🤣А вы как относитесь к CSS?

42-й выпуск подкаста

Безопасный код: что это такое и как вовлечь разработчиков в решение проблем безопасности

👨‍💻 Слушать выпуск:
YouTube
mave
«Яндекс.Музыка»
Apple Podcasts
«ВКонтакте»

Содержание выпуска:
— В чём проблема разработчиков с безопасностью — разве они по умолчанию не должны писать безопасный код?
— Что вообще такое безопасный код, какие у безопасности критерии.
— Как понять, что в проекте есть проблемы с безопасностью кода и приложения, если приложение никогда не ломали.
— Насколько это выгодно и финансово оправданно — писать безопасный код на стадии MVP или другой ранней стадии развития проекта.
— Как обстоят дела с культурой безопасного кода в России и за рубежом.
— Какие проблемы с безопасностью бывают в проектах, чем они грозят компании или команде.
— Как сделать разработку безопасной.
— Что такое центр безопасной разработки и как его выстроить.
— Как вовлечь разработчиков в решение вопросов безопасности и не вызвать недовольства или оттока кадров.
— Чего разработчики не знают о безопасности и что им стоило бы узнать. Какие ошибки в этой области они чаще всего совершают.
— Как подружить безопасников и разработку.
— На какие этапы делится создание центра безопасной разработки.
— Какие ошибки можно совершить на каждом из этапов создания центра, какие сложности приходится преодолевать.
— Как итеративно улучшать центр безопасной разработки.
— Кто должен отвечать за такой центр и какими качествами он должен обладать.
— С чего начать создание центра.
— Какие механики помогают вовлекать в проблемы безопасности всю компанию.

💬 Гость: Юрий Шабалин — генеральный директор «Стингрей Технолоджиз», ведущий архитектор ГК Swordfish Security.

Трудится в кибербезе больше 10 лет, специализируется на внедрении практик безопасной разработки, построении процессов DevSecOps, аналитике и тестировании приложений. Имеет успешный практический опыт в создании единого процесса безопасной разработки с нуля, внедрении SSDL и тестировании на уязвимость мобильных банковских приложений («Сбербанк-Технологии», «Альфа-Банк»). Ведёт телеграм-канал Mobile AppSec World.

Биллу Гейтсу — 67 лет. В день рождения принято поздравлять именинника, но мы, наоборот, вспомним несколько тёмных фактов из биографии Microsoft.

🟦 В своё время поисковая система Bing, принадлежащая Microsoft, заблокировала «политически чувствительный» для правительства Китая контент. Речь о печально известной фотографии «танкиста» — на ней изображён человек, стоящий на пути китайских военных танков. Фото сделано в день массового расстрела протестующих на площади Тяньаньмэнь в 1989 году. По разным оценкам тогда правительственные войска казнили от нескольких сотен до нескольких тысяч человек. Увидеть фото «танкиста» можно по этой ссылке.

🟦 В 2005-м Microsoft запустила китайскую версию онлайн-портала MSN. Для этого корпорация создала совместное предприятие с Shanghai Alliance Investment Ltd. — венчурным фондом, который возглавляет сын бывшего генсека ЦК Компартии Китая Цзяна Цзэминя. В течение первого месяца работы на портале MSN China Microsoft технически запрещалось использовать слова «демократия», «свобода», «независимость Тибета» и «Фалуньгун» в заголовках статей. В случае их употребления в тексте модераторы закрывали блог в течение нескольких дней. Такую политику Microsoft раскритиковали как китайские, так и западные СМИ.

«Microsoft — это многонациональный бизнес, и поэтому мы соблюдаем законы разных стран», — заявлял тогда представитель компании в интервью для ВВС NEWS.

🟦 Это далеко не полный перечень грехов, которые накопила компания за годы своего существования. Полное досье на Microsoft читайте на нашем сайте.

Как джуну понять, что в компании не будет роста и надо увольняться?

Мнением делится Сергей Лысенко, руководитель IT-отдела «ИнтернетУрока».

Принято считать, что джуну стоит держаться за любую работу. Однако такая тактика может помешать карьерному росту. Поэтому спросите себя: что вами движет и что могло бы стать поводом для увольнения? По своему опыту, я выделяю 4 веских причины.

💬 Деньги
Поработав в компании полгода-год программистом, вы захотели получать больше. Во-первых, необходимо выяснить, насколько ваши ожидания оправданны. Проведите исследование и узнайте, насколько ваш доход соответствует рынку. Готов ли кто-то предложить больше? Во-вторых, проанализируйте свою ценность для компании. Как хорошо вы делаете свою работу, разобрались ли в продукте, достигли ли того уровня, за который хотите повышения зарплаты?

💬 Развитие
Работа должна быть интересной. Иногда новички попадают в не самые прогрессивные компании и по достижении определённого уровня развития осознают, что достигли потолка. Нередко на собеседованиях разработчики называют причиной ухода отсутствие развития и интересных задач по своему уровню — они хотят попасть в профессиональную команду и делать по-настоящему крутые штуки.

💬 Идея
Многим важно заниматься не просто интересными проектами, но и социально важными или просто понимать, что они делают важное дело и их работа приносит пользу.

💬 Личное
Работа занимает большую часть жизни, и очень важно, чтобы вас окружали приятные люди. Бывает, что проект нравится и вроде всё устраивает, но с кем-то из коллег не получается найти общий язык. Особенно плохо, когда этот кто-то — руководитель.

Если что-то из списка вас тревожит, то самое время задуматься. Главное — не бойтесь перемен! За время своей карьеры в IT я несколько раз доходил до момента, когда понимал: да, сейчас действительно пришло время уйти, у меня есть на это веские причины. И я ни разу не пожалел о выборе.

И напоследок: если решили увольняться, сделайте это достойно — заранее поговорите с руководителем и объясните своё решение 🧳

Что такое блокчейн и как он работает? Объясняем на простых примерах.

Блокчейн — это реестр для хранения и передачи цифровых активов. Активы могут быть любые: деньги, акции, персонажи игры, произведения искусства — всё что угодно. Идея в том, что блокчейн позволяет взять какую-то вещь в Сети и сказать: «Это моё».

Все записи в блокчейне хранятся в виде блоков, связанных между собой ключами. Если изменить какую-то запись, ключи у блоков не совпадут — и цепочка разрушится. Поэтому блоки нельзя удалять и редактировать — можно лишь посмотреть, что находится внутри.

Изначально блокчейн был нишевой технологией для подписания цифровых документов. А потом энтузиасты догадались использовать его для перевода денег — без банков и прочих посредников. Так появилась криптовалюта биткоин — самое известное воплощение технологии.

Допустим, вы программист в европейской компании. Приближается день пожилых людей, и вы решили поздравить бабушку, которая живёт в России, — отправить ей денег на пальто.

Можно сделать это по старинке — через банк:

💬 открываете приложение;
💬 отправляете деньги бабушке на карту;
💬 банк списывает деньги с вашего счёта;
💬 банк зачисляет деньги на счёт бабушке.

Звучит вроде просто и привычно, но есть загвоздка. Вся информация о переводе лежит на сервере в виде обычной строки в базе данных. Если кто-то взломает этот сервер, бабушка денег не получит. Если банк схлопнется из-за кризиса, денег лишатся вообще все.

Посмотрите, как изящно эти проблемы решает блокчейн:

🗄 вы подключаетесь к блокчейн-сети;
🗄 заводите бабушке кошелёк и отправляете туда деньги;
🗄 перевод заносится в блокчейн и шифруется;
🗄 информацию о переводе получают все участники сети — а в крупных блокчейнах это миллионы человек.

Если кто-то захочет удалить данные, ему придётся делать это сразу на всех компьютерах сети — а не на одном каком-то сервере. Такая фишка называется децентрализацией. Представьте банк, где у каждого клиента есть копия всех платежей и переводов, — вот это и будет блокчейн.

Подробнее читайте в нашей статье.

43-й выпуск подкаста

Flutter и Dart: где используются, как устроены, как развиваются и чем круты

👨‍💻 Слушать выпуск:
YouTube
mave
«Яндекс.Музыка»
Apple Podcasts
«ВКонтакте»

📶 Содержание выпуска:
— Что за язык такой — Dart.
— Как соотносятся Dart и Flutter.
— Что такое Flutter.
— Где, кроме экосистемы Flutter, активно используется Dart.
— Как и для чего создавался Dart.
— Как и для чего создавался Flutter.
— Где особенно популярен Flutter, где он используется.
— Особенности применения Flutter на мобильных устройствах: как он стыкуется с нативными языками, что умеет сам, какие ограничения у него есть.
— Из каких компонентов состоит Flutter.
— Что входит в набор Flutter DevTools.
— Что такое библиотека Foundation.
— Насколько языки Dart и Flutter открытые, можно ли в них контрибьютить.
— Почему Dart не смог конкурировать с JS.
— Как исполняется Dart-код.
— На каких концепциях и идеях построен Flutter.
— В чём плюсы и минусы Flutter, если сравнивать его с нативными языками и технологиями.
— Почему Flutter даже на Android требует нативного Kotlin-кода, если его тоже развивает Google.
— В чём плюсы и минусы Flutter, если сравнивать его с Kotlin Multiplatform и Xamarin.
— Кто конкуренты Flutter.
— Тулинг вокруг Flutter: IDE и другие инструменты.
— Как контрибьютить во Flutter и на чём он написан.
— Какие зарплаты у флаттеристов, что должны знать джуны, мидлы, сеньоры.

🆔 Гость: Михаил Зотьев. Dart и Flutter Engineer. Автор телеграм-канала Oh, my Flutter. Организатор комьюнити Flutter Voronezh. Участник программного комитета конференции Mobius. Мейнтейнер библиотеки Elementary. Flutter Lead в Bakersoft.

⏺Сегодня в наших рекомендациях «JavaScript. Шаблоны» Стояна Стефанова.

⏺«Фабрика», «Декоратор», «Единственный объект» — шаблоны JavaScript. Об их практической пользе и устройстве рассказывает Стоян Стефанов, ведущий программист Yahoo. Хотя эта книга вышла более 10 лет назад, это отличный концентрат знаний по JS.

⏺После изучения книги вы лучше поймёте, как работает JS и как избавиться от типичных ошибок, которые преследуют JS-разработчиков, станете писать более поддерживаемый и чистый код. Автор также приводит антишаблоны — приемы программирования, которых следует по возможности избегать. Книга сложная, но оно того стоит.

🧑‍💻 Как подготовиться к собеседованию на стажировку в крупную компанию?

Казалось бы, чего тут сложного? Но на деле не всё так очевидно. Илья Кучумов из «Яндекса» накидал поэтапный план.

➕ Онлайн-курсы
Если вам не хватает глубины университетской программы, учитесь сами. Сейчас много качественных ресурсов, посвящённых алгоритмам, и базовых курсов для разработчиков.

➕ Резюме
В резюме стоит уделить внимание следующим аспектам: языки программирования, технологии, которыми вы владеете, проекты, над которыми работали, вуз, тема диплома или курсовой, достижения вроде олимпиад (даже не в технической области), участие в хакатонах и опыт публичных выступлений.

➕ Краткосрочная подготовка
Непосредственно перед техническим интервью рекомендую поупражняться в решении алгоритмических задач на LeetCode. Там даже есть подборки с реальных собеседований. Вот пара примеров задач, которые с высокой вероятностью могут дать: задача №1, задача №2.

➕ Интервью
На собеседованиях сильный упор делается на знании основ языка и базовых алгоритмов. Нужно уметь быстро и качественно написать решение задачи на выбранном языке и объяснить своё решение. На финальном интервью важно рассказать, что вы умеете, привести примеры выполненных проектов, обосновать свою мотивацию на стажировку и что вы хотите от стажировки в компании.

➕ Усиление
Чтобы повысить шансы на прохождение интервью как на стажировки, так и на вакансии разработчика, стоит участвовать в олимпиадах и хакатонах. Например, во время подготовки к ICPC наша команда тренировалась по 30–40 часов в неделю и ездила на множество сборов. Конечно, это помогло нам при прохождении собеседований. Но необязательно заниматься этим профессионально. Даже на любительском уровне без ущерба для учёбы можно раз в неделю готовиться и участвовать в соревнованиях. Это даст свои плоды.

Когда попадёте на стажировку, старайтесь получить как можно больше опыта и удовольствия. А ещё — знакомьтесь с людьми, ведь стажировка даёт хорошие возможности для нетворкинга. Хотя... это уже совсем другая история :)