Тестирование IT-систем *

«Тинькофф» приглашает в апреле на Tinkoff CTF (Capture the Flag) — ежегодные международные соревнования по спортивному хакингу для IT-специалистов.

Принять участие в онлайн- и офлайн-формате (в центрах разработки «Тинькофф») могут как эксперты в теме ИБ, так и разработчики, SRE, QA-инженеры, аналитики и другие специалисты.

Мероприятие в этом году пройдёт 20 и 21 апреля в 16 городах России, Беларуси и Казахстана.

В основе Tinkoff CTF лежит механика соревнований по спортивному хакингу с заданиями, построенными на современных мемах и отсылках к массовой культуре. В прошлом году Tinkoff CTF собрал более 6800 участников в разных городах России и Беларуси.

Маскот текущих соревнований — капибара (одно из самых популярных животных в массовой культуре за последние годы). Также в этом году новым символом соревнований стал Гиперкуб, тайну которого предстоит разгадать участникам. На каждой его грани — загадки из других миров, которые необходимо разгадать командам.

Например, командам предстоит:

— найти вирус на сайте любителей окрошки и восстановить исходную рецептуру;

— усмирить сверхразумного Кота Да Винчи;

— помочь Шерлоку восстановить взломанную базу и найти всех преступников и многое другое.

В основе всех сценариев — задания на веб-безопасность, безопасность мобильных приложений, инфраструктуры, криптографию и общие задания на хакерский кругозор и смекалку. За правильные решения участники будут получать достижения и очки. Победят команды, которые наберут максимум очков.

Вышла стабильная версия свободного программного сетевого анализатора Wireshark 4.2.4.

Версия 4.0.0 популярного сетевого инструмента вышла 4 октября 2022 года. Стабильный релиз Wireshark 1.0.0 состоялся в 2008 году. Код проекта распространяется под стандартной общественной лицензией GPLv2.

В Wireshark 4.2.4 исправлены ранее обнаруженные ошибки и уязвимости, а также обновлена поддержка протоколов: 5GLI, 6LoWPAN, AFP, AllJoyn, AMQP, ASAP, Babel, BACnet, Banana, BEEP, Bencode, BFCP, BGP, BT BNEP, BT SDP, BT-DHT, BVLC, CFLOW, CIP, CMIP, CMP, COROSYNC/TOTEMSRP, COSE, CQL, CSN.1, DAP, DCCP, DCOM, DHCPv6, DICOM, DISP, DOCSIS MAC MGMT, DOF, DVB-S2, E2AP, EDONKEY, ENRP, ErlDP, Etch, EXTREME MESH, FC-SWILS, GIOP, GLOW , GNW, GOOSE, GQUIC, Gryphon, GSM A-bis OML, GSUP, GTPv2, H.223, H.225.0, H.245, H.248, H.264, H.265, HSMS, ICMPv6, ICQ, IEEE1609dot2 , IPP, IPPUSB, ISAKMP, iSCSI, ISIS LSP, ISO 7816, ISUP, ITS, JSON 3GPP, JXTA, Kafka, KINK, KNX/IP, LDAP, LDP, LISP, LISP TCP, LLRP, LwM2M-TLV, M2UA, M3UA , MAC-LTE, MBIM, MMS, MONGO, MPEG PES, MPLS Echo, MQ PCF, MQTT-SN, MS-WSP, MSDP, MsgPack, NAS-5GS, NETLINK, NHRP, OpenFlow, OpenWire, OPSI, OSC, P22, P7, PANA, PIM, PNIO, ProtoBuf, PROXY, Q.2931, QNET, RDP, RESP, RPL, RSL, RSVP, RTLS, RTMPT, RTPS, S7COMM, SCTP, SIMULCRYPT, SMB2, SML, SNA, SNMP, Socks, SolarEdge, SOME/IP, SoulSeek, SUA, T.38, TCAP, TEAP, TFTP, Thread, Thrift, TN5250, USBHID, USBVIDEO, VP9, WASSP, WiMAX ASN CP, WLCCP, WTP, X.509IF, X.509SAT, XML, XMPP, YAMI, Z39.50 и ZigBee ZCL

Приглашаем вас на бесплатный вебинар «Test IT: как снизить затраты на разработку и тестирование на 20%».

Мы рассмотрим основы и преимущества работы с системой управления тестированием Test IT и обсудим процесс сертификации.

Test IT является полноценным аналогом иностранных TMS, приостановивших работу на рынке РФ. На данный момент используется в более чем 400 компаниях, среди них крупный финтех, промышленные предприятия, разработчики ИТ-решений, игр и онлайн-ритейлеры. Позволяет снизить стоимость работ на 15‑20%, содержит оптимальный набор функций для быстрого внедрения и настройки процессов тестирования.

Содержание:

1. Обзор TMS Test IT

2. С чего начать работу с системой

3. Разработка тестовой модели с помощью Test IT

4. Выполнение тестовой модели в Test IT

5. Отчетность

6. Сертификация Test IT
   
   Спикер вебинара: Александр Александров, гуру российского тестирования, эксперт по управлению качеством ПО, управлению тестированием, анализу и совершенствованию инженерных процессов с опытом работы более 50 лет, эксперт ISTQB.
   
   Дата: 28.03.2024
   
   Время: 15:00-16:30 (мск)

Регистрация по ссылке

Производитель оборудования для тестирования и мониторинга сетей, американская компания Viavi Solutions, объявила о покупке конкурирующей британской фирмы Spirent Communications. Сумма сделки составляет около $1,277 млрд.

Viavi помимо производства специального сетевого инженерного оборудования также специализируется на оптических технологиях для различных сфер применения, включая контроль качества материалов, выявление фальшивых денежных знаков и другие решения. В 2023 финансовом году выручка Viavi составила $1,1 млрд.

Компания Spirent предоставляет продукты и услуги для решения задач в области сетевого тестирования, обеспечения качества и автоматизации технологий, в том числе для 5G, SD-WAN, облачных платформ и автономных транспортных средств.

После слияния компании собираются укрепить своё положение на IT-рынке в различных отраслях, включая разработку и выпуск передовых решений, нацеленные на поставщиков облачных услуг, корпоративные сети, IT-инфраструктуры и частные сети 5G.

Издание NZ Herald сообщило, что спустя 10 часов после обнаружения проблемы разработчики ПО для АЗС смогли исправить свою ошибку, так как в коде платёжных терминалов отсутствовала возможность активации насосов 29 февраля.

Речь идёт о платежных решениях Invenco, которые реализуют сервисы оплаты топлива. Разработчики сообщили, что совместно с партнёрами из Worldline провели все необходимые работы по исправлению ПО, которое было внедрено по всей стране год назад.

Ранее поставщики бензина Z Energy, Allied Petroleum и Gul отключили в Новой Зеландии свои комплексы автоматизированных АЗС (работали в режиме самообслуживания) из-за проблем с некорректной отработкой ПО комплексов текущей даты 29 февраля 2024 года.

В Z Energy, Allied Petroleum и Gull заявили СМИ, что некоторое время владельцам машин придётся заправляться только на пунктах АЗС с персоналом и кассой, где можно совершить платёж в обычном режиме. Организации пытаются решить эту проблему с ПО совместно со своими подрядчиками, которые разрабатывали программные решения для работы автоматических АЗС.

Началась первая в этом году онлайн-конференция для тестеров Microsoft под названием Windows Insider Bug Bash. Она продлится с 28 февраля по 4 марта (до 12 марта для Windows Server 2025).

Bug Bash — это особый период, в течение которого инсайдеры (тестеры) Windows помогают Microsoft обнаруживать и устранять ошибки в Windows 11, выполняя серию задач, называемых «квестами».

Microsoft публикует эти квесты в приложении Feedback Hub, и их выполнение позволяет компании собрать необходимые данные о новых функциях и их производительности в предварительных сборках Windows 11.

Квест Bug Bash может включать в себя опробование одной из новых функций, выполнение ряда действий, изменение определенных настроек и другие эксперименты с операционной системой.

Вот как Microsoft описывает это событие: «Bug Bash» — это совместное мероприятие, на котором пользователи, разработчики и энтузиасты собираются вместе, чтобы выявлять ошибки в продукте и сообщать о них. Это возможность изучить новые функции, протестировать их и внести свой вклад в улучшение качества программного обеспечения. Участие в Bug Bash не является обязательным, и единственная награда, которую тестеры получают за помощь софтверному гиганту, — это специальный значок в вашем профиле Windows Insider.

В робокафе на робота-официанта посетители надели гарнитуру Apple VisionPro в режиме показа глаз.

Через несколько секунд, вероятно, робот потерял контроль над своими действиями. Он пытался разобраться в интерфейсе гарнитуры и понять, что фиксируют камеры, а потом завис.

Ветеран Microsoft Реймонд Чен в своём блоге The Old New Thing с различными историями про ситуации в процессе разработки разных версий операционных систем компании раскрыл правильный способ аварийно завершить работу Windows для разных исследовательских целей.

Чен предостерёг разработчиков от использования в рамках тестирования специальной комбинации клавиш для вызывания BSoD, так как на современных системах это не работает. Драйвер клавиатуры распознает физический ввод на гораздо более низком уровне в стеке ввода, что позволяет инициировать сбой системы.

Чен попросил разработчиков не использовать дурацкие тактики типа удаления winlogon.exe, поскольку подобные подходы могут создать путаницу в логах и сообщать о несуществующих ошибках.

Чен напомнил, что у Microsoft есть удобный инструмент под названием NotMyFault (часть программного пакета SysInternals), который может вызывать различные сбои, зависания или утечки данных. Именно его Microsoft рекомендует использовать для тестирования сбоев стека, переполнения буфера, ошибок высокого уровня IRQL и многого другого.

Ранее Чен рассказал, как работала «тележка смерти» с USB-устройствами, вызывающими ВSoD, для тестирования и доработки ранних версий Windows. Аппарат включала более 60 последовательно подключённых USB-устройств разных типов и функций. Как правило, ПК после подключения к ней выдавали «синий экран смерти».

Пользователи гарнитуры Vision Pro, у которых есть усы, столкнулись с тем, что гаджет понятия не имеет, когда они начинают говорить, при использовании режима аватара (Persona) в процессе общения с другими пользователями.

«У меня довольно густые усы, и кажется, что они не позволяют камерам гарнитуры, обращенным вниз, видеть и переводить то, что делает мой рот, в выражения лица моего аватара в реальном времени во время вызова по Vision Pro FaceTime. Судя по всему, я не одинок», — пояснил Уэс Дэвис.

В настоящее время режим Persona всё ещё находится на стадии бета-тестирования. Возможно, в обновлении VisionOS 1.1 разработчики учтут эту особенность и позволят людям с усами отображаться с нормально открываемым ртом.

Особенности тестирования приложений на Flutter

Тестирование Flutter-приложений в базовых принципах не сильно отличается от тестирования нативных. Но есть несколько интересных особенностей:

• Все элементы Flutter-приложения — виджеты: это упрощает тестирование интерфейса и функциональности, обеспечивает единообразие интерфейса.

• Тестирование на Flutter быстрее: платформенно-специфические функции тестируются отдельно на iOS и на Android, а остальные — на какой-то одной.

• Flutter предоставляет собственные инструменты для тестирования виджетов и интеграционного тестирования.

Есть и сложности:

• Отслеживание трафика: Dart обычно использует высокоуровневые библиотеки для HTTP-запросов, и они инкапсулируют низкоуровневые детали сетевого взаимодействия — это затрудняет доступ или мониторинг данных.
  
  Проблема решается подключением прокси-сервера. Лучше всего добавить этот функционал в инженерную панель.

• При тестировании различий UI/UX на разных платформах мы замечаем типичные проблемы: анимация, свайпы и отображение системных диалоговых окон.
  
  Поэтому не стоит фокусироваться на всех кнопках. Лучше обращать внимание только на существенные различия. Тут помогает общение с сообществом.

Чтобы работать с Flutter-приложениями, мы используем FlutterDevTools. Это комплект инструментов для отладки и профилирования в экосистеме Flutter. Также применяем голден тесты, а для автоматизации — Appium. Подробнее про это рассказываем в отдельной статье, а про Flutter — в телеграм-канале.

СМИ показали комплект официального iPhone с джейлбрейком от Apple для исследователей безопасности.

Apple, судя по всему, восприняла термин «джейлбрейк», используя его в официальных инструкциях к своему смартфону Security Research Device.

«Мы упростили запуск существующих инструментов на устройстве для исследования безопасности. Через подсистему cryptex вы можете загрузить свои инструменты, и они будут работать с привилегиями платформы и любыми правами, которые вы захотите. Это позволяет остальным политикам безопасности оставаться включенными, обеспечивая гибкость взломанного устройства, сохраняя при этом системы, которые вы исследуете, в неповрежденном состоянии, аналогичном как они работают на обычном клиентском устройстве», — говорится в инструкции к тестовому iPhone.

Эксперт ИБ пояснил СМИ, что его устройство «идентично» iPhone 14 Pro. Внизу заблокированного экрана там есть надпись «Устройство для исследования безопасности» и номер телефона Apple для возврата.

В июле 2020 года Apple заявила о старте новой программы по поиску уязвимостей в iOS для ИБ-исследователей — Apple Security Research Device Program. Компания будет выдавать участникам этой программы определенным образом настроенные iPhone под названием «устройства исследования безопасности» (Security Research Device — SRD). Специальные смартфоны будут выдаваться исследователям на 12 месяцев с условием обязательного возврата и возможностью продления периода их использования в случае договоренности с Apple.

Разработчики анонимной сети Tor опубликовали результаты второго аудита со стороны Radically Open Security с апреля по август 2023 года (до этого с ноября 2022 года по апрель 2023 года компанией Cure53 проводился первый аудит). Проверка затронула код для обеспечения работы выходных узлов, браузер Tor Browser, компоненты инфраструктуры (сбор метрик, SWBS, API Onionoo) и утилиты для тестирования.

Основной задачей повторной проверки была оценка изменений, внесённых для повышения скорости и надёжности сети Tor, таких как добавленный в выпуске Tor 0.4.8 протокол разделения трафика Conflux и методы защиты Onion‑сервисов от DoS‑атак на основе доказательства выполнения работы.

В ходе аудита были выявлены 17 уязвимостей. Одна из них отнесена к категории опасных. Четырём уязвимостям присвоен средний уровень опасности, а 12 отнесены к проблемам с незначительным уровнем опасности. Наиболее опасная уязвимость выявлена в приложении onbasca (Onion Bandwidth Scanner), применяемом для сканирования пропускной способности узлов сети.

Уязвимость вызвана возможностью отправки запросов через HTTP-метод GET, позволяющих выполнить подстановку межсайтовых запросов от лица другого пользователя (CSRF, Cross-Site Request Forgery), что даёт атакующему возможность добавить свои мостовые узлы в БД через манипуляцией с параметром bridge_lines.

Источник: OpenNET.

Microsoft выпустила тестовую сборку операционной системы Windows 11 Insider Preview Build 26040, в которой переработан интерфейс установки ОС и добавлены новые опции.

Разработчики поменяли одно из окон интерфейса процесса установки Windows впервые за 11 лет. Ранее подобное изменение было в рамках релиза Windows 8.

Теперь вместо фиолетового фона в процессе запуска установки ОС сделан белый, а пользователю предлагается либо восстановить систему на ПК, либо полностью переустановить её. Также на исправленной странице инсталлятора стоит чекбокс, что пользователь согласен с процессом, в течение которого могут быть удалены его файлы, приложения и предыдущие настройки.

❓100 Вопросов по Машинному обучению (Machine Learning) - Вопрос_17

? Можете ли вы объяснить, как работает Prophet для прогнозирования временных рядов ? (Часть_1)

1. Декомпозиция временного ряда: Prophet автоматически декомпозирует временной ряд на несколько компонентов:

   • Тренд: Prophet моделирует гибкий нелинейный тренд, который может быть линейным или логистическим, в зависимости от данных.

   • Сезонность: Prophet обнаруживает и моделирует периодические сезонные компоненты, такие как ежедневные, еженедельные или ежегодные сезонности.

   • Праздники: Prophet позволяет включить информацию о праздниках и других событиях, которые могут влиять на временной ряд.

2. Оценка компонентов: Prophet использует метод максимального правдоподобия для оценки параметров тренда, сезонности и праздников в данных. Он оптимизирует функцию потерь, которая учитывает как среднеквадратичную ошибку (MSE) для тренда, так и MSE для сезонности.

• ? Телеграм-канал: t.me/DenoiseLAB (Если вы хотите быть в курсе всех последних новостей и знаний в области анализа данных);

Angara Security проанализировала более 200 реализованных проектов и конкурсных процедур в сфере анализа защищенности данных за 2022-2023 годы и выяснила:

• около 60% проектов по анализу защищенности реализуется в рамках
  двух ценовых сегментов: от 500 тыс. рублей до 1 млн рублей (23,7%) и от
  1 млн до 2 млн рублей (37%);

• по сравнению с 2022 годом доля проектов в отмеченных ценовых сегментах выросла в среднем на 65%;

• услуги анализа защищенности наиболее востребованы среди финансовых организаций и страховых компаний (около 40% проектов и конкурсных процедур), телеком- и IT-компаний (28,8%).

ИБ-эксперты отметили спрос на решения для мониторинга эффективности средств защиты информации на внешнем периметре, поэтому на рынке также востребованы услуги комплексной симуляции кибератак (red team) с проверкой реакции сотрудников внутренних SOC-центров и ИБ-подразделений в филиалах крупных компаний. Также растет спрос на анализ защищенности в режиме «белого ящика». Такие пентесты выявляют практически все уязвимости приложений и имеют наибольшую эффективность.

Среди перспективных направлений в сфере анализа защищенности аналитики Angara Security также отмечают автоматизацию проверок, которые могут проводиться без привлечения экспертов, а также объединение в комплексные услуги пентестов инструментов OSINT и анализа фишинговых атак, управление поверхностью атаки внешнего периметра, сопоставление актуальных для отрасли техник и атак.

❓100 Вопросов по Машинному обучению (Machine Learning) - Вопрос_14 (Часть_1)

Какие подходы могут помочь модели сохранить стабильность популяции при изменении данных?

1. Кросс-валидация (Cross-Validation): Кросс-валидация позволяет оценить производительность модели на разных подмножествах данных. Например, метод k-fold cross-validation разбивает данные на k подмножеств, называемых фолдами. Модель обучается на k-1 фолдах и оценивается на оставшемся фолде. Этот процесс повторяется k раз, каждый раз используя разные фолды. Таким образом, модель оценивается на различных подмножествах данных, что помогает выявить ее стабильность популяции.

2. Стратифицированная выборка (Stratified Sampling): При формировании обучающей и тестовой выборок можно использовать стратифицированный подход. Это означает, что при разделении данных на выборки будут сохранены пропорции классов или распределений признаков. Такой подход помогает уменьшить возможное искажение данных при изменении популяции.

   t.me/DenoiseLAB (Еесли вы хотите быть в курсе всех последних новостей и знаний в области анализа данных);

25 декабря в онлайн и оффлайн форматах состоится предновогодний «RSHB QA Meetup: От беты до экзотики», посвященный теме тестирования и экзотическим багам. Участие в митапе бесплатное, регистрация на мероприятие уже открыта на сайте РСХБ в цифре.

? Первой на митапе выступит Софья Селезнева, ведущий инженер-тестировщик в «Гранч», с докладом «О чем вы должны помнить при тестировании проектов с компьютерным зрением». Софья расскажет, что такое компьютерное зрение, для каких задач оно используется и о чем нужно помнить, чтобы тестировать такие проекты.

Среди оффлайн-участников митапа мы проведем лотерею с различными крутыми призами.

Количество мест на оффлайн ограничено, успей зарегистрироваться.

25 декабря в онлайн и оффлайн форматах состоится «RSHB QA Meetup: От беты до экзотики», посвященный теме тестирования и экзотическим багам. Участие в митапе бесплатное, регистрация на мероприятие уже открыта на сайте РСХБ в цифре.

В рамках митапа выступит Михаил Кошкин, руководитель команды VK Testers, с докладом «Бета‑тестирование и места, где оно обитает».

Михаил расскажет о пути бета-тестирования команды VK Testers: от конкурса на лучшего тестировщика до платформы бета-тестирования с десятками тысяч участников. Спикер покажет, как лучше проводить «бету» и повысить собираемость багов.

Количество мест на оффлайн ограничено, успей зарегистрироваться.

Приглашаем всех на «RSHB QA Meetup: От беты до экзотики» — бесплатный митап, посвященный теме тестирования и экзотическим багам, который пройдет 25 декабря. В своих докладах спикеры расскажут, как тестировать большой проект руками сообщества, под каким углом смотреть на тесты компьютерного зрения и как ловить экзотические баги.

Можно прослушать доклады онлайн или зарегистрироваться на офлайн-участие.

В программе:

❄️ Доклад Михаила Кошкина, руководителя команды VK Testers, — «Бета‑тестирование и места, где оно обитает»
❄️ Доклад Софьи Селезневой, ведущего инженера тестировщика в «Гранч» — «О чем вы должны помнить при тестировании проектов с компьютерным зрением»
❄️ Доклад Андрея Ахметова, ведущего инженера РСХБ‑Интех — «Экзотические баги и их устранение»

Офлайн-часть митапа пройдет в офисе РСХБ-Интех на Теплом Стане (Москва, ул. Профсоюзная 125а). Успейте зарегистрироваться на офлайн-участие на сайте РСХБ в цифре.

В рамках митапа пройдет розыгрыш призов за лучшие вопросы спикерам и розыгрыш призов среди тех, кто пройдет опрос и оставит отзыв о мероприятии.

Общаться и следить за ходом митапа можно в Telegram-чате.

Приходите на круглый стол QA Guru, чтобы узнать, как проходит обучение и развитие тестировщика внутри компаний.

Сегодня в 20:00 по Москве за круглым столом, организованным QA Guru, сильнейшие специалисты по тестированию поделятся своим опытом и обсудят вопросы обучения и развития тестировщиков внутри компании, стоит ли отправлять специалистов на внешние курсы, плюсы и минусы разных форматов обучения и не только. Слушатели смогут задавать экспертам вопросы в чате мероприятия.

В рамках круглого стола выступит Ян Акмеев — главный инженер Блока качества РСХБ-Интех.

Ссылка на трансляцию появится в 19:55 МСК в чате QA Guru.