Привет, Хабр! В этой статье мы разберемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.

Давайте знакомиться! Меня зовут Света Газизова, и я работаю в Positive Technologies директором по построению процессов DevSecOps. Мы с командой помогаем выстраивать процессы безопасной разработки в компаниях наших клиентов, занимаемся GR, участвуем в исследованиях и развиваем направление application security со всех его сторон. Помимо такой «обычной» работы, я еще участвую в образовательных проектах, потому что верю, что знания спасут мир 😊

Эта статья стала итогом моих экспериментов в 2022-ом. С начала года я искала сервисы, которые помогают выкупать товары в интернет-магазинах за рубежом и доставляют их в РФ. 

Прочитав кучу отзывов (спойлер: в основном плохих), я попробовала заказать товары через так называемые “Сервисы-посредники” или “Байер-сервисы”. В статье расскажу об опыте работы с 8 сервисами, с помощью которых можно привести товары в Россию.

Возможно, потому что деврела не существует. Ты бьёшься об стену, дописываешь к деврелу “-менеджер” или “-специалист”, а люди всё равно говорят, что ты деврел.

А возможно, потому что эта сфера (а значит и твоя работа) только оформляется и облекается в слова, поэтому количество людей понимающих зачем ты существуешь и что делаешь — катастрофически мало.

Об этом и статья.

«Где-то в Москве, где много этажей, кафешек и офисов, а на входе логотип, находится папина работа. Обычно папин день выглядит как подъём, кофе, он много печатает и сохраняет файлы, и так до вечера. Таким образом папа улучшает программу для защиты телефонов и компьютеров».

Так ребёнок описал работу своего папы — старшего программиста, который участвует в разработке PT XDR. Недавно мы решили разузнать, чем же на самом деле занимаемся. И отправились за ответом к самому достоверному источнику — нашим детям возрастом от 5 до 9 лет.

Некоторые рассказы правдиво отразили будни айтишника. А некоторые вышли совершенно фантастическими. Лучшие истории мы собрали под катом. Ещё подготовили квиз: угадайте, чем на самом деле занимаются родители каждого из юных рассказчиков.

С Новым Годом уважаемые читатели! Как можно понять из заголовка я собрал для вас 150 книг (и несколько полезных ссылок) из областей разработки игр, геймдизайна, нарративного дизайна и прочих смежных дисциплин геймдева. Из подборки получилась целая библиотека, которую я собираюсь постоянно обновлять и добавлять в нее новые книги. Поэтому, если вы ищите что почитать, то заходите и добавляйте в закладки! 

Если вы спросите, чем мне запомнился 2009 год, я смогу назвать не так много вещей. Для начала – смерть Майкла Джексона, которая шокировала как меня лично, так и весь мир в целом. Также вспомню спорное награждение первого чернокожего президента США Барака Обамы Нобелевской премией мира… авансом (поверьте, я сам не понимаю, почему моя память держит такую информацию). Но, как геймер, не могу не упомянуть выход Dragon Age: Origins, которая поразила меня своим миром и игровым процессом! После отличных продаж и хвалебных од как от игроков, так и от критиков, компания Bioware выпустила два продолжения, которые мне совершенно не понравились. Могу признаться, что даже не стал толком в них играть, очень быстро осознав, что они «другие». Поэтому регулярно возвращаюсь в Origins, считая её не только лучшей в серии, но и одной из ключевых ролевых игр как минимум за последние 20 лет.

Сегодня я хочу рассказать интересные факты о разработке столь значимого для индустрии проекта и, выложив сборку с игрой и набором модификаций (отдельно), позволить вам поностальгировать самостоятельно. Эти моды почти не меняют саму игру, лишь делают графическую и геймплейную составляющую лучше, дополнительно исправляя баги, оставшиеся после официальных патчей.

Многие из вас могут возразить: «Да какой ж это олдфажный гейминг!». И, возможно, будут правы. Поэтому поясню: мысленно для себя я отметил, что в эту категорию попадают игры, вышедшие примерно до 2010 года. Уверен, у большинства этот проект оставил ностальгический отзвук в сердце, позволяя вспомнить десятки прекрасных часов, проведённых в этой игре. Надеюсь, моя статья не только будет полезна вам информационно, но и подарит приятное ощущение после её прочтения.

Всем привет! С 2020 года команда ЭКОПСИ и Хабра проводит Всероссийское исследование IT-брендов работодателей и делится результатами, чтобы соискатели с компаниями лучше понимали актуальную картину на рынке и друг друга. Результаты прошлогоднего исследования тут.

В этом году в контур опроса попало 23 806 респондентов. Он проходил с 15 июня по 15 сентября. Как и всегда, мы спрашивали IT-специалистов, насколько та или иная компания им известна как место работы + как они оценивают её привлекательность в качестве работодателя. Помимо общего рейтинга и паспорта исследования, под катом вы найдёте срезы по конкретным отраслям бизнеса и объёму IT-департаментов (для максимальной объективности результатов).

Всем привет, меня зовут Вероника, я Head of DevRel в Dodo Engineering. Я работаю с людьми в IT уже больше 7 лет и за эти годы насмотрелась на мириады Больших Менеджерских Ошибок (БМО, далее по тексту заменяется на «факапы») менеджеров во всех ипостасях: новичков, суперопытных, директоров, нанимающих, увольняющих, увольняющихся… Конечно, наошибалась и сама. На собственной шкуре знаю, что многие менеджерские факапы можно предотвратить в зачатке. И наблюдала, как команды спасают своих лидов от ошибок.

В этой статье я собрала 9 историй из опыта разных команд разработки и лично моего о надвигающемся менеджерском факапе. К каждой истории — также основанные на живом опыте рекомендации, что может сделать подчинённый этого самого менеджера, чтобы предотвратить катастрофу с развалом проекта.

А вы часто читаете реализацию стандартной библиотеки своего любимого языка?..

Меня зовут Константин Соколов, и мы с Сергеем Мачульскисом, моим коллегой из бэкенд-разработки в Positive Technologies, хотим с вами поделиться вдохновением. Давайте вместе посмотрим на пакет context с последними обновлениями. На наш взгляд, он идеально выражает философию языка Go! Образцовый интерфейс, постоянное развитие пакета и использование самых распространенных приемов Go — все это говорит о том, что наш материал будет полезен не только новичкам, но и знатокам.

Если ваш продукт хочет купить крупная компания — не спешите радоваться и открывать шампанское. Впереди ждет ад по приемке службы безопасности, который может растянуться на месяцы. Мы не знаем ни одной компании, которая учла все требования заранее и легко прошла приемку службой ИБ. Да и мы сами несколько раз переделывали продукт, чтобы соответствовать требованиям. 

Чаще всего продуктовые команды фейлятся на одном и том же. В статье рассказали, как решить пять самых проблемных требований, чтобы продукт прошел приемку быстро и без критичных замечаний. 

Как известно, в 2007 году кроме того, что деревья были выше, а трава зеленей, еще и в Интернете не было особых ограничений - можно было открыть почти любой сайт и наслаждаться им. До ковровых блокировок Telegram оставалось ещё 10 лет... К сожалению, в наше время такой возможности уже нет. Причины тут всем известны, в частности, некоторые компании уже не предоставляют своих услуг в России.

Хорошо, что существует возможность в рамках домашней сети восстановить свободный Интернет таким, каким он был в 2007-м. Именно этим мы и займемся. Стоит отметить, что в 2007 году довольно часто можно было встретить подключения на скорости 64-128 Кб/с, а то и вовсе dial-up; Wi-Fi был редкостью, а мобильная связь - довольно дорогим удовольствием. Однако, эти особенности того времени мы постараемся не воспроизводить.

Представляю вашему вниманию Freeroute - простой маршрутизатор, который позволяет направлять трафик на разные шлюзы в зависимости от домена назначения. Free в названии, как водится, означает свободный, а не бесплатный.

Задумывались ли вы о том, что находится внутри зависимостей, которые так или иначе подтягиваются в ваш код? Взять чужую библиотеку сейчас — норма жизни, но чем это обернется с точки зрения безопасности?

Последние истории с node‑ipc и CTX заставили задуматься о том, что лежит внутри этих репозиториев. Оказалось, не только легитимный код. Там есть и попытки заработать без особых усилий, просто собирая информацию, и даже полноценные стиллеры. Причем негативных изменений стало больше после известных событий.

За подробностями о сканировании пакетов npm и PyPI добро пожаловать под кат.

В 2023 году, в эпоху взрывного роста нейросетей, вся IT-отрасль продолжает давать кандидатам в стажёры (и не только) домашние тестовые задания. Компании тратят время на то, чтобы придумать эти задания, студенты тратят время на то, чтобы их сделать, потом компании снова тратят время на проверку… В этой небольшой заметке я продемонстрирую, что все задачи последних лет решаются за несколько минут при использовании нейронки, доступ к которой может получить каждый.

Я возьму тестовые задания на Python, C++, Go и C#  и буду использовать только открытые источники, убрав названия компаний и прямые ссылки, чтобы исключить любые подозрения в предвзятости.

А в качестве нейронки использую ChatGPT Plus (GPT 4). Она всё еще очень глупа, много выдумывает и постоянно смешно ошибается, но как раз для таких задач годится хорошо.

И да, вместо дисклеймера. Если вы хоть немного успели «посотрудничать» с ChatGPT, то статья может показаться вам глубоко капитанскоочевидной (она такая и есть, безусловно). Но если вы вместо хайпа по нейронкам предпочитаете работать, то у вас нет времени на такие развлечения. Так что, возможно, несколько минут, которые вы сейчас потратите на прочтение, сэкономят вам много часов инвестиций в «ненастоящих стажеров» и «ненастоящих джунов». И соответственно, помогут не наделать ошибок при найме.

Традиционного пятничного контента вам в ленту. Меня зовут Соня, я деврел-менеджер команды Ozon Tech. Я помогаю нашим инженерам делиться опытом и создавать комьюнити по профессиональным интересам, организовываю митапы и занимаюсь продвижением опенсорс-проектов.

Ozon Tech как бренд сформировался относительно недавно, хотя за ним стоит команда из 3к+ IT-специалистов. Несколько месяцев назад мы подумали, что было бы круто, если бы у нас появился собственный талисман (он же маскот). Сегодня расскажу, как мы предложили инженерам самим придумать и изобразить его и в процессе убедились, что талантливый человек талантлив во всём.

Мы в Quadcode мечтали сюда попасть целых 8 лет, но все не находилось времени, а 3 года назад компания наняла бренд-менеджера (меня), чтобы сдвинуть желание иметь свой блог с мертвой точки. Так мы и начали свою блогерскую карьеру на Хабре на русском языке. Это наша финальная статья, где мы не только подводим итоги нашего Хабр-путешествия, но и рассказываем про то, как начать вести собственный корпоративный блог и что вас ждет на этом пути. В статье будет много рефлексии, поэтому, если ваше настроение располагает, – добро пожаловать под кат!