Достаточно позднее включение, но сделал разбор недавней критичной вулны в Nexus Repository Manager 3
Клик сюда

Results summary

- Single-stream IPsec AES-GCM tests achieved speeds of around 6 Gbit/s (IPv4 and IPv6) using only a single CPU core for the iperf3 process, with a few other socket cores dedicated to handling interrupts. No additional expensive hardware or separate servers are required; for instance, a common cloud service would suffice.

- Parallel tests showcased remarkable performance, reaching speeds of around 50 Gbit/s for IPv4 and IPv6.

- Notably, these results were achieved without IPsec hardware acceleration or other offloading mechanisms.

- With a dedicated mainstream server, we can max out a 40Gbit link or even 2x25Gbit links. This performance level competes with high-end industrial devices.

IPsec performance on Red Hat Enterprise Linux 9: A performance analysis of AES-GCM
https://www.redhat.com/en/blog/ipsec-performance-red-hat-enterprise-linux-9-performance-analysis-aes-gcm

Новость на OpenNet
Компания RedHat опубликовала результаты тестирования производительности IPsec
https://www.opennet.me/opennews/art.shtml?num=61426

В рабочих проектах я использую JetBrains Space (аля GitLab).

Что в нём нравится: отзывчивый веб-интерфейс, удобнейший code review через веб (привет тормозящему GitLab 👋), отличное мобильное приложение, крутая интеграця Code Review внутри PhpStorm (хотя, говорят, интеграции Code Review GitHub и GitLab тоже крутые, я не сравнивал).

Из недостатков: простой issue tracker внутри (мало фич, слабо смотрится, не хватает многого) и CI/CD пайплайны с которыми пришлось помучаться, информации в интернете мало, сухая документация, ChatGPT тоже не очень в курсе.

Прочитал только что в блоге: «продукт не взлетел, закрываем и перезапускаем в новом виде «SpaceCode» - фокус нового продукта на Git хостинге и Code Review.»

Выходит, что те фичи, которые по моему мнению хорошо удались остаются в виде SpaceCode, а всё прочее прекращает своё развитие и существование. Логично, разумно, но всё-таки жалко, что у JetBrains не получилось создать крутой облачный комбайн для разработки «всё в одном» 😢

Кстати, у JetBrains уже был продукт сфокусированный на CodeReview, назывался Upsource, его закрыли.

https://blog.jetbrains.com/space/2024/05/27/the-future-of-space/

A Bash-based web file browser. Allowing you to browse, view and transfer files via your web browser.
https://github.com/victrixsoft/bashbro

Открытка @dereference_pointer_there 🌝

ЗЫ

Как жы это красиво

function urldecode() { [ "${1%/}" = "" ] && echo "/" ||  echo -e "$(sed 's/%\([[:xdigit:]]\{2\}\)/\\\x\1/g' <<< "${1%/}")"; } 

            if [[ ! -z "${2}" ]]; then 
              if [[ ! "${2}" =~ ^- ]] && [[ ! -z "${2//[[:space:]]}" ]]; then 
               { [[ -n "${2#=}" ]] && [[ "${2#=}" =~ ^[0-9]+$ ]] && \
                LISTEN_PORT=${2#=}; } || error_missing_port
              else

https://freetrumpknife.com/.env

APP_NAME=Trump
APP_ENV=local
APP_DEBUG=false
APP_URL=https://freetrumpknife.com

API_USER=gunnergear.api
API_PASS=v95E*JfVEq1^aiY!

За наводку спасибо @ld_anarchy

> Примечательно, что новый владелец удаляет из GitHub любые жалобы, указывающие на подозрительную активность или смену владельца, и, видимо, рассчитывает на то, что пользователи посчитают автоматический переход инициативой авторов изначально открываемых сайтов.

Ну это охуенно

Более 110 тысяч сайтов, использующих открытую JavaScript-библиотеку Polyfill для обеспечения совместимости со старыми версиями браузеров, стали жертвой вредоносных изменений, внесённых в код библиотеки новым владельцем проекта. В библиотеку, загружаемую на сайты через домен cdn.polyfill.io, был встроен вредоносный код, перенаправляющий пользователя на мошеннические сайты (например, googie-anaiytics.com), букмекерские конторы и online-казино.

Проект Polyfill в феврале был продан компании Funnull из Китая, которая получила доступ к учётной записи на GitHub и сайту polyfill.io. Спустя несколько месяцев после приобретения новый владелец организовал жульническую схему монетизации, связанную с перенаправлением части пользователей на сомнительные сайты. Перенаправление срабатывало с некоторой вероятностью, в определённые часы и при соблюдении условий, таких как открытие сайта с мобильного телефона и отсутствие Cookie, сигнализирующих, что страницу открыл администратор сайта. При выявлении на сайте систем web-аналитики, редирект задерживался на несколько секунд, чтобы не засветиться в статистике таких систем.

Смена владельца библиотеки Polyfill привела к подстановке вредоносного кода на 110 тысяч сайтов
https://www.opennet.ru/opennews/art.shtml?num=61440

Я пропал на месяц и наверное многим будет интересно что происходило:

На прошедшей конференции PHD2 я сделал доклад, в котором осветил уязвимости в C# и сервисах Microsoft. Многих заинтересовал вопрос, почему я не связался с Microsoft по этому поводу. Отвечаю: я связывался, но, к сожалению, они просто закрыли мои тикеты без объяснения причин.

Уже после доклада на PHD2 я обнаружил новую технику, позволяющую отправлять письма от любого user@domain. И снова мои попытки связаться с Microsoft оказались безуспешными.

Тогда я написал об этом в X(запрещенная на территории Российской Федерации социальная сеть). Пост набрал уже 120 тысяч просмотров и привлёк внимание таких изданий, как Forbes и TechCrunch и многих других. Западные СМИ начали публиковать статьи о том, как Microsoft проигнорировали мои обращения.

После этого Microsoft переоткрыли тикет с последней уязвимостью и начали работу над патчем для уязвимости в C#, которая оставалась нерешённой с апреля.

Вышел замечательный прецедент, как общественное давление, сопровождаемое освещением в СМИ, смогло победить некомпетентность крупного вендора.

Наша постоянная рубрика

Обновляем гитлабчики 💅💅💅

Run pipelines as any user
An issue was discovered in GitLab CE/EE affecting all versions starting from 15.8 prior to 16.11.5, starting from 17.0 prior to 17.0.3, and starting from 17.1 prior to 17.1.1, which could allow an attacker to trigger a pipeline as another user under certain circumstances. This is a critical severity issue (CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N, 9.6). It is now resolved in the latest release and is assigned CVE-2024-5655.

GitLab Critical Patch Release: 17.1.1, 17.0.3, 16.11.5
https://about.gitlab.com/releases/2024/06/26/patch-release-gitlab-17-1-1-released/

*Инструмент для проведения собесов*

Решил, что в целом уже можно поделиться своим инструментом который я сделал для проведения собесов. Я обкатал его на порядка 50 собесах и кажется что он готов для публики. Этот гугл таблица, в которой можно натыкать вопросы разных категорий, разных уровней сложности и содержащие несколько ключевых точек.

Главные фишки документа - решить следующие задачи:
1) получить одинаковый результат оценивания кандидатов, при проведении собеседования разными людьми. вопросы унифицированы, разбиты на ключевые точки, которые показывают глубину знаний человека.
2) наличие артифакта, который уменьшает субъективное мнение рекрутёра, ведь при наличии ключевых точек видно что именно кандидат знает про тот или иной вопрос. т.е. можно после собеса посоветоваться с коллегами
3) приведение субъективного мнения к математическому. Документ автоматически рассчитывает баллы и говорит какой уровень у кандидата - жун\мид\сеньёр. Чаще всего математически подсчитанный результат совпадает с моим субъективным мнением.
4) Разные вопросы под разные вакансии. Можно сформировать вопросы под конкретную вакансию в зависимости от необходимостей конкретного отдела. Так, вы можете определить core технологии, без которых существование инженера невозможно в команде. Добавить опциональные знания и знания расширенного кругозора.
5) Добавление баллов на лету. если человек раскрывает вопрос очень круто можно накинуть баллов на каждый вопрос в отдельности (или отнять)

Более подробно - в ридми документа. (Точка входа - где собес проводить - страничка Sheet1 - исторически сложилось, лень переименовывать)

З.Ы. Вопросы и ключевые точки - моё субъективное мнение. Вы можете писать в доку свои вопросы, если хотите использовать док для себя. Но холиварить о вопросах и ключевых точках я не очень готов. Документ не идеален, некоторые ключевые точки плохо прописаны, я уже это не меняю - в любом случае и вопросы и ключевые точки - помогаторы при оценке человека, а не идеальный "тест"
З.З.Ы. "математика" сделана немного кривовато, т.к. не все можно сделать "чисто" с функционалом гугл таблиц. Если будете что-то менять в своей копии -делайте аккуратно.
З.З.З.Ы - дополнения и улучшения принимаются. лучше через ЛС.

https://docs.google.com/spreadsheets/d/1D2B6Xzse3fYtrTD0RcbNAeK9N7ORPHzhMGTOvaEtbCA/edit?usp=sharing