Z
прям вообще спасибо
Size: a a a
2021 April 02
Z
книги переслал, и сам открыл))
S
книги переслал, и сам открыл))
И канал профильный как бонус @sec_devops
2021 April 03
MD
уволят быстрее) кодеры хоть деньги приносят..а ты одни проблемы со своим ибэ
Основная часть кодеров копипастом занимаются со стековерфлоу, так что это вопрос кого там увольнять надо😂
AK
Основная часть кодеров копипастом занимаются со стековерфлоу, так что это вопрос кого там увольнять надо😂
Не пали
S
Основная часть кодеров копипастом занимаются со стековерфлоу, так что это вопрос кого там увольнять надо😂
Плагин же есть для скана на предмет совпадения со стек оверфлоу, уважающий себя безоп так контролирует в CI/CD кто говнокодит в продукт и выдает жёлтые и красные карточки ебланам.
a
С учётом вышеуказанного про кодинг, можно в первую очередь рассмотреть вопрос выявления дефектов в заимствованном коде и инструменты класса osa/sca
MD
Плагин же есть для скана на предмет совпадения со стек оверфлоу, уважающий себя безоп так контролирует в CI/CD кто говнокодит в продукт и выдает жёлтые и красные карточки ебланам.
он что и реверсит?😊
a
Sonar нужно накручивать до sast. Вроде как по умолчанию, в первую очередь, он даёт оценку качества кода
S
он что и реверсит?😊
Ну не сложно в нескольких строках копипасты насовать дыр размером с автомобильный тоннель
S
И да, я видел организации, где безопы паленые куски кода на ревью брали, и заполняли жёлтые и красные карточки говноедам.
MD
Ну не сложно в нескольких строках копипасты насовать дыр размером с автомобильный тоннель
ну если вообще ноль в языке, опишу пример 30-ти летней давности: у меня допустим в коде асма функция перемещения области памяти, соответственно в регистры заносится адресс и размер блока и потом переброс, все команды занимают 12 тактов (помоему) мне дают процедуру на те же действия, но занимет 7 тактов. И что это копипаст разве и говнокодинг?
AK
Плагин же есть для скана на предмет совпадения со стек оверфлоу, уважающий себя безоп так контролирует в CI/CD кто говнокодит в продукт и выдает жёлтые и красные карточки ебланам.
уважающий себя безоп автоматически гуглит куски продакшн кода, пронося коммерческую тайну в интернет через ?q= ?😆
AK
самая хитрая длп не догадается
MD
Да вообще какой-то странный тест с точки зрения ИБ, толи сотрудники какие-то экспресс-курсы прошли, толи хз. В первую очередь код надо проверить на не копипаст, а создает ли CVE он или нет
S
уважающий себя безоп автоматически гуглит куски продакшн кода, пронося коммерческую тайну в интернет через ?q= ?😆
Лол ок
S
Да вообще какой-то странный тест с точки зрения ИБ, толи сотрудники какие-то экспресс-курсы прошли, толи хз. В первую очередь код надо проверить на не копипаст, а создает ли CVE он или нет
Ну вот зависит от компании
S
Многим не нужно.
AK
да и нет никакой проблемы в стековерфлоу, есть проблема плохого кода, решаемая иерархией ревью, прокачкой скиллов внутри команды