GG
Нехорошее
Уххх
Жаришко
Size: a a a
2020 July 18
DD
OS
Нехорошее
У вас тут токсичная атмосфера. По делу есть тезисы, или переключимся на твои способности тонкого психолога в оценке собеседников?
DD
Тут нет токсичной атмосферы
Просто не у всех сейчас подходящее настроение)
Просто не у всех сейчас подходящее настроение)
GG
У вас тут токсичная атмосфера. По делу есть тезисы, или переключимся на твои способности тонкого психолога в оценке собеседников?
Не нужно кормить из себя Бога, ок ?
GG
Всем чмоки, вернусь через час. Надо мелких уложить. Может и @s2504s подтянется
OS
Не нужно кормить из себя Бога, ок ?
Тут чат непрошеных советов или что?
GG
Пожалуйся админу
GG
Всем чмоки, вернусь через час. Надо мелких уложить. Может и @s2504s подтянется
👆
OS
Админы, зобаньте этого утомительного хама!
OS
Пойду писать жалобу в РосХамНадзор.
RR
Ну вот, а я тока сел читать
RR
А просто артефактами сканирования. Но нужно делать анализ по каждому кейсу. И это типичная история, когда были юнит тесты, e2e tests, интеграционные
Машин лернинг анализ - если таких же два уже не чинили то и этот выбрасываем
RR
Всмысле в исключения
c
+ статический анализатор может легко сотнями наваливать "баги" =)
Это предсказуемо, на 1000 строк кода 100 уже с багами по статистике.
RR
А я ж правильно понимаю что с сонаром воркфлоу примерно такой: запустил первый раз, потом неделю-две добавил в исключения все что можно и нельзя, потом осталось допустим 3% от того что нарисовало сначала - и тут уже можно работать?
Я так делал один раз, а один раз пришел на готовый а там уже из проекта только одна маленькая папочка сканировалась
Я так делал один раз, а один раз пришел на готовый а там уже из проекта только одна маленькая папочка сканировалась
c
Крч я понял. Если тыща уязвимостей отлежалась не менее года - то они какбэ уже не уязвимости, а винтажный раритет.
Не скажи, уровень уязвимости влияет на риски использования ПО, тем более что появление эксплоитов через год повышает риск
С
Практически у любых ребят не хватит времени фиксить 100% багов. Поэтому баги сортируют и все такое. Разница между багами и рефакторингом вполне очевидна: рефакторинг потенциально деливерит больше ценности, поэтому ситуацию вполне себе можно представить.
c
И уж если у ребят не находится времени тупо зафиксить существующие известные уязвимости, то схрена ли вдруг появится время на рефакторинг - решительно непонятно.
Не с той стороны заходите
YS
Ну вообще это абсолютно нормальная практика, после первого прогона скана, например, статики, всё что насканилось называется техническим долгом команды ИБ, который нужно разобрать. Он методично и потихоньку своими силами или третьей стороны разбирается и только актуальные баги заносятся в Jira.
А вот сканирование нового кода или инкременты на пуллреквесты могут дать хороший результат. То есть мы не закидывает команду сразу отчётом на 3 тыщи страниц, а говорим, что вот в новом коде так писать не стоит. И поправить это проще и быстрее, так как фича ещё в разработке и не вызывает такого негатива.
А вот сканирование нового кода или инкременты на пуллреквесты могут дать хороший результат. То есть мы не закидывает команду сразу отчётом на 3 тыщи страниц, а говорим, что вот в новом коде так писать не стоит. И поправить это проще и быстрее, так как фича ещё в разработке и не вызывает такого негатива.