Тестирование IT-систем *

Исследователи из Амстердамского свободного университета представили технику атаки SLAM (Spectre Linear Address Masking), предлагающую новый способ эксплуатации микроархитектурных уязвимостей класса Spectre, в котором утечка данных происходит при трансляции неканонических адресов, а для обхода проверок каноничности привлекаются предоставляемые в новых процессорах расширения для маскировки линейных адресов.

Экспертами опубликован инструментарий с реализацией метода и предложена демонстрация, показывающая, как можно извлечь из памяти ядра данные, соответствующие определённой маске (показано, как за несколько десятков секунд в Ubuntu выделить из памяти ядра строку с хэшем пароля пользователя root).

Атака может быть совершена на системах с процессорами Intel, поддерживающими расширение LAM (Linear Address Masking), процессорами AMD с расширением UAI (Upper Address Ignore) и процессорами ARM с расширением TBI (Top Byte Ignore). Указанные расширения позволяют использовать часть битов 64-разрядных указателей для хранения не связанных с адресацией метаданных (для обычных программ не требуется столько памяти, что могут адресовать 64-разрядные указатели, поэтому верхние биты могут быть задействованы, например, для проверок, связанных с обеспечением безопасности). Интересно, что процессоры Intel, AMD и ARM с поддержкой LAM, UAI и TBI ещё только анонсированы, но массово не производятся, что делает SLAM первой спекулятивной атакой на будущие CPU.

Источник: OpenNET.

Разработчики дистрибутива Arch Linux объявили о завершении миграции системы отслеживания ошибок на платформу GitLab и включении на обслуживающем проект сервере GitLab поддержки запросов на слияние (merge request). Модернизация системы отслеживания ошибок стала следующим шагом после перевода инфраструктуры для разработки пакетов с Subversion на Git и GitLab.

Старый интерфейс отслеживания ошибок в Arch Linux, основанный на платформе Flyspray, будет через какое-то время отключён, но доступ к старым записям планируют сохранить через размещение статической архивной копии сайта bugs.archlinux.org, в которой записи будут доступны по старым ссылкам.

В сообщениях об ошибках, разбиравшихся в процессе миграции, добавлены финальные комментарии, указывающие на новый адрес обсуждения в GitLab. Кнопки уведомления о проблемах, присутствующие на страницах пакетов, перенаправлены на новую систему. Процесс разбора сообщений о проблемах в Arch Linux останется прежним — первичный разбор сообщений осуществляют участники команды Bug Wranglers, после чего проблема перенаправляется для исправления соответствующим сопровождающим.

Источник: OpenNET.

Именование юнит тестов

Мне всегда нравятся “информативные” названия тестов вроде “TestLogin”. 

Смотришь и из названивая в принципе не понятно, что именно мы тестируем.

В книге “Искусство автономного тестирования (The Art of Unit Testing)” предлагается следующий способ именования тестов: [UnitOfWorkName]_[ScenarioUnderTest]_[ExpectedBehavior]

• UnitOfWorkName — имя тестируемого метода либо группы методов или классов

• Scenario – условия, при которых тестируется автономная единица

• ExpectedBehavior – что должен делать метод при заданных условиях

Например, если мы тестируем вход пользователя с неверным паролем и ожидаем, что произойдёт ошибка, то названия теста может выглядеть так: TestLogin_InvalidPassword_ThrowsException.

❓100 Вопросов по Машинному обучению (Machine Learning) - Вопрос_6

?Вопрос_6: Всегда ли PCA спасает от проблеммы "проклятие размерности" и если нет, то что можно использовать вместо него ?

✔️Ответ:
РСА не всегда спасает от проклятия размерности, однако существует несколько продвинутых алгоримов для решения данной проблеммы:

• t-SNE (t-Distributed Stochastic Neighbor Embedding): Этот алгоритм позволяет визуализировать данные высокой размерности в двух или трех измерениях, сохраняя при этом их локальную и глобальную структуру. Он основан на вероятностной модели, которая пытается сохранить близость между объектами в исходном пространстве и их представлением в пространстве меньшей размерности.

• LLE (Locally Linear Embedding): LLE ищет линейные зависимости между соседними точками данных и пытается сохранить эти зависимости при снижении размерности. Алгоритм строит локальные линейные модели для каждой точки данных и затем находит низкоразмерное представление, которое наилучшим образом воспроизводит эти локальные модели.

• UMAP (Uniform Manifold Approximation and Projection): UMAP является относительно новым алгоритмом снижения размерности, который сочетает в себе методы локальной связности и глобальной структуры данных. Он строит граф связности между точками данных и затем находит низкоразмерное представление, которое сохраняет геометрическую структуру данных.

  Кроме того, в ряде задач применяются: Isomap, MDS, Random Projection, Sparse Coding, NMF.

  https://t.me/DenoiseLAB
  

Поговорим про автоматизацию?

Я Юля, разработчик в команде IDM — комплекса систем, управляющих доступами сотрудников к внутренним ресурсам. Поделюсь мыслями на тему автоматизации.

Мне, как айтишнику, хочется делать жизнь людей проще и интереснее. Бывает, что процессы без участия людей приводят к негодованию пользователей. Например, роботы-автоответчики, в которых нет опции связи с оператором, — не самая дружелюбная вещь.

А вот другой пример: вместе с командой мобильного оператора мы улучшили тестирование систем, завязанное на абонентах и сим-картах. Раньше создание тестовых данных для проверки абонента с набором услуг и тарифом требовало много ручных шагов. Теперь можно продумывать сценарии и проверять предлагаемые пользователям возможности, не отвлекаясь на рутину.

Плюс такой автоматизации в легковесности. Простые настройки абонентов выполняешь автоматизацией, и часто этого достаточно. А если необходим экзотический случай, то у тестировщика развязаны руки: создавай сам или меняй автоматизацию.

Недавно на ретро фронтендер рассказал, как они с коллегой реализовали pipeline-процесс для автоматизации выпуска фронтовых задач. Скрипты умели лишь собирать информацию для лога изменений, обновлять версию и навешивать тег релиза. Но и эти небольшие изменения сделали работу комфортнее.

Для меня это еще один пример, когда автоматизация уместна, не отбирает возможность принимать решения, влиять на процессы и результат.

А какие вам встречались примеры автоматизации — дружелюбной и не очень?

21 сентября Артур Кашбуллин, Исполнительный директор блока качества РСХБ‑Интех, выступит на Testify — новом формате онлайн‑митапов от Test IT об особенностях тестирования ПО в разных сферах бизнеса.

В рамках доклада «Как отчетность нам жить помогает» Артур поделится опытом использования управленческой и оперативной отчетности, расскажет, какие метрики в них используются, затронет вопросы текущих задач подразделения и не только.

Вместе с Артуром в рамках первого Testify выступят:

• Карим Аминов из Test IT с докладом, как «дирижировать оркестром» релизной команды в крупных банках.

• Анастасия Шевченко из «Винвестора» с докладом об основных моментах оптимизации процесса разработки нового модуля для личного кабинета юридических лиц в рамках поддержки действующего проекта.

Для регистрации на бесплатный онлайн‑митап необходимо пройти по ссылке.

VK повышает вознаграждение этичным хакерам до 7,2 млн рублей💸

Такие выплаты будут ждать исследователей безопасности программы «Почта, Облако и Календарь» с 30 июня по 30 июля 2023 года. Вознаграждение удвоится за все уязвимости, найденные на стороне сервера (server side).

🔥Максимальная награда за баг критического уровня опасности составит 7,2 миллиона рублей!

«Информационная безопасность — один из стратегических приоритетов для VK. Если говорить о выплатах в рамках нашей программы багбаунти, важно охватить всех исследователей, которые готовы искать новые уязвимости и получать вознаграждение. Такой инструмент, как повышение выплат, позволяет сосредоточиться на определенных продуктах и повысить их безопасность», — отметили в компании.

Всего на Standoff 365 Bug Bounty зарегистрировано 5700 исследователей, они сдали 2200 отчетов и получили более 32 млн рублей.

Начать искать баги и делать сервисы VK безопаснее можно прямо сейчас!