкой писем. Кроме того, в рамках отдельного релиза 1.4. мы улучшили мобильное приложение «МойОфис Документы» на ОС Аврора, востребованной сегодня в корпоративной среде.
Под катом рассказываем, что именно мы добавили и оптимизировали в случае с каждым продуктом — и для каких офисных задач могут быть полезны эти изменения.
Сведения о доступности в Carbonio
Сведения о доступности пользователей - важная составляющая часть работы с календарем. Данные сведения позволяют выбирать дату и время встречи таким образом, чтобы во время ее проведения все её участники не были заняты и могли полноценно принимать в ней участие. Carbonio поддерживает отображение данных о занятости не только в веб-клиенте, но и в сторонних приложениях. В данной статье расскажем о том, как настроить отображение занятости пользователей в веб-клиенте, MS Outlook, Mozilla Thunderbird, Apple Calendar и на мобильных устройствах.
Практика замены MS Office: 4 ситуации, когда это невозможно…но вполне получается
Привет! На связи Саша Безноздрев, ведущий инженер-разработчик К2Тех. Тематика замены продуктов Microsoft для корпоративных пользователей лежит сегодня на поверхности. Действительно, как быть, если вендор планирует аннулировать все подписки и отключить все, до чего сможет дотянуться, уже в ближайшее время? Но на самом деле проблему замены именно офисного пакета (то есть MS Office или MS 365, если пожелаете) мы в К2Тех прорабатываем уже очень давно. В этой статье я хочу поделиться опытом подобных проектов, рассказать о том, почему замена MS Office часто идет со скрипом, а также поднять вопросы (с ответами) — «кто виноват?», и «что теперь делать?». Под катом — примеры, когда заменить MS казалось нереальной задачей, но в итоге стало только лучше!
Раздача файлов на смартфоны без интернета. Опенсорсные альтернативы AirDrop
Формулировка задачи. У нас есть настольный компьютер и мобильные устройства под Android. Задача простая — как быстро перебросить файлы с компьютера на телефоны и планшеты. Например, скачанные подкасты и HD-фильмы 1080p, файлы apk для установки, рабочие файлы с персоналки, бэкапы. Хранилище телефона можно использовать как резервный внешний диск или как «беспроводную» флешку, которая работает по Wi-Fi.
Конечно, можно это сделать через веб-сервисы Wormhole/PairDrop/FilePizza, через телеграм/вайбер или инструменты синхронизации ПК и смартфона, такие как syncthing. Да, это удобно и привычно. Но процесс можно 1) ускорить; 2) избавиться от подключения к интернету. То есть файлы будут передаваться напрямую между устройствами, как Apple AirDrop, только лучше.
Ближайшие события
Гибкость ― это важно: как мы «расхардкорили» поля в карточке устройства и какие возможности это дает нашим пользователям
Привет! Команда продукта «Инферит ИТмен» в этой статье делится небольшим, но очень важным для нашего софта релизом. Мы всегда ориентируемся на запросы наших пользователей и дорабатываем фичи в продукте, которые реально нужны клиентам.
Одним из таких запросов была возможность самостоятельно кастомизировать поля в карточке инвентаризационной единицы. Сказано ― сделано, и теперь ― обо всём по порядку.
Добавление GAL в учетные записи Carbonio
Одной из главных функций корпоративного сервера является глобальная адресная книга GAL - список почтовых адресов всех сотрудников предприятий, который позволяет организовать эффективную коммуникацию между ними. В настоящее время по умолчанию в Carbonio GAL доступен только в виде автозаполнения. Начиная набирать данные нужного сотрудника пользователь получает предложения для автозаполнения контакта и может выбрать нужный из списка. Многие администраторы предпочитают, чтобы у пользователей имелась регулярно обновляемая адресная книга, в которой автоматически появлялись и были доступны для выбора контакты всех сотрудников организации. В данной статье мы расскажем о различных способах добавления такой адресной книги в учетные записи пользователей Carbonio.
Альтернатива Jira и Microsoft Project? Обзор управления проектами в российской системе «Первая Форма»
Дисклеймер: моя цель — не лиды для отдела продаж. Меня зовут Алёна, уже пять лет я работаю в «Первой Форме» руководителем проектов. Хочу рассказать, как устроена та часть ПО, где я работаю ежедневно. Надеюсь, мой опыт поможет другим руководителям проектов облегчить себе жизнь в отсутствии Джиры и Проджекта. Итак, начинаем обзор.
Как постить в Telegram и писать на e-mail с личного аккаунта при помощи программных роботов
Свежая порция лайфхаков от программного роботизатора. Расскажу про трёх бесплатных роботов, которые могут делать автоматические рассылки и отправлять письма с личного аккаунта без использования внешних сервисов, чат‑ботов и прочих посредников.
1. Как автоматически собрать текстовый и визуальный контент из разных источников, сформировать из этого пост и опубликовать его в Telegram-сообществе в заданное время.
2. Как отправить много писем с вложениями с личного почтового ящика по списку адресов из XLS-файла так, чтобы каждый получил персональное обращение, причём для одного оно будет «Дорогой друг», а для другого — «Многоуважаемый Иван Иваныч».
3. Как быстро выкачать все вложения из писем. А бонусом – как ещё и рассортировать поступившие вложения по папкам.
Почему в 2024 году у кого-то ещё нет CRM?
Энто как же, вашу мать,
Извиняюсь, понимать?
/Л. Филатов/
Представьте себе: вы приходите в офис компании, а там бухгалтер сидит над главной книгой, правой рукой попеременно откладывает ручку и щёлкает деревянными костяшками на больших счётах. Предварительные данные записаны карандашом и, если что, стираются огромным серо-голубым ластиком «Архитектор». Часть оборотных средств лежит в сейфе в кабинете бухгалтера, а за остальными он или она ходит пару раз в месяц в банк, где заполняет от руки платёжное поручение из специального ящичка. Скорее всего, вы решите, что видите сон из детства или какой-то бред (зависит от года рождения). И для 2024 года это и правда бред. Но поставить компьютеры каждому сотруднику не значит начать работать продуктивно, с другим результатом. Вот это вполне себе данность для компаний малого и даже среднего бизнеса.
ChatGPT для изучения программирования. Не очевидные примеры
Сценарии использования ИИ для учебы на поверхности. Тот же ChatGPT как стандарт по умолчанию студенты (да и преподаватели тоже) используют для написания текстов (рефераты, курсовые, дипломы и тому подобное), для анализа данных, изучения языков и, конечно же, для решения задач. Поговорим же здесь про то, как можно использовать ChatGPT для обучения программированию. Типично, студенты и школьники «скармливают» чату условие своей задачки, а на выходе получают код программы на требуемом языке. Часто чат дает еще и объяснения основных моментов в коде, рассказывает про алгоритм. Так можно учиться программированию, имея под боком «умного» консультанта. Не всегда, правда, код чата адекватен, а решения полные. Но, это очевидные вещи. Попробуем тут составить список примеров, которые могут быть полезны и тем, кто изучает программирование и тем кто учит. Начнем с простого.
Ищем альтернативу SharePoint среди российских решений. Обзор «Первой Формы»
Всем привет! Меня зовут Саша Бойко, я бизнес-аналитиков «Первой Формы». В этой статье я хочу сравнить функциональные возможности этих двух решений для организации совместной работы. В 2023 году мы несколько раз проводили такое импортозамещение, и вот, когда Microsoft совсем уходит, настал идеальный момент расписать, почему «Первая Форма» — адекватная замена SharePoint.
Вклад авторов
alizar 9695.4marks 3294.8Seleditor 2013.0Yconilev 1262.0m1rko 1099.2GlobalSign_admin 1079.4divolko3 1057.3host_m 980.0ru_vds 959.0myoffice_ru 942.0