Нас было 5 разработчиков на проекте. Все перешли на разработку с тестами и инспекциями достаточно быстро.
На введение в процесс разработки инспекции кода нам понадобилась 2 недели.
1) а через месяц у нас появился документ codingstyle;
2) весь код стал проходить инспектирование, было как-то стрёмно закомитить непроинспектированный код — это же всегда заметно(если кто-то считает что незаметно — скорей всего, обманывает сам себя);
3) мы стали больше общаться вживую, появились обсуждения разных подходов разработки;
4) стали лучше понимать друг друга, уважение выросло на порядок.
С тестами подольше. В конце концов все переключились на разработку с тестами от одного месяца до полугода. На новый код писали тесты. Делали швы по рекомендациям книги М.Физерса «Эффективная работа с унаследованным кодом» (http://www.ozon.ru/context/detail/id/4311012/).
На те места, где приходилось рефакторить — в обязательном порядке писали тесты. Да, были ошибки, да было непросто, но все мои бывшие коллеги согласны в одном — написание тестов в унаследованном проекте того стоило. Это мнение как самих разработчиков, так и менеджеров проекта, отдела сопровождения, отдела внедрения.
Это же супер: приезжаешь на объект, настраиваешь и уезжаешь (забываешь про него :-)
Не так давно понял одно высказывание по новому.
«Компьютер должен быть продуктивным, а человеку лучше быть эффективным.»
Когда я пишу код без тестов и без инспекций кода — меня можно считать продуктивным, я быстро «педалю код».
Когда я пишу код с тестами и провожу инспекции кода — меня можно считать эффективным, я строю надолго/качественно/без суеты сложные большие системы.
Это да, но информация по тестам конфиденциальна и строго для служебного пользования, так что показать их довольно-таки проблематично, хотя мы подумаем, что можно сделать.
1. Видео конкретно этого доклада нет (архив других выступлений на сайте), все выступления мы позже зальем на ютуб. Слайды также выкладываем на SlideShare, но пока не все до конца собрали.
2. Как таковой рассылки мероприятий у нас нет — есть анонсы вебинаров на сайте, а про PHDays можно прочитать, помимо хабра, на оф. сайте, в блоге, и в соц. сетях (вк, фб, твиттер) — где удобнее.
3-4. Можно, в целом, объединить ответы. В прошлом году этот конкурс также проводился, мы в блоге выкладывали задания и прохождения плюс были райтапы от участников конкурса, что в том году, что в этом, также можно поискать информацию в них.
По поводу SSH на сетевом оборудовании «да». Это имеет место быть в крупных сетях, где количество сетевого оборудования исчисляется несколькими тысячами устройств.
По поводу отрезание ААА: все шаги в ходе анализа защищенности согласовываются с заказчиком. Поэтому ответ «да», было :)
Атаки на телеком, где речь идет о нескольких тысячах роутеров происходят именно в лоб. И вероятность ошибки в настройке оборудования в этом случае не нулевая. И поверьте cisco/cisco – вполне жизненная ситуация ;)
Наше задание было по максимуму приближено к реальности. В большинстве случаев, анализ защищенности компаний начинается с изучения внешнего периметра, доступных сервисов и тп. Если же предполагается, что вы будете находится на площадке провайдера и снифить трафик, то вероятность получения конфиденциальных данных равна 99,999%. :) Поэтому и выбран путь с дефолтными учетными записями, тем самым намекая, что мы прошли через внешний периметр.
Пока в планах нет, поскольку подготовка заданий требует определённых усилий. Но у нас есть образовательная программа, в рамках которой проводятся вебинары.
Как обычно, пригласили несколько коллег и друзей, предложили попробовать свои силы. Получилось 50 минут — среднее время прохождения. Скорее всего мы не учли присутствие некоторого стресса и отвлекающих факторов для участников на площадке, вот и промахнулись на 15 минут :).
О да, всех веселят статьи о взломе с правами админа :) Но не придирайтесь, тут совсем другое дело: это все таки конкурс для проверки знаний и как в любом конкурсе сложность заданий возрастает постепенно. Можно было бы предложить участниками брутить учетки, но, сами понимаете, на это может уйти много времени, а значит динамика состязания исчезнет.
Какой системе вы могли бы передать ответственность за свой палец(согласен, палец жалко — машину :-)), например?
Той, которая пишется с тестами и инспекциями кода или той, которая без тестов и без инспекций?
На введение в процесс разработки инспекции кода нам понадобилась 2 недели.
1) а через месяц у нас появился документ codingstyle;
2) весь код стал проходить инспектирование, было как-то стрёмно закомитить непроинспектированный код — это же всегда заметно(если кто-то считает что незаметно — скорей всего, обманывает сам себя);
3) мы стали больше общаться вживую, появились обсуждения разных подходов разработки;
4) стали лучше понимать друг друга, уважение выросло на порядок.
С тестами подольше. В конце концов все переключились на разработку с тестами от одного месяца до полугода. На новый код писали тесты. Делали швы по рекомендациям книги М.Физерса «Эффективная работа с унаследованным кодом» (http://www.ozon.ru/context/detail/id/4311012/).
На те места, где приходилось рефакторить — в обязательном порядке писали тесты. Да, были ошибки, да было непросто, но все мои бывшие коллеги согласны в одном — написание тестов в унаследованном проекте того стоило. Это мнение как самих разработчиков, так и менеджеров проекта, отдела сопровождения, отдела внедрения.
Это же супер: приезжаешь на объект, настраиваешь и уезжаешь (забываешь про него :-)
Не так давно понял одно высказывание по новому.
«Компьютер должен быть продуктивным, а человеку лучше быть эффективным.»
Когда я пишу код без тестов и без инспекций кода — меня можно считать продуктивным, я быстро «педалю код».
Когда я пишу код с тестами и провожу инспекции кода — меня можно считать эффективным, я строю надолго/качественно/без суеты сложные большие системы.
Имхо, конечно всё.
1. Видео конкретно этого доклада нет (архив других выступлений на сайте), все выступления мы позже зальем на ютуб. Слайды также выкладываем на SlideShare, но пока не все до конца собрали.
2. Как таковой рассылки мероприятий у нас нет — есть анонсы вебинаров на сайте, а про PHDays можно прочитать, помимо хабра, на оф. сайте, в блоге, и в соц. сетях (вк, фб, твиттер) — где удобнее.
3-4. Можно, в целом, объединить ответы. В прошлом году этот конкурс также проводился, мы в блоге выкладывали задания и прохождения плюс были райтапы от участников конкурса, что в том году, что в этом, также можно поискать информацию в них.
По поводу отрезание ААА: все шаги в ходе анализа защищенности согласовываются с заказчиком. Поэтому ответ «да», было :)