South HUB
30.04.202507:05
У нас пополнение! Новые спикеры кэмпа. 🎙
Святослав Соловьёв
Директор по ИИ в ИТ, эксперт по искусственному интеллекту и инновациям с 15-летним опытом в Tech Management, включая 5 лет в Кремниевой долине. Он успешно реализовал международные проекты, такие как облачные платформы GEFORCE NOW и OMNIVERSE, а также аппаратные решения DGX. Занимался ИИ задолго до его популярности. Прямо сейчас работает над трансформацией Альфа-Банка и руководит платформой AlfaGen, генеративной ИИ-системой для финансового сектора.
Азат Мардан
Principal Engineer в Google, профессор университета «Иннополис», ментор стартапов и инвестор, автор 20 книг, например бестселлеров например, «Practical Node.js», «Full Stack JavaScript», «React Quickly». Разрабатывал Node.js-приложения для Storify и DocuSign, внедрил платёжную систему и A/B-тестирование для 50 млн пользователей. Выступает на конференциях, делится знаниями через Node University.
Александр Маятин
Начал преподавать школьникам раньше, чем сам окончил школу. Преподает и занимается методикой преподавания в трех системах образования: высшего, школьного и дополнительного. Считает, что отчислять студентов нужно только за отсутствие мотивации. 17 лет разрабатывает задачи для для школьных и студенческих олимпиад по информатике и IT. Окончил Клуб Космонавтики и был на космодроме Плесецк. На выпускном в музыкальной школе играл все три части Лунной сонаты.
Александр Хвастунов
Мог бы учиться в консерватории на ударных, но поступил в ИТМО на компьютерные технологии и стал инженером. Уже в старших классах вел кружок математики во Дворце пионеров, а сейчас совмещает руководящую должность в IT с преподаванием. А еще хорошо справляется с ролью многодетного отца. Ответ Александра на вопрос «Почему преподавание?» простой — «Хочу сделать для студентов то, что сделали для меня и из меня мои преподаватели и учителя».
Святослав Соловьёв
Директор по ИИ в ИТ, эксперт по искусственному интеллекту и инновациям с 15-летним опытом в Tech Management, включая 5 лет в Кремниевой долине. Он успешно реализовал международные проекты, такие как облачные платформы GEFORCE NOW и OMNIVERSE, а также аппаратные решения DGX. Занимался ИИ задолго до его популярности. Прямо сейчас работает над трансформацией Альфа-Банка и руководит платформой AlfaGen, генеративной ИИ-системой для финансового сектора.
Азат Мардан
Principal Engineer в Google, профессор университета «Иннополис», ментор стартапов и инвестор, автор 20 книг, например бестселлеров например, «Practical Node.js», «Full Stack JavaScript», «React Quickly». Разрабатывал Node.js-приложения для Storify и DocuSign, внедрил платёжную систему и A/B-тестирование для 50 млн пользователей. Выступает на конференциях, делится знаниями через Node University.
Александр Маятин
Начал преподавать школьникам раньше, чем сам окончил школу. Преподает и занимается методикой преподавания в трех системах образования: высшего, школьного и дополнительного. Считает, что отчислять студентов нужно только за отсутствие мотивации. 17 лет разрабатывает задачи для для школьных и студенческих олимпиад по информатике и IT. Окончил Клуб Космонавтики и был на космодроме Плесецк. На выпускном в музыкальной школе играл все три части Лунной сонаты.
Александр Хвастунов
Мог бы учиться в консерватории на ударных, но поступил в ИТМО на компьютерные технологии и стал инженером. Уже в старших классах вел кружок математики во Дворце пионеров, а сейчас совмещает руководящую должность в IT с преподаванием. А еще хорошо справляется с ролью многодетного отца. Ответ Александра на вопрос «Почему преподавание?» простой — «Хочу сделать для студентов то, что сделали для меня и из меня мои преподаватели и учителя».
24.10.202407:30
🎃 Приближается страшно красивый вечер пятницы!
Любому проекту, как и людям, важен баланс, на котором основывается развитие. Команды проходят через множество попыток, решений, побед и неудач, прежде чем прийти к успеху. На клубной встрече наши спикеры поделятся кошмарами из жизни их проектов. Каждый их них расскажет 2 истории, участникам предстоит угадать: что правда, а что — страшный сон.
В карточках встречайте рассказчиков.
Что ещё?
Камерная локация, ужин-фуршет с игристым баром, приз за лучший костюм в тематике Halloween, а также открытый микрофон, на котором каждый участник сможет поделиться своей историей.
Где: Москва, Пентхаус Swissôtel Красные Холмы 5*, Космодамианская наб., 52, стр. 6
Когда: 8 ноября, 19:00-00:00
Дресс-код: костюм на Halloween
Зарегистрироваться
Любому проекту, как и людям, важен баланс, на котором основывается развитие. Команды проходят через множество попыток, решений, побед и неудач, прежде чем прийти к успеху. На клубной встрече наши спикеры поделятся кошмарами из жизни их проектов. Каждый их них расскажет 2 истории, участникам предстоит угадать: что правда, а что — страшный сон.
В карточках встречайте рассказчиков.
Что ещё?
Камерная локация, ужин-фуршет с игристым баром, приз за лучший костюм в тематике Halloween, а также открытый микрофон, на котором каждый участник сможет поделиться своей историей.
Где: Москва, Пентхаус Swissôtel Красные Холмы 5*, Космодамианская наб., 52, стр. 6
Когда: 8 ноября, 19:00-00:00
Дресс-код: костюм на Halloween
Зарегистрироваться
28.04.202519:02
🚀 Коллеги, напоминаю, у нас майский код фриз. А еще отклоняйте все встречи, поставьте отбивку в почте «а давайте уже после майских». И обязательно дежурных попросите на шашлыки ездить с ноутом. Все пейджеры настроены!
21.10.202415:37
Знали, что на самом деле Михаил Булгаков считал себя больше драматургом, чем романистом?
Несколько фактов:
⏺ Пьеса «Дни Турбиных», премьерно вышедшая во МХАТе в 1926 году, изначально была разрешена к показу всего на год.
⏺ Спектакль играли до 1929 года при полном аншлаге — билетов было не достать.
⏺ По дошедшим свидетельствам, Сталин посмотрел постановку 14 раз.
⏺ Булгаков получил 298 разгромных рецензий и только 3 хвалебных.
Об удивительном творческом пути Михаила Афанасьевича — как драматурга и как романиста, поговорим вместе с театральным критиком Марией Музалевской.
А чтобы атмосфера сразу располагала к свободному общению, всё будет происходить за ужином — мы разговариваем и едим тематические блюда: характерные для эпохи, упомянутые в произведениях или любимые автором.
📅 Когда: 24 октября 20:00-22:00.
📍 Где: Старомонетный пер., 22, стр. 1, пространство «Едва Знакомы».
❕ Внимание: осталось 4 места
Зарегистрироваться.
— Достоевский Ф. М.
Несколько фактов:
⏺ Пьеса «Дни Турбиных», премьерно вышедшая во МХАТе в 1926 году, изначально была разрешена к показу всего на год.
⏺ Спектакль играли до 1929 года при полном аншлаге — билетов было не достать.
⏺ По дошедшим свидетельствам, Сталин посмотрел постановку 14 раз.
⏺ Булгаков получил 298 разгромных рецензий и только 3 хвалебных.
Об удивительном творческом пути Михаила Афанасьевича — как драматурга и как романиста, поговорим вместе с театральным критиком Марией Музалевской.
А чтобы атмосфера сразу располагала к свободному общению, всё будет происходить за ужином — мы разговариваем и едим тематические блюда: характерные для эпохи, упомянутые в произведениях или любимые автором.
📅 Когда: 24 октября 20:00-22:00.
📍 Где: Старомонетный пер., 22, стр. 1, пространство «Едва Знакомы».
❕ Внимание: осталось 4 места
Зарегистрироваться.
Нет лучшего средства для освежения ума, как чтение древних классиков; стоит взять какого-нибудь из них в руки, хотя на полчаса, — сейчас же чувствуешь себя освеженным, облегченным и очищенным, поднятым и укрепленным, — как будто бы освежился купаньем в чистом источнике.
— Достоевский Ф. М.
26.04.202516:49
Привет! На связи Денис Макрушин и в этом месяце я отвечаю за безопасность в South HUB.
Если в прошлый раз, текст был направлен на тех, кто преисполнился в вопросах безопасности, то сегодняшний лонгрид будет адресован тем, кто еще только подступается к этому вопросу и находится на самом первом его шаге. Поздравляю! Скорее всего вы спрашиваете себя «С чего начать выстраивать безопасную разработку?». Отвечаю.
Безопасная разработка начинается с правильных «зависимостей»!
Прежде всего, давайте синхронизируемся. Зависимости — это не тяга ходить на перекуры, обсуждать запросы бухгалтеров и совершенно точно, не зависимости разработчика от AI, который галлюцинирует уязвимый код. Это именно зависимости, которые разработчик использует в своем коде.
Зависимость — это всё, что ты подключаешь извне, а не пишешь сам. Вот большая техническая статья, чтобы разобраться с этим понятием — Understanding Dependencies на Habr.
А теперь к примерам. Мы уже понимаем, что самый уязвимый элемент в процессе разработки — это человек (и возможно, это вы). При этом, киберпреступники осознали, что этот человек не всегда переходит по ссылкам из фишингового письма, и не всегда открывает вредоносные вложения. Но вот зависимости он практические всегда подключает откуда-то извне.
Например, вы захотели подключить библиотеку аутентификации пользователя. Вы можете подключить её из опенсорса, а можете её подключить из соседнего отдела (главное, чтобы вы доверяли её автору).
Злодеи придумали стратегию: они заражают зависимости в цепочке поставок и ждут, когда жертва подключит вредоносный код в своем продукте. Затем этот вредоносный код попадет к клиенту и начнет обрабатывать ценные данные пользователя, и вот тогда можно активировать «имплант». Многообразие атак Dependency Confusion, Repository Hijacking, Typosquotting подтверждает эффективность этой стратегии (подробнее обо всех них написал тут).
Основой принцип защиты: знай, что и откуда подключается в твой код. Для обеспечения безопасности цепочки поставок существуют фреймворки. Например, фреймворк SLSA, который говорит, как проверять происхождение зависимости и правильно контроллировать сборку своего кода, в котором подключается эта зависимость.
Принцип простой, но технически нетривиальный. Особенно, когда разработчик научился работать в тандеме с ИИ-ассистентом. Ниже чек-лист по внедрению.
Смысловые галюцинации
Недавнее исследование показало, что LLM может галлюцинировать имена несуществующих зависимостей (придумывают названия несуществующих библиотек или модулей). Злоумышленники могут воспользоваться этим: они регистрируют пакеты с этими выдуманными названиями в менеджере пакетов (например, npm или PyPI), но уже с вредоносным кодом. Ничего не подозревающие разработчики, доверяя подсказкам модели, добавляют эти пакеты в свои проекты, открывая дверь для атак.
Простыми словами: ты просишь модель найти библиотеку для твоего кода, она предлагает несуществующую зависимость. А хакер уже заранее «застолбил» это название, разместив там вредоносный код, который может украсть данные или навредить твоему продукту.
Так что всегда начинайте с основ — зависимостей. Если у вас уже был опыт и что-то не получилось — делитесь своими кейсами. Все еще не знаете с чего начать? Давайте обсудим.
👾 , если вас взламывали
🔥 , если взламываете вы
Если в прошлый раз, текст был направлен на тех, кто преисполнился в вопросах безопасности, то сегодняшний лонгрид будет адресован тем, кто еще только подступается к этому вопросу и находится на самом первом его шаге. Поздравляю! Скорее всего вы спрашиваете себя «С чего начать выстраивать безопасную разработку?». Отвечаю.
Безопасная разработка начинается с правильных «зависимостей»!
Прежде всего, давайте синхронизируемся. Зависимости — это не тяга ходить на перекуры, обсуждать запросы бухгалтеров и совершенно точно, не зависимости разработчика от AI, который галлюцинирует уязвимый код. Это именно зависимости, которые разработчик использует в своем коде.
Зависимость — это всё, что ты подключаешь извне, а не пишешь сам. Вот большая техническая статья, чтобы разобраться с этим понятием — Understanding Dependencies на Habr.
А теперь к примерам. Мы уже понимаем, что самый уязвимый элемент в процессе разработки — это человек (и возможно, это вы). При этом, киберпреступники осознали, что этот человек не всегда переходит по ссылкам из фишингового письма, и не всегда открывает вредоносные вложения. Но вот зависимости он практические всегда подключает откуда-то извне.
Например, вы захотели подключить библиотеку аутентификации пользователя. Вы можете подключить её из опенсорса, а можете её подключить из соседнего отдела (главное, чтобы вы доверяли её автору).
Злодеи придумали стратегию: они заражают зависимости в цепочке поставок и ждут, когда жертва подключит вредоносный код в своем продукте. Затем этот вредоносный код попадет к клиенту и начнет обрабатывать ценные данные пользователя, и вот тогда можно активировать «имплант». Многообразие атак Dependency Confusion, Repository Hijacking, Typosquotting подтверждает эффективность этой стратегии (подробнее обо всех них написал тут).
Основой принцип защиты: знай, что и откуда подключается в твой код. Для обеспечения безопасности цепочки поставок существуют фреймворки. Например, фреймворк SLSA, который говорит, как проверять происхождение зависимости и правильно контроллировать сборку своего кода, в котором подключается эта зависимость.
Принцип простой, но технически нетривиальный. Особенно, когда разработчик научился работать в тандеме с ИИ-ассистентом. Ниже чек-лист по внедрению.
Чек-лист внедрения SLSA (Supply-chain Levels for Software Artifacts):
- Оценить текущее состояние (аудит поставок) .
- Настроить документацию (вести журналы и учёт источников)
- Автоматизировать сборку (Level 2)
- Внедрить подписи (например, Sigstore: Cosign, Rekor)
- Защитить инфраструктуру (Изолировать среду и ограничить доступ)
- Добавить аудит и контроль (Level 4)
- Интегрировать SBOM
- Обучить команду (научить проверять источники)
- Улучшать процессы постепенно
- Подключиться к сообществу
Смысловые галюцинации
Недавнее исследование показало, что LLM может галлюцинировать имена несуществующих зависимостей (придумывают названия несуществующих библиотек или модулей). Злоумышленники могут воспользоваться этим: они регистрируют пакеты с этими выдуманными названиями в менеджере пакетов (например, npm или PyPI), но уже с вредоносным кодом. Ничего не подозревающие разработчики, доверяя подсказкам модели, добавляют эти пакеты в свои проекты, открывая дверь для атак.
Простыми словами: ты просишь модель найти библиотеку для твоего кода, она предлагает несуществующую зависимость. А хакер уже заранее «застолбил» это название, разместив там вредоносный код, который может украсть данные или навредить твоему продукту.
Так что всегда начинайте с основ — зависимостей. Если у вас уже был опыт и что-то не получилось — делитесь своими кейсами. Все еще не знаете с чего начать? Давайте обсудим.
👾 , если вас взламывали
🔥 , если взламываете вы
23.09.202415:33
О чем мы думаем, когда речь идет о глобальной цели компании?
В первую очередь о миссии и ценностях. Понятные и четко сформулированные — они дают бизнесу возможность строить большие стратегии, ставить осязаемые цели и укреплять коммуникации с сотрудниками и пользователями.
Почему мы заговорили об этом? Потому что ценности компании, вокруг которых строятся системы, формируют её лидеры. Тема предстоящей клубной встречи: «People management: матрица лидерства».
Мы уже закрыли регистрацию и благодарим всех за отклики. Увидимся в сторис в эту среду!
А пока must read. Делимся подборкой принципов, ценностей и миссий ведущих игроков международного рынка (и одного самого высокооплачиваемого в мире ютубера)👇🏻
⏺ Принципы лидерства Amazon
⏺ 10 принципов Google
⏺ Ценности Apple
⏺ Культура Netflix
⏺ Как достичь успеха в команде MrBeast
Think about it.
В первую очередь о миссии и ценностях. Понятные и четко сформулированные — они дают бизнесу возможность строить большие стратегии, ставить осязаемые цели и укреплять коммуникации с сотрудниками и пользователями.
Почему мы заговорили об этом? Потому что ценности компании, вокруг которых строятся системы, формируют её лидеры. Тема предстоящей клубной встречи: «People management: матрица лидерства».
Мы уже закрыли регистрацию и благодарим всех за отклики. Увидимся в сторис в эту среду!
А пока must read. Делимся подборкой принципов, ценностей и миссий ведущих игроков международного рынка (и одного самого высокооплачиваемого в мире ютубера)👇🏻
⏺ Принципы лидерства Amazon
⏺ 10 принципов Google
⏺ Ценности Apple
⏺ Культура Netflix
⏺ Как достичь успеха в команде MrBeast
Think about it.
19.04.202510:14
Вашей компании нужен герой — и он уже среди ваших разработчиков!
(#соавтор South HUB, Денис Макрушин.)
Если кто-то до сих пор слышит и соглашается с тезисом «безопасность замедляет разработку и душит инновации», то он плохо осознает с какой скоростью двигается прогресс. Раньше управленец C-level в технологической компании мог надеяться, что его бизнес или продукт не будут интересны кибер-преступникам, и они обойдут его стороной. Теперь же, когда злодеи повсеместно используют автоматизацию и регулярно мониторят возможности запрыгнуть в инфраструктуру компании любого масштаба — нельзя надеяться на «да кому я нужен».
Атаки, утечки и различные кибер-инциденты реально тормозят развитие. Иногда останавливают его полностью. Потому что когда «зашифрован прод», а данные клиентов текут в паблик — это не про развитие. А еще, оказывается, что недостаточно завернуть в свой пайплайн все необходимые security-инструменты. Недостаточно даже их правильно настроить и получать только важные результаты их работы.
Как обычно, секретный соус кибербезопасной компании — в ее людях и культуре. Уязвимость всегда проще и дешевле исправлять, когда она обнаружена в IDE разработчика, а не в проде у клиента. Практики и инструменты ИБ нужно двигать «влево» — ближе к началу жизненного цикла системы. Ближе к тому этапу, на которых рождается идея, гипотеза, бизнес-план, дизайн системы. А для этого, нужно понимать “кибербез” на уровне культуры топ-менеджмента и разработки.
В индустрии есть такое термин: Security-чемпион. Это не всегда выделенная роль. Это может быть сотрудник, который прокачивает себя в вопросах ИБ и приземляет экспертизу в своих повседневных задачах. Например, разработчик или тим лид, который понимает риски некачественного кода. CTO, который не ждет, когда появится CISO и принесет контроли в SDLC. CEO и CPO, которые знают, для чего проводить дополнительные security design review.
Чтобы запустить чемпионскую программу в своих командах разработки, нужно предварительно ответить на ключевые вопросы вопроса:
1. Как я создам внутреннюю мотивацию? Что будет драйвить разработчика развиваться в направлении безопасной разработки?
2. Какой ресурс я выделю для реализации программы? Смогу ли обеспечить реальное влияние security-чемпионов на SDLC-процессы?
3. Как буду постоянно развивать и поддерживать сообщество security-чемпионов?
И как только появятся конкретные ответы на эти вопросы, можно будет приступать к тактике. Кстати, отправной точкой для запуска программы может стать вот этот плейбук, подготовленный моим товарищем и поддержанный сообществом OWASP.
Культивируете ли чемпионов в своих командах?
(#соавтор South HUB, Денис Макрушин.)
Если кто-то до сих пор слышит и соглашается с тезисом «безопасность замедляет разработку и душит инновации», то он плохо осознает с какой скоростью двигается прогресс. Раньше управленец C-level в технологической компании мог надеяться, что его бизнес или продукт не будут интересны кибер-преступникам, и они обойдут его стороной. Теперь же, когда злодеи повсеместно используют автоматизацию и регулярно мониторят возможности запрыгнуть в инфраструктуру компании любого масштаба — нельзя надеяться на «да кому я нужен».
Атаки, утечки и различные кибер-инциденты реально тормозят развитие. Иногда останавливают его полностью. Потому что когда «зашифрован прод», а данные клиентов текут в паблик — это не про развитие. А еще, оказывается, что недостаточно завернуть в свой пайплайн все необходимые security-инструменты. Недостаточно даже их правильно настроить и получать только важные результаты их работы.
Как обычно, секретный соус кибербезопасной компании — в ее людях и культуре. Уязвимость всегда проще и дешевле исправлять, когда она обнаружена в IDE разработчика, а не в проде у клиента. Практики и инструменты ИБ нужно двигать «влево» — ближе к началу жизненного цикла системы. Ближе к тому этапу, на которых рождается идея, гипотеза, бизнес-план, дизайн системы. А для этого, нужно понимать “кибербез” на уровне культуры топ-менеджмента и разработки.
В индустрии есть такое термин: Security-чемпион. Это не всегда выделенная роль. Это может быть сотрудник, который прокачивает себя в вопросах ИБ и приземляет экспертизу в своих повседневных задачах. Например, разработчик или тим лид, который понимает риски некачественного кода. CTO, который не ждет, когда появится CISO и принесет контроли в SDLC. CEO и CPO, которые знают, для чего проводить дополнительные security design review.
Чтобы запустить чемпионскую программу в своих командах разработки, нужно предварительно ответить на ключевые вопросы вопроса:
1. Как я создам внутреннюю мотивацию? Что будет драйвить разработчика развиваться в направлении безопасной разработки?
2. Какой ресурс я выделю для реализации программы? Смогу ли обеспечить реальное влияние security-чемпионов на SDLC-процессы?
3. Как буду постоянно развивать и поддерживать сообщество security-чемпионов?
И как только появятся конкретные ответы на эти вопросы, можно будет приступать к тактике. Кстати, отправной точкой для запуска программы может стать вот этот плейбук, подготовленный моим товарищем и поддержанный сообществом OWASP.
Культивируете ли чемпионов в своих командах?
19.09.202412:00
Давным-давно, в 1815 году, два брата купили тысячу акров земли на далеком туманном острове, чтобы основать ферму. А потом...
Сегодня представляем вам специального гостя нашей клубной встречи.
Этот гость имеет собственное производство на юге Шотландии и его история насчитывает порядка двух столетий. У него миллионы друзей по всему миру, среди которых — король Великобритании Карл III, и каждому он дарит по 1 квадратному футу своей земли, которую тут же берет у них в аренду.
Догадываетесь, кто он?
Ладно, еще подсказка: каждый вечер, на который он приглашен, становится в значительной степени интереснее, а его присутствие можно ощутить по характерному дымному аромату.
Познакомиться с ним и услышать его историю можно будет совсем скоро на нашем секретном ужине 25 сентября.
▫️ Локация: центр Москвы. Каждый участник встречи получит информацию в личное сообщение.
▫️ Начало: 19:00
Напоминаем, что мы ограничены количеством мест, чтобы создать максимально комфортную и камерную обстановку для обмена мнениями. При регистрации на встречу будет действовать валидация участников.
Присоединиться
Сегодня представляем вам специального гостя нашей клубной встречи.
Этот гость имеет собственное производство на юге Шотландии и его история насчитывает порядка двух столетий. У него миллионы друзей по всему миру, среди которых — король Великобритании Карл III, и каждому он дарит по 1 квадратному футу своей земли, которую тут же берет у них в аренду.
Догадываетесь, кто он?
Ладно, еще подсказка: каждый вечер, на который он приглашен, становится в значительной степени интереснее, а его присутствие можно ощутить по характерному дымному аромату.
Познакомиться с ним и услышать его историю можно будет совсем скоро на нашем секретном ужине 25 сентября.
▫️ Локация: центр Москвы. Каждый участник встречи получит информацию в личное сообщение.
▫️ Начало: 19:00
Напоминаем, что мы ограничены количеством мест, чтобы создать максимально комфортную и камерную обстановку для обмена мнениями. При регистрации на встречу будет действовать валидация участников.
Присоединиться
Shown 1 - 8 of 8
Log in to unlock more functionality.