#проверка_кода — Public Fediverse posts

AI в ИБ RuStore: от ревью задач и кода до AI-DAST

Работа ИБ в продуктовой разработке — это не только поиск сложных уязвимостей и редких атакующих сценариев. Значительная её часть состоит из регулярной операционной нагрузки: нужно разбирать новые задачи, смотреть изменения в коде, проверять релизы, собирать контекст и вовремя замечать потенциальные риски. Именно на этом уровне возникает основной объём рутины. Инженер по безопасности снова и снова выполняет одни и те же базовые действия: читает постановку, анализирует контекст, проверяет типовые паттерны, отсеивает очевидные проблемы. Эта работа необходима, но она отнимает кучу времени, которое должно уходить на более сложный анализ и принятие решений. Увеличивать команду ради такой нагрузки — не всегда лучший путь, поскольку вместе с экспертностью масштабируется и рутина. Поэтому для нас следующим логичным шагом стало использование AI — не как замены инженера, а как инструмента, который берёт на себя первичный слой проверки. Мы посмотрели на процесс ИБ внутри релизного цикла и выделили участки с наибольшей повторяемостью. Таких точек оказалось три: первичный разбор Security Check-задач, анализ кода в merge request и динамическое тестирование приложений. Во всех этих сценариях сначала выполняется типовая работа, и только потом начинается действительно экспертная часть.

https://habr.com/ru/companies/vk/articles/1023662/

#infosec #проверка_кода #проверка_задач #информационная_безопасность #динамическое_тестирование #анализ_кода

AI в ИБ RuStore: от ревью задач и кода до AI-DAST

Работа ИБ в продуктовой разработке — это не только поиск сложных уязвимостей и редких атакующих сценариев. Значительная её часть состоит из регулярной операционной нагрузки: нужно разбирать новые задачи, смотреть изменения в коде, проверять релизы, собирать контекст и вовремя замечать потенциальные риски. Именно на этом уровне возникает основной объём рутины. Инженер по безопасности снова и снова выполняет одни и те же базовые действия: читает постановку, анализирует контекст, проверяет типовые паттерны, отсеивает очевидные проблемы. Эта работа необходима, но она отнимает кучу времени, которое должно уходить на более сложный анализ и принятие решений. Увеличивать команду ради такой нагрузки — не всегда лучший путь, поскольку вместе с экспертностью масштабируется и рутина. Поэтому для нас следующим логичным шагом стало использование AI — не как замены инженера, а как инструмента, который берёт на себя первичный слой проверки. Мы посмотрели на процесс ИБ внутри релизного цикла и выделили участки с наибольшей повторяемостью. Таких точек оказалось три: первичный разбор Security Check-задач, анализ кода в merge request и динамическое тестирование приложений. Во всех этих сценариях сначала выполняется типовая работа, и только потом начинается действительно экспертная часть.

https://habr.com/ru/companies/vk/articles/1023662/

#infosec #проверка_кода #проверка_задач #информационная_безопасность #динамическое_тестирование #анализ_кода

AI в ИБ RuStore: от ревью задач и кода до AI-DAST

Работа ИБ в продуктовой разработке — это не только поиск сложных уязвимостей и редких атакующих сценариев. Значительная её часть состоит из регулярной операционной нагрузки: нужно разбирать новые задачи, смотреть изменения в коде, проверять релизы, собирать контекст и вовремя замечать потенциальные риски. Именно на этом уровне возникает основной объём рутины. Инженер по безопасности снова и снова выполняет одни и те же базовые действия: читает постановку, анализирует контекст, проверяет типовые паттерны, отсеивает очевидные проблемы. Эта работа необходима, но она отнимает кучу времени, которое должно уходить на более сложный анализ и принятие решений. Увеличивать команду ради такой нагрузки — не всегда лучший путь, поскольку вместе с экспертностью масштабируется и рутина. Поэтому для нас следующим логичным шагом стало использование AI — не как замены инженера, а как инструмента, который берёт на себя первичный слой проверки. Мы посмотрели на процесс ИБ внутри релизного цикла и выделили участки с наибольшей повторяемостью. Таких точек оказалось три: первичный разбор Security Check-задач, анализ кода в merge request и динамическое тестирование приложений. Во всех этих сценариях сначала выполняется типовая работа, и только потом начинается действительно экспертная часть.

https://habr.com/ru/companies/vk/articles/1023662/

#infosec #проверка_кода #проверка_задач #информационная_безопасность #динамическое_тестирование #анализ_кода

AI в ИБ RuStore: от ревью задач и кода до AI-DAST

Работа ИБ в продуктовой разработке — это не только поиск сложных уязвимостей и редких атакующих сценариев. Значительная её часть состоит из регулярной операционной нагрузки: нужно разбирать новые задачи, смотреть изменения в коде, проверять релизы, собирать контекст и вовремя замечать потенциальные риски. Именно на этом уровне возникает основной объём рутины. Инженер по безопасности снова и снова выполняет одни и те же базовые действия: читает постановку, анализирует контекст, проверяет типовые паттерны, отсеивает очевидные проблемы. Эта работа необходима, но она отнимает кучу времени, которое должно уходить на более сложный анализ и принятие решений. Увеличивать команду ради такой нагрузки — не всегда лучший путь, поскольку вместе с экспертностью масштабируется и рутина. Поэтому для нас следующим логичным шагом стало использование AI — не как замены инженера, а как инструмента, который берёт на себя первичный слой проверки. Мы посмотрели на процесс ИБ внутри релизного цикла и выделили участки с наибольшей повторяемостью. Таких точек оказалось три: первичный разбор Security Check-задач, анализ кода в merge request и динамическое тестирование приложений. Во всех этих сценариях сначала выполняется типовая работа, и только потом начинается действительно экспертная часть.

https://habr.com/ru/companies/vk/articles/1023662/

#infosec #проверка_кода #проверка_задач #информационная_безопасность #динамическое_тестирование #анализ_кода

Сам свой код и тестируй: кто [на самом деле] должен искать баги

Не так давно с коллегами обсуждали самостоятельное тестирование свеженаписанного кода. Один тимлид из нашей команды рассказал про разработчика, который отдавал код на тест, не проверяя за собой. Аргумент у него был «железный»: проверка не его забота, для этого есть тестировщики. Если честно, меня удивляет, что такая позиция в мире современного ИТ всё ещё существует. Так что я решил собрать аргументы и объяснить, почему самотестирование – важная часть рутины разработчика. Будет интересно послушать в комментария аргументы тех, кто с этим не согласен.

https://habr.com/ru/articles/1018524/

#тестирование #qa_testing #qa_engineer #будни_разработчика #карьера_в_it #qa #qa_automation #qa_management #проверка_кода

Сам свой код и тестируй: кто [на самом деле] должен искать баги

Не так давно с коллегами обсуждали самостоятельное тестирование свеженаписанного кода. Один тимлид из нашей команды рассказал про разработчика, который отдавал код на тест, не проверяя за собой. Аргумент у него был «железный»: проверка не его забота, для этого есть тестировщики. Если честно, меня удивляет, что такая позиция в мире современного ИТ всё ещё существует. Так что я решил собрать аргументы и объяснить, почему самотестирование – важная часть рутины разработчика. Будет интересно послушать в комментария аргументы тех, кто с этим не согласен.

https://habr.com/ru/articles/1018524/

#тестирование #qa_testing #qa_engineer #будни_разработчика #карьера_в_it #qa #qa_automation #qa_management #проверка_кода

Сам свой код и тестируй: кто [на самом деле] должен искать баги

Не так давно с коллегами обсуждали самостоятельное тестирование свеженаписанного кода. Один тимлид из нашей команды рассказал про разработчика, который отдавал код на тест, не проверяя за собой. Аргумент у него был «железный»: проверка не его забота, для этого есть тестировщики. Если честно, меня удивляет, что такая позиция в мире современного ИТ всё ещё существует. Так что я решил собрать аргументы и объяснить, почему самотестирование – важная часть рутины разработчика. Будет интересно послушать в комментария аргументы тех, кто с этим не согласен.

https://habr.com/ru/articles/1018524/

#тестирование #qa_testing #qa_engineer #будни_разработчика #карьера_в_it #qa #qa_automation #qa_management #проверка_кода

Сам свой код и тестируй: кто [на самом деле] должен искать баги

Не так давно с коллегами обсуждали самостоятельное тестирование свеженаписанного кода. Один тимлид из нашей команды рассказал про разработчика, который отдавал код на тест, не проверяя за собой. Аргумент у него был «железный»: проверка не его забота, для этого есть тестировщики. Если честно, меня удивляет, что такая позиция в мире современного ИТ всё ещё существует. Так что я решил собрать аргументы и объяснить, почему самотестирование – важная часть рутины разработчика. Будет интересно послушать в комментария аргументы тех, кто с этим не согласен.

https://habr.com/ru/articles/1018524/

#тестирование #qa_testing #qa_engineer #будни_разработчика #карьера_в_it #qa #qa_automation #qa_management #проверка_кода

Линтеры вне кода: как HTML, Markdown и YAML становятся предсказуемыми

Когда я прихожу в новый проект и провожу аудит, почти всегда вижу одну и ту же картину. Код аккуратный, линтеры строгие, CI настроен. Но стоит открыть разметку или конфиги — и начинается творческий беспорядок. Кто-то форматирует по одному, кто-то по другому, кто-то копирует куски из StackOverflow, не особо понимая синтаксис. Получается парадокс: мы защищаем самую очевидную часть системы и игнорируем инфраструктуру, документацию и шаблоны. Хотя по факту это такие же контракты проекта, просто записанные не на языке программирования, а на языках разметки. Со временем я перестал разделять «код» и «не код». Если файл участвует в работе продукта — он должен быть проверяемым. Автоматически. Без надежды на внимательность разработчика. В данной статье я покажу, как именно это выглядит на практике и какие инструменты я использую каждый день.

https://habr.com/ru/articles/1001496/

#линтеры #git_hooks #htmlhint #markdownlint #yamllint #проверка_кода #ci #качество_кода #контроль_качества #code_style

Линтеры вне кода: как HTML, Markdown и YAML становятся предсказуемыми

Когда я прихожу в новый проект и провожу аудит, почти всегда вижу одну и ту же картину. Код аккуратный, линтеры строгие, CI настроен. Но стоит открыть разметку или конфиги — и начинается творческий беспорядок. Кто-то форматирует по одному, кто-то по другому, кто-то копирует куски из StackOverflow, не особо понимая синтаксис. Получается парадокс: мы защищаем самую очевидную часть системы и игнорируем инфраструктуру, документацию и шаблоны. Хотя по факту это такие же контракты проекта, просто записанные не на языке программирования, а на языках разметки. Со временем я перестал разделять «код» и «не код». Если файл участвует в работе продукта — он должен быть проверяемым. Автоматически. Без надежды на внимательность разработчика. В данной статье я покажу, как именно это выглядит на практике и какие инструменты я использую каждый день.

https://habr.com/ru/articles/1001496/

#линтеры #git_hooks #htmlhint #markdownlint #yamllint #проверка_кода #ci #качество_кода #контроль_качества #code_style

Линтеры вне кода: как HTML, Markdown и YAML становятся предсказуемыми

Когда я прихожу в новый проект и провожу аудит, почти всегда вижу одну и ту же картину. Код аккуратный, линтеры строгие, CI настроен. Но стоит открыть разметку или конфиги — и начинается творческий беспорядок. Кто-то форматирует по одному, кто-то по другому, кто-то копирует куски из StackOverflow, не особо понимая синтаксис. Получается парадокс: мы защищаем самую очевидную часть системы и игнорируем инфраструктуру, документацию и шаблоны. Хотя по факту это такие же контракты проекта, просто записанные не на языке программирования, а на языках разметки. Со временем я перестал разделять «код» и «не код». Если файл участвует в работе продукта — он должен быть проверяемым. Автоматически. Без надежды на внимательность разработчика. В данной статье я покажу, как именно это выглядит на практике и какие инструменты я использую каждый день.

https://habr.com/ru/articles/1001496/

#линтеры #git_hooks #htmlhint #markdownlint #yamllint #проверка_кода #ci #качество_кода #контроль_качества #code_style

Линтеры вне кода: как HTML, Markdown и YAML становятся предсказуемыми

Когда я прихожу в новый проект и провожу аудит, почти всегда вижу одну и ту же картину. Код аккуратный, линтеры строгие, CI настроен. Но стоит открыть разметку или конфиги — и начинается творческий беспорядок. Кто-то форматирует по одному, кто-то по другому, кто-то копирует куски из StackOverflow, не особо понимая синтаксис. Получается парадокс: мы защищаем самую очевидную часть системы и игнорируем инфраструктуру, документацию и шаблоны. Хотя по факту это такие же контракты проекта, просто записанные не на языке программирования, а на языках разметки. Со временем я перестал разделять «код» и «не код». Если файл участвует в работе продукта — он должен быть проверяемым. Автоматически. Без надежды на внимательность разработчика. В данной статье я покажу, как именно это выглядит на практике и какие инструменты я использую каждый день.

https://habr.com/ru/articles/1001496/

#линтеры #git_hooks #htmlhint #markdownlint #yamllint #проверка_кода #ci #качество_кода #контроль_качества #code_style

Лучшие практики RuStore: правила хорошего Code Review для Android

Привет, я Михаил Емельянов, руководитель Android-направления в RuStore. Над стором трудится большая команда разработчиков, проект регулярно дорабатывается, а количество новых строк кода неизменно увеличивается. За год работы команда магазина приложений выпустила невероятное число версий и сборок Android, несколько раз пересмотрела, как верно должен работать процесс установки, и собрала огромное количество готовых SDK , кажется, под всё, что только можно представить. За это время мы сформировали правила, которые позволили сократить время на разработку и тестирование, и избежать ошибок в конечном продукте. В этой статье расскажем, как мы построили процесс Code Review в RuStore, какую проблему решали, поделимся нашими практиками и сделаем выводы.

https://habr.com/ru/companies/vk/articles/790044/

#code_review #проверка_кода #код_ревью #best_practices

Как я доказывал Google, что мне нужны данные юзеров, но я не скамер

Привет! Я Влад, Android-разработчик. Три года я делаю корпоративное приложение банка. Сегодня поделюсь темой, из-за которой я фрустрировал три месяца, столько же общался с проверяющими из около-гугловой компании, наблюдая, как приложение теряет баллы в сторе. Речь пойдёт про спортивный челлендж. Однажды мы пригласили сотрудников посоревноваться в количестве шагов. На мне была реализация функционала на Андроид. А я всегда говорил: хочешь спокойствия — выбирай Айфон, хочешь веселья — Андроид. Почему мы не смогли запуститься вместе с iOS, как я вспоминал технический английский и что делал, чтобы получить доступ к метрикам пользователя — поделюсь в статье. Будет много эмоций и мемов на эту тему.

https://habr.com/ru/companies/alfa/articles/811835/

#публикация_приложений #google_fit #пользовательские_метрики #privacy_policy #google_api #casa #проверка_кода #ассессмент

Сертификация и безопасная разработка: простым языком

Так как мы уже начали эту тему и рассказали вам про процесс SCA, настало время поговорить о том, как именно тестируется исходный код приложений и сами приложения с точки зрения безопасности. Как и в прошлый раз, это статья для безопасников, которым по каким-то причинам нужно поддержать разговор про SSDL – безопасную разработку.

https://habr.com/ru/companies/securityvison/articles/901650/

#сертификация #безопасная_разработка #безопасная_разработка_приложений #статика #динамика #проверка_кода #информационная_безопасность #информационные_технологии #тестирование_по #тестирование_приложений

Копаемся в открытом исходном коде Unity VR игр. Часть 2: NorthStar

Это вторая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, найденных с помощью PVS-Studio. Знакомьтесь, NorthStar!

https://habr.com/ru/companies/pvs-studio/articles/940960/

#проверка_кода #c# #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры

Копаемся в открытом исходном коде Unity VR игр. Часть 1: RocketMan

Это первая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, которые нашлись с помощью PVS-Studio. Знакомьтесь, RocketMan!

https://habr.com/ru/companies/pvs-studio/articles/939886/

#проверка_кода #c# #vr #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры

Фиксим баги в вашем AI или разбор ошибок в OpenVINO

Друзья-разработчики, приглашаем вас продолжить захватывающее путешествие по дебрям кода Intel OpenVINO! Вооружившись статическим анализатором аки детективы, мы разоблачим наиболее коварные, интересные ошибки и опечатки, а также их скрытые тайны, оставшиеся за рамками первой части статьи.

https://habr.com/ru/companies/pvs-studio/articles/831080/

#c++ #безопасность #баги #openvino #ии #проверка_кода

Расширение PVS-Studio для Visual Studio Code: поиск ошибок в Java-коде

Java-разработчик и предпочитаешь работать в VS Code? Для тебя есть хорошая новость! Теперь ты можешь писать ещё более надёжный код вместе с расширением PVS-Studio, которое помогает находить ошибки в Java-проектах и не только.

https://habr.com/ru/companies/pvs-studio/articles/792580/

#visual_studio_code #расширения #проверка_кода #плагин #java #pvsstudio #статический_анализ_кода #автоматический_поиск_багов

Путь к совершенному ПО: Искусственный интеллект в автоматической формальной верификации

При написании высококачественного программного обеспечения не обойтись без этапа формальной верификации . Несмотря на то, что наша жизнь уже была в некоторой степени упрощена, благодаря таким помощникам доказательства как Coq и Isabelle/HOL, обучающим модель предсказывать один шаг доказательства за раз, оптимизация формальной верификации еще не была достигнута. Новый метод автоматической генерации доказательств – модель Baldur . Данный метод основывается на использовании больших языковых моделей, возможности восстановления доказательства и исправления благодаря указанию ошибки и добавлению контекста. Baldur превосходит все существующие подходы, он может самостоятельно полностью за раз доказывать 47.9% теорем, и даже этот результат – не предел. В данной статье я познакомлю Вас со всей теоретической и практической подноготной данной модели, этапами реализации и оценки метода, чтобы стать чуточку ближе к созданию идеального ПО! Приятного прочтения :)

https://habr.com/ru/companies/bothub/articles/792196/

#ии #ии_и_машинное_обучение #программное_обеспечение #формальная_верификация #проверка_кода #доказательство_теорем #isabelle #thor #компиляторы #baldur

Копаемся в открытом исходном коде Unity VR игр. Часть 2: NorthStar

Это вторая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, найденных с помощью PVS-Studio. Знакомьтесь, NorthStar!

https://habr.com/ru/companies/pvs-studio/articles/940960/

#проверка_кода #c# #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры

Копаемся в открытом исходном коде Unity VR игр. Часть 2: NorthStar

Это вторая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, найденных с помощью PVS-Studio. Знакомьтесь, NorthStar!

https://habr.com/ru/companies/pvs-studio/articles/940960/

#проверка_кода #c# #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры

Копаемся в открытом исходном коде Unity VR игр. Часть 2: NorthStar

Это вторая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, найденных с помощью PVS-Studio. Знакомьтесь, NorthStar!

https://habr.com/ru/companies/pvs-studio/articles/940960/

#проверка_кода #c# #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры

Копаемся в открытом исходном коде Unity VR игр. Часть 1: RocketMan

Это первая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, которые нашлись с помощью PVS-Studio. Знакомьтесь, RocketMan!

https://habr.com/ru/companies/pvs-studio/articles/939886/

#проверка_кода #c# #vr #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры

Копаемся в открытом исходном коде Unity VR игр. Часть 1: RocketMan

Это первая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, которые нашлись с помощью PVS-Studio. Знакомьтесь, RocketMan!

https://habr.com/ru/companies/pvs-studio/articles/939886/

#проверка_кода #c# #vr #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры

Копаемся в открытом исходном коде Unity VR игр. Часть 1: RocketMan

Это первая статья из небольшого цикла, посвящённого знакомству с некоторыми любопытными VR-играми, а заодно и с примерами проблем в их исходном коде, которые нашлись с помощью PVS-Studio. Знакомьтесь, RocketMan!

https://habr.com/ru/companies/pvs-studio/articles/939886/

#проверка_кода #c# #vr #unity #баги #open_source #pvsstudio #статический_анализатор_кода #программирование #игры