Новая легковесная IDE от JetBrains:
https://www.jetbrains.com/ru-ru/fleet
https://www.jetbrains.com/ru-ru/fleet
Как будут выглядеть реакции
В одном из следующих обновлений Telegram появятся реакции на сообщения. Сейчас проходит второй этап конкурса по реализации реакций со сроком завершения 10 декабря.
В канале конкурса опубликованы требования и дизайн-макеты. Реакции будут в личных чатах, в группах и в каналах.
В одном из следующих обновлений Telegram появятся реакции на сообщения. Сейчас проходит второй этап конкурса по реализации реакций со сроком завершения 10 декабря.
В канале конкурса опубликованы требования и дизайн-макеты. Реакции будут в личных чатах, в группах и в каналах.
Шпаргалка по алгоритму прохождения запроса и состояния которые могут вернуться.
Источник: https://github.com/for-GET/http-decision-diagram
Источник: https://github.com/for-GET/http-decision-diagram
Интересная статейка на хекслете о том есть ли будущее у PHP.
Хекслет
Язык программирования PHP: рейтинг, сферы применения, прогнозы экспертов
Рассказываем, зачем и где учить PHP, где его применяют, сколько зарабатывают PHP-разработчики, а также приводим мнения экспертов о перспективах и популярности языка.
Тут Онтико поделился почему и когда нужно переходить на микросервисы на фронте
https://habr.com/ru/post/660695
https://habr.com/ru/post/660695
Хабр
Микросервис головного мозга. Рецепты качества
Эта статья подготовлена на основе доклада «Микросервис головного мозга» Михаила Трифонова , Lead frontend Cloud и основателя frontend-сообщества TeamSnack . Мы разберём когда необходимы...
Forwarded from Пых (Валентин Удальцов)
Не игнорьте .idea в репозитории
(Реинкарнация старого доброго поста)
Я считаю, что на проекте не должно быть строгой фиксации на IDE. Каждый может кодить в чём хочет. Главное, чтобы в итоге код был причёсан в согласованном командой стиле. И для этого нужны не git-хуки и не расшаренные конфиги IDE, а CI с проверкой на Code Style. Тогда можно хоть с телефона в браузере левой ногой правки вносить — вмерджить неправильный код в мастер всё равно не получится.
А теперь мысленно доведём ситуацию до абсурда, чтобы выявить проблему. Представим, что каждый из 100 разработчиков проекта решил использовать свою кастомную IDE с уникальными временными файлами и предложил по одному PR в каждый из 100 микросервисов на изменение .gitignore. Поздравляю, у нас 10_000 PR!😮
Вывод: код должен быть IDE-агностик, то есть не зависеть от среды разработки!
И это элементарно достигается настройкой глобального
Добавьте всего лишь две команды в ваш чек-лист для онбоардинга:
—————————
PHP-линч #9 сегодня в 19:00.
(Реинкарнация старого доброго поста)
Я считаю, что на проекте не должно быть строгой фиксации на IDE. Каждый может кодить в чём хочет. Главное, чтобы в итоге код был причёсан в согласованном командой стиле. И для этого нужны не git-хуки и не расшаренные конфиги IDE, а CI с проверкой на Code Style. Тогда можно хоть с телефона в браузере левой ногой правки вносить — вмерджить неправильный код в мастер всё равно не получится.
А теперь мысленно доведём ситуацию до абсурда, чтобы выявить проблему. Представим, что каждый из 100 разработчиков проекта решил использовать свою кастомную IDE с уникальными временными файлами и предложил по одному PR в каждый из 100 микросервисов на изменение .gitignore. Поздравляю, у нас 10_000 PR!
Вывод: код должен быть IDE-агностик, то есть не зависеть от среды разработки!
И это элементарно достигается настройкой глобального
.gitignore
на машине разработчика. Каждый прописывает себе те исключения, которые необходимы для его ОС, IDE и прочих инструментов, а затем спокойно открывает абсолютно любой проект, не боясь закоммитить лишнее.Добавьте всего лишь две команды в ваш чек-лист для онбоардинга:
git config --global core.excludesfile ~/.gitignore
echo '.idea/' >> ~/.gitignore
—————————
PHP-линч #9 сегодня в 19:00.
Please open Telegram to view this post
VIEW IN TELEGRAM
Дедушку С кто только не пинает уже). Интересно застанем ли мы его закат?
Forwarded from T.Hunter
#news Вышла новая версия инструмента Curl, экстренно правящая две серьёзных уязвимости, «худшие в проекте за долгое время». CVE-2023-38545 с оценкой 7.5 по CVSS на переполнение буфера кучи как в libcurl, так и в curl с потенциалом на повреждение данных и произвольный код. И выбившая пятёрочку CVE-2023-38546 на инъекцию куки, риск атак по которой невысок. Приложениям, зависимым от libcurl версий от 7.69.0 до 8.3.0, срочно нужен патч.
Между тем разработчик искренне раскаивается: первая уязвимость провисела в коде 3,5 года, а, читая его сейчас, он удивляется как мог её не заметить. «Я всего лишь человек» – доверительно сообщает Стенберг. Всё так, всё так. При этом решить проблему косячного wetware мог бы перевод Curl на более безопасный язык с устаревшего C. Увы, этого на повестке дня нет. «Все, кому это не нравится, могут засучить рукава и самостоятельно приступить к разработке», — добавил Стенберг. Что ж, справедливо.
@tomhunter
Между тем разработчик искренне раскаивается: первая уязвимость провисела в коде 3,5 года, а, читая его сейчас, он удивляется как мог её не заметить. «Я всего лишь человек» – доверительно сообщает Стенберг. Всё так, всё так. При этом решить проблему косячного wetware мог бы перевод Curl на более безопасный язык с устаревшего C. Увы, этого на повестке дня нет. «Все, кому это не нравится, могут засучить рукава и самостоятельно приступить к разработке», — добавил Стенберг. Что ж, справедливо.
@tomhunter
https://www.conventionalcommits.org/ru/v1.0.0/
Соглашение о написании сообщении коммитов
Соглашение о написании сообщении коммитов
Forwarded from КиберТопор
This media is not supported in your browser
VIEW IN TELEGRAM
Meta выпустила ИИ для генерации кода, которая превосходит GPT-4.
Code Llama 70B теперь можно запустить у себя на компьютере, бесплатно, без VPN и цензуры.
Даже без подключения к сети чат-бот будет кодить игры, находить баги, выполнять технические задачи и многое другое. Для запуска на ПК должно быть достаточно мощностей и свободного места на диске.
Запрашиваем доступ здесь.
🕹КиберТопор
Code Llama 70B теперь можно запустить у себя на компьютере, бесплатно, без VPN и цензуры.
Даже без подключения к сети чат-бот будет кодить игры, находить баги, выполнять технические задачи и многое другое. Для запуска на ПК должно быть достаточно мощностей и свободного места на диске.
Запрашиваем доступ здесь.
🕹КиберТопор
Forwarded from Авва
В мире компьютерной безопасности сегодня интересный день. Точнее, он начался вчера вечером, когда немецкий разработчик Андрес Фройнд опубликовал отчет о тайной лазейке (бэкдор), которую он обнаружил в новых версиях широко используемой библиотеки для сжатия liblzma (часть архиватора xz). Лазейка позволяет взломщикам заходить через SSH на системы, в которых установлены эти новые версии - к счастью, похоже, что это всего несколько дистрибутивов Линукса в их до-релизовых версиях.
Всех очень впечатлило, насколько эта лазейка была сделана хитро, и как взломщик или взломщики серьезно поработали над тем, чтобы замести следы:
- взломщик под именем/псевдонимом Jia Tan почти два года (!) участвовал в разработке опенсорсного пакета xz, завоевал доверие его мейнтейнеров и получил доступ к прямому коммиту в его репозиторию. Он сделал больше 700 коммитов, лишь малая часть которых медленно подготовила код для лазейки
- основной код лазейки спрятан в тестовых файлах проекта (примеры "плохих" и "хороших" архивов)
- исходный код, который включает лазейку в собственно библиотеку, вообще не является частью основной репозитории в Github. Он спрятан в тар-архивах двух последних релизов, которые обычно используются мейнтейнерами дистрибутивов. То есть есть таг релиза, есть архив, якобы собранный из репозитории в момент этого тага, но на самом деле в нем есть крохотная добавка; в самой репозитории ее нет
- эта добавка прячется в конфигурационной магии autoconf, которую все ненавидят лютой ненавистью и никто никогда не заглядывает внутрь
- она проверяет, когда исходники конфигурируют именно для постройки дебиан-пакета или RPM-пакета (т.е. то, что будут делать мейтейнеры дистрибутивов), и только в этом случае вынимает из тестовых файлов определенные куски и добавляет в код библиотеки
- внутри библиотеки код лазейки заменяет несколько функций, которые работают с символьными таблицами библиотек во время их подгружения. Затрачены специальные усилия, чтобы имена функций не появлялись в двоичном коде. Что именно дальше делает код лазейки, до конца еще не ясно, но он обрабатывает сам символьные таблицы библиотек, и видимо находит то, что имеет отношение к SSH серверу, и что-то там заменяет. Это еще проверяют сейчас.
- интересно, что openssh, стандартный SSH-сервер под линуксом, не использует библиотеку liblzma, в которую вставили эту лазейку, но несколько популярных дистрибутивов добавляют в него поддержку уведомлений системы, systemd, а библиотека libsystemd уже в свою очередь использует liblzma.
- после того, как вышли версии библиотеки с ошибкой, несколько разных людей с незамеченными до того именами (очевидно, альты взломщика или сообщники) стали открывать запросы в разных программах и пакетах сделать апгрейд на эти новые версии, и в некоторых случаях преуспели
Взломщик допустил только одну ошибку: код лазейки, когда он работает как часть openssh, довольно медленно обрабатывает эти символьные таблицы, или что он еще там делает, и даже неудачная попытка логина на такую систему занимает на полсекунды дольше, чем обычно. Андрес Фройнд заметил эти полсекунды задержки. Они его раздражали. Он решил найти, какой новый баг к этому приводит, и нашел эту лазейку.
Если бы все происходило быстро и не было задержки в полсекунды, очень может быть, что это не заметили бы месяцы и годы, и этот код попал бы в основные дистрибутивы, в версии Линукса, которые запускаются у основных облачных провайдеров итд. Они реально очень, ОЧЕНЬ хорошо замели следы.
Теперь все думают, что надо было/надо теперь делать по-другому, и как обнаружить следующую лазейку такого типа - или предыдущую, если она уже есть и никто не знает! - не опираясь на удачу и героическую занудливость Андреаса Фройнда.
Всех очень впечатлило, насколько эта лазейка была сделана хитро, и как взломщик или взломщики серьезно поработали над тем, чтобы замести следы:
- взломщик под именем/псевдонимом Jia Tan почти два года (!) участвовал в разработке опенсорсного пакета xz, завоевал доверие его мейнтейнеров и получил доступ к прямому коммиту в его репозиторию. Он сделал больше 700 коммитов, лишь малая часть которых медленно подготовила код для лазейки
- основной код лазейки спрятан в тестовых файлах проекта (примеры "плохих" и "хороших" архивов)
- исходный код, который включает лазейку в собственно библиотеку, вообще не является частью основной репозитории в Github. Он спрятан в тар-архивах двух последних релизов, которые обычно используются мейнтейнерами дистрибутивов. То есть есть таг релиза, есть архив, якобы собранный из репозитории в момент этого тага, но на самом деле в нем есть крохотная добавка; в самой репозитории ее нет
- эта добавка прячется в конфигурационной магии autoconf, которую все ненавидят лютой ненавистью и никто никогда не заглядывает внутрь
- она проверяет, когда исходники конфигурируют именно для постройки дебиан-пакета или RPM-пакета (т.е. то, что будут делать мейтейнеры дистрибутивов), и только в этом случае вынимает из тестовых файлов определенные куски и добавляет в код библиотеки
- внутри библиотеки код лазейки заменяет несколько функций, которые работают с символьными таблицами библиотек во время их подгружения. Затрачены специальные усилия, чтобы имена функций не появлялись в двоичном коде. Что именно дальше делает код лазейки, до конца еще не ясно, но он обрабатывает сам символьные таблицы библиотек, и видимо находит то, что имеет отношение к SSH серверу, и что-то там заменяет. Это еще проверяют сейчас.
- интересно, что openssh, стандартный SSH-сервер под линуксом, не использует библиотеку liblzma, в которую вставили эту лазейку, но несколько популярных дистрибутивов добавляют в него поддержку уведомлений системы, systemd, а библиотека libsystemd уже в свою очередь использует liblzma.
- после того, как вышли версии библиотеки с ошибкой, несколько разных людей с незамеченными до того именами (очевидно, альты взломщика или сообщники) стали открывать запросы в разных программах и пакетах сделать апгрейд на эти новые версии, и в некоторых случаях преуспели
Взломщик допустил только одну ошибку: код лазейки, когда он работает как часть openssh, довольно медленно обрабатывает эти символьные таблицы, или что он еще там делает, и даже неудачная попытка логина на такую систему занимает на полсекунды дольше, чем обычно. Андрес Фройнд заметил эти полсекунды задержки. Они его раздражали. Он решил найти, какой новый баг к этому приводит, и нашел эту лазейку.
Если бы все происходило быстро и не было задержки в полсекунды, очень может быть, что это не заметили бы месяцы и годы, и этот код попал бы в основные дистрибутивы, в версии Линукса, которые запускаются у основных облачных провайдеров итд. Они реально очень, ОЧЕНЬ хорошо замели следы.
Теперь все думают, что надо было/надо теперь делать по-другому, и как обнаружить следующую лазейку такого типа - или предыдущую, если она уже есть и никто не знает! - не опираясь на удачу и героическую занудливость Андреаса Фройнда.
Мысли, которые мне понравились, из интервью Павла Дурова Такеру Карлсону:
🔗 Всегда делайте качественный продукт! Качественный продукт не требует рекламы и продвижения.
🔗 Чтобы нанимать и управлять лучшими инженерами, тебе не нужен огромный штат hr-ов и менеджеров.
🔗 Хорошему инженеру нужна высокая оплата труда и продукт в котором он может раскрыть свой потенциал.
🔗 В мире высокой конкуренции нужно создавать инновации, а не копировать работающие идеи.
🔗 Бэкдор в твоём приложении это всегда бэкдор, его может использовать кто угодно.
🔗 Выбор между "двумя стульями" может появиться там где не ожидаешь :)
Please open Telegram to view this post
VIEW IN TELEGRAM