Wampiryczny blog

Na wypadek gdyby ktoś sprawdzał - tak, prowadziłem jeden z wykładów/warsztatów na CONFidence Class.

P.S.: zdjęcia z CONFidence Class.

Do posłuchania: What is an SBOM and Why Should You Care? w/ Allan Friedman.

Jedną z rzeczy, które mnie irytują/martwią to założenie, że problem opisywany jako Using Components with Known Vulnerabilities można zaadresować przez testowania. Nie, nie można i to z wielu powodów. Choćby dlatego, że pentest dzieje się w określonym czasie, a nowe podatności są wykrywane 24/7/365. Inne formy testowania (vulnerability scanning, source code scanning) również odbywają się okresowo. Nawet jeśli produkt jest aktywnie rozwijany, a samo skanowanie jest zintegrowane z CI/CD pipeline, to i tak istnieje niezerowa szansa, że problem nie jest rozwiązany. Dlaczego? Proste pytanie - jak wiele poziomów w głąb używane narzędzia sięgają?

Tutaj (paradoksalnie) uważam, że vulnerability scanning (lub raczej DAST) ma pewną przewagę nad SAST (pentestu nie porównuje z uwagi na inną "cykliczność") - jeśli narzędzie używane do skanowania ma sygnaturę (OK, w tym kontekście nie do końca o sygnaturę chodzi) dla określonej podatności, to istnieje duża szansa, na jej znalezienie, nawet jeśli jest ona powodowana przez bibliotekę wiszącą gdzieś głęboko w drzewie zależności.

@Filip: dla Ciebie :)

Jak zwykle miałem problem z wymyśleniem tytułu wpisu, więc użyłem stwierdzenia, używanego często przez mojego znajomego, a którego znaczenia nie podejmuję się wytłumaczyć. Nie, nie chodzi tutaj o znaczenie bezpośrednie, ale o kontekst, w którym jest ono używane.

Do rzeczy. Bardzo spodobał mi się wpis Tomka - Od Maca do Booka. Od dłuższego czasu używam na zmianę Dell XPS 13 oraz MacBook Pro 13”, model z 2015 roku. Części problemów opisanych przez Tomka nie doświadczyłem (choćby klawiatura), części tak (patrz Staingate). Jeśli chodzi o przegrzewanie się to większe problemy mam z moim XPS, może to czas zanieść go do serwisu, przeczyścić, (...).

Ale do rzeczy. Coraz bardziej jest mi wszystko jedno, którego systemu akurat używam. Lepiej czuję się pod Windows, znam go lepiej, ale praca na MacBooku nie jest wcale traumatycznym przeżyciem. Natomiast najistotniejsze jest to, że coraz większy udział w czasie spędzonym „przed komputerem” ma iPad, który jest wystarczająco dobry, jest cichy, ma bardzo przyzwoity czas pracy na baterii, a w przypadku potrzeby napisania większej ilości tekstu - pod ręką mam klawiaturę.

Gdyby ktoś mnie zapytał jaki będzie mój kolejny laptop - nie wiem. Natomiast najbliższym nabytkiem prawdopodobnie będzie nowszy iPad, i to wcale nie Pro - „zwykły” jest wystarczająco dobry.

Ostatnio zmieniałem ISP, tym razem światłowód. Cóż, to dość dziwne uczucie, gdy kabel, który sam zaciskałeś dość dawno temu okazuje się powodem ograniczenia przepustowości łącza. Tak, obecnie moje łącze to ponad 100Mbps, a kabel, który był słabo zaciśnięty, ograniczał przepustowość do 100Mbps. Wcale nie jest wykluczone, że ten kabel zaciskałem w czasie, gdy łącze, z którego korzystałem miało zawrotną przepustowość 512kbps...

P.S. Tym razem mam swoją skrzynkę z krosownicą. Udało się nie stracić żadnych palców przy zabawie z kabelkami.

Tak, udało się, tym razem łączny dystans to 1200 kilometrów. W tym roku dystans nie był celem samym w sobie, chodziło mi przede wszystkim o utrzymanie nawyku i to udało się zrealizować. Trzy razy w tygodniu (z reguły - poniedziałek, środa i piątek) czuję wewnętrzną presję by pójść pobiegać. Oczywiście zdarzały się tygodnie, gdy nie udało się tego osiągnąć, ale to były raczej odstępstwa od reguły, zwykle spowodowane „obiektywnymi trudnościami”.