Zachodząca w ostatnich latach transformacja procesów wytwarzania oprogramowania zorientowana jest głównie w kierunku zespołów zwinnych, wykorzystujących podejście DevOps. Następstwem tych zmian jest potrzeba przemyślenia na nowo sposobów zapewniania bezpieczeństwa tworzonych aplikacji.
Krótkie sprinty nie pozostawiają już miejsca na testy manualne. O ile jednak nie znikną one całkowicie, główną osią ochrony projektu stają się testy automatyczne, które zespół projektowy musi zaimplementować i utrzymać. Teraz w kompetencjach developerów i testerów będzie leżeć kwestia znajomości zasad bezpieczeństwa, w kontekście działania ich systemu.
Ieee S&P 2020 - Software Security: from Research to Industry.Minded Security
Day by day, technology introduces new changes affecting several aspects of everyone's life, from private individuals to industry.
In such ever changing world, cutting edge research on application security is one of the topics that requires attention
in order to keep up with this.
Minded Security, since the beginning of its mission, has been focusing on application security research in order to
professionally support analysis and mitigation of old and new threats for our customers.
This talk will go through some of the research performed by Minded Security improving the quality of security and privacy of our customers.
Packet Capture on AWS. Simple explanation of why security people like to capture packets, how it can be done, potential architectures, and a POC using a WatchGuard Firebox Cloud, the CLI, a bucket, bucket policy, etc. and a lambda function to show that packet capture is possible. Next steps for an actual production solution.
Caveat: these slides were written in about one hour. Please refer to the paper for details.
Rails security: above and beyond the defaultsMatias Korhonen
In a world with increasingly sophisticated adversaries employing both targeted and automated attacks, what can we do to keep our users and our web apps safe?
While Rails provides pretty decent security options straight out of the box, we can go further and make attacks more difficult to accomplish.
For example, why and how to implement a Content Security Policy. Should you use HTTP Public Key Pinning? How do you know if you've configured HTTPS correctly?
In the last few years, a number of new security features have become available to web developers (e.g. Content Security Policy, Strict Transport Security) and a few more are coming up this year (e.g. Referrer Policy, Subresource Integrity). In addition to getting familiar with these, a number of recent high-profile bugs in the SSL/TLS protocol and implementations have forced developers to learn more about TLS ciphers and to start worrying about mixed content on their pages.
As a browser vendor and a member of the W3C WebAppSec working group, Mozilla is busy extending the web platform to provide the tools and features that developers and users need in 2015. This talk will give an overview of the security and privacy landscape on the web as well as pointers to what developers need to know to secure their applications.
https://2015.rmll.info/security-and-privacy-on-the-web-in-2015?lang=en
OWASP Portland - OWASP Top 10 For JavaScript DevelopersLewis Ardern
With the release of the OWASP TOP 10 2017 we saw new issues rise as contenders of most common issues in the web landscape. Much of the OWASP documentation displays issues, and remediation advice/code relating to Java, C++, and C#; however not much relating to JavaScript. JavaScript has drastically changed over the last few years with the release of Angular, React, and Vue, alongside the popular use of NodeJS and its libraries/frameworks. This talk will introduce you to the OWASP Top 10 explaining JavaScript client and server-side vulnerabilities.
"Automating cloud security operations takes a little more than slapping together a quick lambda to fix an open S3 bucket (but that isn't a bad start). In this workshop we will cover the major categories of security automations and present practical implementation techniques. Come prepared to build your own (or use our starter scripts) as we:
Review the three major categories of automations- guardrails, workflows, and orchestrations.
Build demo versions of each (in AWS, bring your own account), incorporating techniques including assessments, event-driven guardrails, and an incident response workflow.
See demonstrations of cross-product orchestrations that integrate commercial tools.
Learn the tricks of the trade, based on 10 years of hands-on research and implementation (for realz, check the intertubes if you don't believe us).
See what it takes to implement automations at global scale."
Devouring Security Insufficient data validation risks Cross Site Scriptinggmaran23
Devouring Security: Insufficient Data Validation Risks - Cross Site Scripting (XSS)
• Risk, Stories & the news
• XSS Anatomy
• Untrusted Data Sources – Well, Where did that come from?
• Shouldn’t it be called CSS instead?
• Types of XSS
- Type 0 [DOM based]
- Type 1 [Reflected or Non-persistent XSS]
- Type 2 [Persistent or Stored XSS]
• Live Demo: XSS 101 with alert('hello XSS world')
• Live Demo: Cookie Hijacking and Privilege Escalation
- Face/Off with John Travolta and Nicolas Cage
• Live Demo: Let’s deploy some Key loggers,huh?
• Mitigations
- Input Sanitization
- Popular Libraries for .Net, Java, php
Demo: Input sanitization
- Whitelists (vs. Blackists)
- Output Encoding
Contextual
Demo: Output Encoding
- Browser Protections & bypasses
- Framework Protections & bypasses
- Content Security Policy (CSP) in brief
• Secure Code reviews: Spot an XSS, How?
• Tools: Do we have an option?
• XSS Buzz and how to Fuzz
• Renowned Cheat sheets
• Further reading & References
Much has been said about DevOps and SecDevOps for security automation and integration. However, to many in the security community, this is still a buzzword. There are many practical applications of automation in cloud security controls, however, across all security-related disciplines. This talk will delve into concrete examples of security automation in the cloud, with metrics examples, as well.
(Source : RSA Conference USA 2017)
In this presentation John will show how Azure Devops can be used to automate the deployment and security checks of a website in the Azure cloud. In this presentation we will go through how a variety of tools are used to gain security insights into your code and deployed environment. We will explore how this relates to the pull security left philosophy from DevSecOps. After the presentation you will have gained a good insight into all the tools you can use to improve the security of your deployed code base.
Ieee S&P 2020 - Software Security: from Research to Industry.Minded Security
Day by day, technology introduces new changes affecting several aspects of everyone's life, from private individuals to industry.
In such ever changing world, cutting edge research on application security is one of the topics that requires attention
in order to keep up with this.
Minded Security, since the beginning of its mission, has been focusing on application security research in order to
professionally support analysis and mitigation of old and new threats for our customers.
This talk will go through some of the research performed by Minded Security improving the quality of security and privacy of our customers.
Packet Capture on AWS. Simple explanation of why security people like to capture packets, how it can be done, potential architectures, and a POC using a WatchGuard Firebox Cloud, the CLI, a bucket, bucket policy, etc. and a lambda function to show that packet capture is possible. Next steps for an actual production solution.
Caveat: these slides were written in about one hour. Please refer to the paper for details.
Rails security: above and beyond the defaultsMatias Korhonen
In a world with increasingly sophisticated adversaries employing both targeted and automated attacks, what can we do to keep our users and our web apps safe?
While Rails provides pretty decent security options straight out of the box, we can go further and make attacks more difficult to accomplish.
For example, why and how to implement a Content Security Policy. Should you use HTTP Public Key Pinning? How do you know if you've configured HTTPS correctly?
In the last few years, a number of new security features have become available to web developers (e.g. Content Security Policy, Strict Transport Security) and a few more are coming up this year (e.g. Referrer Policy, Subresource Integrity). In addition to getting familiar with these, a number of recent high-profile bugs in the SSL/TLS protocol and implementations have forced developers to learn more about TLS ciphers and to start worrying about mixed content on their pages.
As a browser vendor and a member of the W3C WebAppSec working group, Mozilla is busy extending the web platform to provide the tools and features that developers and users need in 2015. This talk will give an overview of the security and privacy landscape on the web as well as pointers to what developers need to know to secure their applications.
https://2015.rmll.info/security-and-privacy-on-the-web-in-2015?lang=en
OWASP Portland - OWASP Top 10 For JavaScript DevelopersLewis Ardern
With the release of the OWASP TOP 10 2017 we saw new issues rise as contenders of most common issues in the web landscape. Much of the OWASP documentation displays issues, and remediation advice/code relating to Java, C++, and C#; however not much relating to JavaScript. JavaScript has drastically changed over the last few years with the release of Angular, React, and Vue, alongside the popular use of NodeJS and its libraries/frameworks. This talk will introduce you to the OWASP Top 10 explaining JavaScript client and server-side vulnerabilities.
"Automating cloud security operations takes a little more than slapping together a quick lambda to fix an open S3 bucket (but that isn't a bad start). In this workshop we will cover the major categories of security automations and present practical implementation techniques. Come prepared to build your own (or use our starter scripts) as we:
Review the three major categories of automations- guardrails, workflows, and orchestrations.
Build demo versions of each (in AWS, bring your own account), incorporating techniques including assessments, event-driven guardrails, and an incident response workflow.
See demonstrations of cross-product orchestrations that integrate commercial tools.
Learn the tricks of the trade, based on 10 years of hands-on research and implementation (for realz, check the intertubes if you don't believe us).
See what it takes to implement automations at global scale."
Devouring Security Insufficient data validation risks Cross Site Scriptinggmaran23
Devouring Security: Insufficient Data Validation Risks - Cross Site Scripting (XSS)
• Risk, Stories & the news
• XSS Anatomy
• Untrusted Data Sources – Well, Where did that come from?
• Shouldn’t it be called CSS instead?
• Types of XSS
- Type 0 [DOM based]
- Type 1 [Reflected or Non-persistent XSS]
- Type 2 [Persistent or Stored XSS]
• Live Demo: XSS 101 with alert('hello XSS world')
• Live Demo: Cookie Hijacking and Privilege Escalation
- Face/Off with John Travolta and Nicolas Cage
• Live Demo: Let’s deploy some Key loggers,huh?
• Mitigations
- Input Sanitization
- Popular Libraries for .Net, Java, php
Demo: Input sanitization
- Whitelists (vs. Blackists)
- Output Encoding
Contextual
Demo: Output Encoding
- Browser Protections & bypasses
- Framework Protections & bypasses
- Content Security Policy (CSP) in brief
• Secure Code reviews: Spot an XSS, How?
• Tools: Do we have an option?
• XSS Buzz and how to Fuzz
• Renowned Cheat sheets
• Further reading & References
Much has been said about DevOps and SecDevOps for security automation and integration. However, to many in the security community, this is still a buzzword. There are many practical applications of automation in cloud security controls, however, across all security-related disciplines. This talk will delve into concrete examples of security automation in the cloud, with metrics examples, as well.
(Source : RSA Conference USA 2017)
In this presentation John will show how Azure Devops can be used to automate the deployment and security checks of a website in the Azure cloud. In this presentation we will go through how a variety of tools are used to gain security insights into your code and deployed environment. We will explore how this relates to the pull security left philosophy from DevSecOps. After the presentation you will have gained a good insight into all the tools you can use to improve the security of your deployed code base.
Basic security principles for information systems development/deployment. Information security is concerned with the confidentiality, integrity, and availability of information. From these three 'pillars', the following principles must be applied when implementing and maintaining an information system: Accountability.
Ten Commandments of Secure Coding - OWASP Top Ten Proactive ControlsSecuRing
OWASP - Open Web Applications Security Project to fundacja której celem jest eliminacja problemów bezpieczeństwa aplikacji. OWASP działa w duchu "open source" i dostarcza narzędzi, informacji i wiedzy pozwalających podnieść poziom bezpieczeństwa aplikacji. W trakcie wykładu przedstawię krótko OWASP Top 10 w wydaniu dla programistów, czyli "Top 10 Proactive Controls" a więc najważniejsze zalecenia pozwalające na uniknięcie kluczowych błędów bezpieczeństwa.
OWASP - Open Web Applications Security Project to fundacja której celem jest eliminacja problemów bezpieczeństwa aplikacji. OWASP działa w duchu "open source" i dostarcza narzędzi, informacji i wiedzy pozwalających podnieść poziom bezpieczeństwa aplikacji. W trakcie wykładu przedstawię krótko OWASP Top 10 w wydaniu dla programistów, czyli "Top 10 Proactive Controls" a więc najważniejsze zalecenia pozwalające na uniknięcie kluczowych błędów bezpieczeństwa.
Here you can find the slides that accompany my “SPA Secure Coding Guide”, this presentation go through a set of security best practices specially targeted towards developing Angular applications with ASP.Net Web Api backends.
It comes with a WebApi example project available on GitHub that provides several code examples of how to defend yourself. The example app is based on the famous "Tour of Heroes" Angular app used throughout the Angular documentation.
It first introduce general threat modelling before explaining the most current type of attacks Asp.Net Web API are vulnerable to .
It is designed to serve as a secure coding reference guide, to help development teams quickly understand Asp.Net Core secure coding practices.
Foundations of cloud security monitoringMoshe Ferber
Cloud computing is also changing the way we do security monitoring. In this presentation I will review the different concepts of security monitoring of cloud computing services.
This session will cover how operating on the AWS cloud helps you manage risk and remain competitive in an ever changing landscape. We will review how to manage confidentiality, integrity, compliance and availability on AWS.
Speaker: David Kaplan, Security Specialist, Amazon Web Services
DevOps and the Future of Enterprise SecurityPriyanka Aash
The era of technology as a limiting factor of business innovation is at an end. For years security teams have struggled with basic security hygiene and practices such as asset inventory, secure configurations and secure development. Learn how your security team can operate at the “speed of business” by implementing leading DevOps practices.
Learning Objectives:
1: Learn how to inject security into the DevOps pipeline.
2: Learn how to solve security problems with DevOps.
3: Learn how to lead DevOps change in the enterprise.
(Source: RSA Conference USA 2018)
Poznasz wartość biznesową testów, a prelegentka udowodni, że tester jest fajną rolą i potrzebną osobą w organizacji. Potem zastanowimy się nad tym, czy automatyzacja jest zawsze najlepszym rozwiązaniem dla testera.
Jak radzić sobie z projektami o wysokiej złożoności? Jak organizować kod, aby uzyskać wysoki poziom elastyczności rozwiązania? Prezentacja stanowi krótkie wprowadzenie do świata architektury oprogramowania. Omówiona zostanie przykładowa implementacja z wykorzystaniem frameworka ASP .NET Core oraz korzyści płynące z zastosowania wzorców Clean Architecture
[Quality Meetup #20] Michał Górski - Continuous Deployment w chmurzeFuture Processing
W dzisiejszych czasach praca z chmurą pozwala niesamowicie zmniejszyć koszta wejścia na rynek z rozwiązaniami typu PoC i MVP oraz w późniejszych etapach rozwoju produktów skalować oprogramowanie według potrzeb. Niestety nie jest to złoty środekt i rozwiązując stare problemy, tworzy nowe. Dlatego, oprócz zapoznania się z technologią serverless, czy Infrastructure as a Code, spróbujemy przede wszystkim stworzyć bezpieczne środowisko, pozwalające na Continuous Deployment.
Dodatkowe materiały: https://www.dropbox.com/sh/tbf1l7omvopv1rg/AACxbDcdOhpzfF7u9SIWSnqUa/Filmiki%20i%20gify%20z%20prezentacji?dl=0
Testowanie aplikacji mobilnych bywa nie lada wyzwaniem. Niejednokrotnie samo urządzenie testowe jest niewystarczające nawet do przetestowania pojedynczej funkcjonalności, a wykonanie niektórych testów zależy od dostępności do programisty lub zewnętrznego oprogramowania. Istnieją jednak narzędzia ułatwiające pracę, o których marzy każdy tester. Mogą one znacząco wpłynąć na poprawę jakości w projekcie jak i zwiększenie ilości i różnorodności testów, które są przeprowadzane. Podczas prezentacji Dorota skupia się na debug screenie Hyperion, który sprawia, że zyskujemy szereg nowych możliwości, od testowania wydajności aplikacji, po podglądanie zapytań i odpowiedzi API.
Efekt potwierdzenia. Samospełniająca się przepowiednia. Iluzja grupowania. Paradoks hazardzisty… i dziesiątki innych, które próżno wymieniać. Homo Sapiens, jako gatunek, choć tak doskonale wierzący w ideały, jest doskonale nieidealny. Błędy (skrzywienia) poznawcze sprawiają, że ufamy sobie bardziej, niż powinniśmy.
Omawiając błędy poznawcze, przytrafiające się w codziennej pracy, Magda starała się przekonać nas do tego, co i tak podejrzewamy — że za błędy możemy odpowiadać tylko przed sobą.
[Quality Meetup #19] Adrian Gonciarz - Testerska ruletkaFuture Processing
Teoria gier wywodzi się z matematycznego opisu gier hazardowych i określa międzyludzkie zachowania w ujęciu graczy, nagród, obranych strategii oraz ryzyka. Dlaczego by więc nie spojrzeć na proces wytwarzania oprogramowania (w tym na pracę testerów) przez pryzmat tej teorii? Jest on w końcu naturalnie związany z zarządzaniem ryzykiem i uwzględnianiem możliwych scenariuszy.
W kilku przykładach znanych z teorii gier, Adrian pokazał, jak teoretyczne koncepcje można odnieść do testowania oprogramowania i jakie lekcje dla naszej codziennej pracy płyną z tej ciekawej gałęzi matematyki.
[FDD 2018] Krzysztof Sikora - Jak Service Fabric rozwiąże twoje problemy z mi...Future Processing
Tworzenie skalowalnych i wydajnych mikroserwisów w rozproszonym środowisku chmurowym wymaga dużej dyscypliny u programisty oraz zastosowania wielu narzędzi ułatwiających to zadanie. Im większy system, tym większej uwagi wymaga. Rozproszone środowisko dodatkowo wymusza korzystanie z zewnętrznych rozwiązań ułatwiających pracę ze stanem systemu, takich jak cache.
Zdarzyło Ci się kiedyś pogubić w tym, gdzie leży która usługa i skąd się wziął błąd w systemie? Czy nie łatwiej byłoby mieć jedno narzędzie, które utrzyma wszystkie usługi pod kontrolą i zapewni niezawodne zarządzanie stanem aplikacji bez konieczności używania zewnętrznych systemów? W czasie swojej prelekcji Krzysiek przedstawił, jak sprawdzony w bojach Azure Service Fabric zapewnia stabilną kontrolę nad systemem mikroserwisów oraz pozwala stworzyć aplikację bez użycia zewnętrznej bazy danych i systemu cachingu. Swoje doświadczenie z Azure Service Fabric nabył w codziennej pracy w dużym projekcie dla korporacji finansowej w FP.
[FDD 2018] Ł. Turchan, A. Hulist, M. Duchnowski - CUDA - results over coffee ...Future Processing
Uważa się, że karty graficzne / CUDA to technologia wykorzystywana do wykonywania dużej ilości skomplikowanych obliczeń w implementacji sieci neuronowych. Jakie jeszcze praktyczne problemy można rozwiązać za jej pomocą? Czy w medycynie przydatna jest realistyczna grafika rodem z gier komputerowych? Bazując na wiedzy wyciągniętej z pracy w projekcie Cardiac, prelegenci postarają się odpowiedzieć na te pytania. Celem tego projektu jest stworzenie narzędzia wspomagającego lekarzy w podejmowaniu decyzji i stawianiu diagnozy chorób wieńcowych. Aby to osiągnąć, niezbędne jest pozyskanie geometrii naczyń wieńcowych w wysokiej rozdzielczości, co wymaga wykonania ponad 7 bilionów operacji.
Pozyskana geometria służy do symulacji przepływu krwi, w trakcie której w każdej sekundzie generowane jest 100 GB danych, a te trzeba następnie wizualizować. Wykorzystując odpowiednie algorytmy i współczesne karty graficzne, wszystkie ww. problemy są do rozwiązania.
Zastosowanie technologii Blockchain we współczesnym biznesie staje się coraz bardziej powszechne. W czasie prelekcji Lech wprowadził słuchaczy do podstawowych technologii, kryjących się za prywatnym Blockchainem i zdecentralizowanymi aplikacjami oraz wskazał różnicę pomiędzy stosowanymi obecnie dowodami autoryzującymi bloki. Pokazał również, jak w prosty sposób postawić prywatny Blockchain na platformie Azure z PoA (Proof of Authority) i przedstawił narzędzia, które mogą być zastosowane przy procesie developmentu oprogramowania opartego o Ethereum Dapps (Truffle, Genache, Metamask).
[FDD 2018] W. Malara, K. Kotowski - Autoenkodery – czyli zalety funkcji F(X)≈XFuture Processing
Jednym z ciekawszych kierunków w Deep Learning jest idea autoenkoderów, czyli sieci neuronowych aproksymujących funkcję F(X)=X. W trakcie wystąpienia dowiecie się, w jaki sposób ten jeden prosty trik pozwala komputerom malować obrazy, tworzyć muzykę, zapobiegać atakom hakerów, diagnozować choroby, odkrywać nowe leki i wstawiać twarz Nicolasa Cage’a do każdego zdjęcia.
[FDD 2018] Jarosław Ogiegło - Ludzie, zabezpieczajcie się! Wprowadzenie do OA...Future Processing
RFC 679 to specyfikacja standardu autoryzacji o nazwie OAuth2. Jego rozszerzenie stanowi OpenId Connect, którego szczegółowy opis możecie znaleźć pod adresem https://openid.net/developers/specs. Aby zacząć z nim pracę, należałoby dodatkowo dobrze poznać IdentityServer – scentralizowany i modularny magazyn tożsamości umożliwiający łatwe rozszerzanie. Oczywiście można próbować przebrnąć przez stos definicji, by dowiedzieć się, w jaki sposób pracować z tymi technologiami. Jeżeli jednak nie przepadacie za czytaniem suchych dokumentów technicznych, a chcecie dowiedzieć się czegoś więcej o sposobach zabezpieczania aplikacji, koniecznie zobaczcie prelekcję Jarka.
[JuraSIC! Meetup] Krzysztof Sikora- Jak Service Fabric rozwiąże twoje problem...Future Processing
Tworzenie skalowalnych i wydajnych mikroserwisów w rozproszonym środowisku chmurowym wymaga dużej dyscypliny u programisty oraz zastosowania wielu narzędzi ułatwiających to zadanie. Im większy system, tym większej uwagi wymaga. Rozproszone środowisko dodatkowo wymusza korzystanie z zewnętrznych rozwiązań ułatwiających pracę ze stanem systemu, takich jak cache.
Zdarzyło Ci się kiedyś pogubić w tym, gdzie leży która usługa i skąd się wziął błąd w systemie? Czy nie łatwiej byłoby mieć jedno narzędzie, które utrzyma wszystkie usługi pod kontrolą i zapewni niezawodne zarządzanie stanem aplikacji bez konieczności używania zewnętrznych systemów?
W czasie swojej prelekcji Krzysiek przedstawi, jak sprawdzony w bojach Azure Service Fabric zapewnia stabilną kontrolę nad systemem mikroserwisów oraz pozwala stworzyć aplikację bez użycia zewnętrznej bazy danych i systemu cachingu. Swoje doświadczenie z Azure Service Fabric nabył w codziennej pracy w dużym projekcie dla korporacji finansowej w Future Processing.
Monady mają bardzo zły PR – powszechnie uważane są za superabstrakcyjne byty z programowania funkcyjnego albo nawet gorzej... z matematyki. Jednak w praktyce okazuje się, że używa ich każdy programista C#. W trakcie prezentacji przekonasz się o tym, że używasz monad na co dzień (sic!). Ponadto, Mateusz pokaże inne typy monad, których być może nie stosujesz, ale mogą się przydać i które wcale nie są abstrakcyjne. Mamy nadzieję, że po prezentacji każdy będzie (przynajmniej) intuicyjnie rozumiał, co to monada i kiedy mogą one nam pomóc.
[QE 2018] Aleksandra Kornecka – Kognitywne podejście do testowania aplikacji ...Future Processing
W dobie technologii rozwijających się niemal wykładniczo łatwo jest zapomnieć o tym, że zarówno wytwórcy, jak i użytkownicy oprogramowania są ludźmi z całym ogromem możliwości, ale jednocześnie z pewnymi ograniczeniami poznawczymi. Projektując rozwiązanie, warto zastanowić się jak sprawić, by użytkownicy chcieli go używać oraz by robili to w sposób jak najbliższy zaprojektowanemu.
Ola podczas swojej prelekcji zapoznała uczestników z kognitywnym (poznawczym) podejściem do testowania aplikacji mobilnych. W tym celu przywołała kilka teorii i zjawisk, pokazujących, jak umysł konstruuje rzeczywistość oraz tym samym uświadamiających, gdzie mogą czaić się błędy w postrzeganiu.
[QE 2018] Adam Stasiak – Nadchodzi React Native – czyli o testowaniu mobilnyc...Future Processing
Świat technologii mobilnych od pewnego czasu przechodzi rewolucję – odchodzi się od natywnych aplikacji mobilnych. Jak zatem twórcy aplikacji mobilnych odpowiadają na potrzeby rynku? Czy osoby automatyzujące testy aplikacji mobilnych mają do dyspozycji narzędzia gotowe na technologie, takie jak React Native czy Flutter? Czy można uniknąć pisania oddzielnego kodu testów dla Androida i iOS-a?
W czasie wykładu, na przykładzie aplikacji stworzonej w oparciu o technologię React Native oraz narzędzia Detox, Adam przedstawił praktyczną implementację testów end-to-end oraz ich konfigurację z Continuous Integration.
Apache Spark jest narzędziem do przetwarzania danych na dużą skalę. Zastosowanie tego narzędzia w rozproszonym środowisku, w celu przetwarzania dużych zbiorów danych daje ogromne korzyści.
Ale co z szybką pętlą zwrotną podczas opracowywania aplikacji z użyciem Apache Spark? Testowanie aplikacji w klastrze jest niezbędne, lecz nie wydaje się być tym, do czego większość programistów przywykło podczas praktykowania TDD.
Podczas wystąpienia, Łukasz podzielił się z kilkoma wskazówkami, jak można napisać testy jednostkowe oraz integracyjne i jak Docker może być używany do testowania Sparka na lokalnej maszynie.
[QE 2018] Rob Lambert – How to Thrive as a Software TesterFuture Processing
Thriving as a Tester is different to just succeeding or just getting by, or just having a decent career. To thrive means to grow vigorously. Wow. To grow vigorously!
In a nutshell, this means to grow personally and pretty quickly; and this is what the job market needs – and of course, this is what your career needs too.
Thriving as a Tester is about adopting a mindset of success and then building the habits to support your goals.
[QE 2018] Paul Gerrard – Automating Assurance: Tools, Collaboration and DevOpsFuture Processing
The Digital Transformation is real. It is having a profound effect on how business is done and the nature of the systems required to deliver productive customer experiences and consequent business benefits. The demand for flexible and rapid delivery of software and systems is there. Software development teams can deliver if they adopt the disciplines of Continuous Delivery, DevOps and in-production experimentation. The barrier to achieving success in the software delivery process is likely to be the inability of testers to align testing and automated testing in particular to the development processes. Our track record in test automation is not good enough. In order to succeed a new way of thinking about testing is required, and the New Model of Testing offers a way of identifying the elements of the test process that must be ‘shifted left’. This does not necessarily mean testers move, but rather that the thinking processes must move.
During this lecture, Paul has shown that it is possible that users, BAs, and developers take some responsibility in this area. The New Model applies to all testing, whether performed in development, integration, system or user testing, by people or tools.
[QE 2018] Arnika Hryszko – Testy, które tworzą się same (prawie)Future Processing
Szacuje się, że testerzy poświęcają około połowy swojego czasu na projektowanie i przygotowanie przypadków testowych. A gdyby udało się ten czas skrócić? Albo zupełnie pominąć i wygenerować przypadki automatycznie?
Taką możliwość (przynajmniej w swoim założeniu) daje testowanie oparte na modelu. Jak takie modelowanie wygląda? Co można dzięki niemu osiągnąć? Czy rzeczywiście skróci to czas projektowania i pozwoli się skupić na tym, co tygryski lubią najbardziej, czyli na testowaniu? Na te pytania Arnika odpowiedziała w swojej prezentacji, prowadząc uczestników przez proces – od pomysłu na model do przypadku testowego.
Enterprise Resource Planning System includes various modules that reduce any business's workload. Additionally, it organizes the workflows, which drives towards enhancing productivity. Here are a detailed explanation of the ERP modules. Going through the points will help you understand how the software is changing the work dynamics.
To know more details here: https://blogs.nyggs.com/nyggs/enterprise-resource-planning-erp-system-modules/
Listen to the keynote address and hear about the latest developments from Rachana Ananthakrishnan and Ian Foster who review the updates to the Globus Platform and Service, and the relevance of Globus to the scientific community as an automation platform to accelerate scientific discovery.
OpenFOAM solver for Helmholtz equation, helmholtzFoam / helmholtzBubbleFoamtakuyayamamoto1800
In this slide, we show the simulation example and the way to compile this solver.
In this solver, the Helmholtz equation can be solved by helmholtzFoam. Also, the Helmholtz equation with uniformly dispersed bubbles can be simulated by helmholtzBubbleFoam.
How Recreation Management Software Can Streamline Your Operations.pptxwottaspaceseo
Recreation management software streamlines operations by automating key tasks such as scheduling, registration, and payment processing, reducing manual workload and errors. It provides centralized management of facilities, classes, and events, ensuring efficient resource allocation and facility usage. The software offers user-friendly online portals for easy access to bookings and program information, enhancing customer experience. Real-time reporting and data analytics deliver insights into attendance and preferences, aiding in strategic decision-making. Additionally, effective communication tools keep participants and staff informed with timely updates. Overall, recreation management software enhances efficiency, improves service delivery, and boosts customer satisfaction.
Code reviews are vital for ensuring good code quality. They serve as one of our last lines of defense against bugs and subpar code reaching production.
Yet, they often turn into annoying tasks riddled with frustration, hostility, unclear feedback and lack of standards. How can we improve this crucial process?
In this session we will cover:
- The Art of Effective Code Reviews
- Streamlining the Review Process
- Elevating Reviews with Automated Tools
By the end of this presentation, you'll have the knowledge on how to organize and improve your code review proces
Climate Science Flows: Enabling Petabyte-Scale Climate Analysis with the Eart...Globus
The Earth System Grid Federation (ESGF) is a global network of data servers that archives and distributes the planet’s largest collection of Earth system model output for thousands of climate and environmental scientists worldwide. Many of these petabyte-scale data archives are located in proximity to large high-performance computing (HPC) or cloud computing resources, but the primary workflow for data users consists of transferring data, and applying computations on a different system. As a part of the ESGF 2.0 US project (funded by the United States Department of Energy Office of Science), we developed pre-defined data workflows, which can be run on-demand, capable of applying many data reduction and data analysis to the large ESGF data archives, transferring only the resultant analysis (ex. visualizations, smaller data files). In this talk, we will showcase a few of these workflows, highlighting how Globus Flows can be used for petabyte-scale climate analysis.
Globus Compute wth IRI Workflows - GlobusWorld 2024Globus
As part of the DOE Integrated Research Infrastructure (IRI) program, NERSC at Lawrence Berkeley National Lab and ALCF at Argonne National Lab are working closely with General Atomics on accelerating the computing requirements of the DIII-D experiment. As part of the work the team is investigating ways to speedup the time to solution for many different parts of the DIII-D workflow including how they run jobs on HPC systems. One of these routes is looking at Globus Compute as a way to replace the current method for managing tasks and we describe a brief proof of concept showing how Globus Compute could help to schedule jobs and be a tool to connect compute at different facilities.
Quarkus Hidden and Forbidden ExtensionsMax Andersen
Quarkus has a vast extension ecosystem and is known for its subsonic and subatomic feature set. Some of these features are not as well known, and some extensions are less talked about, but that does not make them less interesting - quite the opposite.
Come join this talk to see some tips and tricks for using Quarkus and some of the lesser known features, extensions and development techniques.
In software engineering, the right architecture is essential for robust, scalable platforms. Wix has undergone a pivotal shift from event sourcing to a CRUD-based model for its microservices. This talk will chart the course of this pivotal journey.
Event sourcing, which records state changes as immutable events, provided robust auditing and "time travel" debugging for Wix Stores' microservices. Despite its benefits, the complexity it introduced in state management slowed development. Wix responded by adopting a simpler, unified CRUD model. This talk will explore the challenges of event sourcing and the advantages of Wix's new "CRUD on steroids" approach, which streamlines API integration and domain event management while preserving data integrity and system resilience.
Participants will gain valuable insights into Wix's strategies for ensuring atomicity in database updates and event production, as well as caching, materialization, and performance optimization techniques within a distributed system.
Join us to discover how Wix has mastered the art of balancing simplicity and extensibility, and learn how the re-adoption of the modest CRUD has turbocharged their development velocity, resilience, and scalability in a high-growth environment.
Top Features to Include in Your Winzo Clone App for Business Growth (4).pptxrickgrimesss22
Discover the essential features to incorporate in your Winzo clone app to boost business growth, enhance user engagement, and drive revenue. Learn how to create a compelling gaming experience that stands out in the competitive market.
Large Language Models and the End of ProgrammingMatt Welsh
Talk by Matt Welsh at Craft Conference 2024 on the impact that Large Language Models will have on the future of software development. In this talk, I discuss the ways in which LLMs will impact the software industry, from replacing human software developers with AI, to replacing conventional software with models that perform reasoning, computation, and problem-solving.
Exploring Innovations in Data Repository Solutions - Insights from the U.S. G...Globus
The U.S. Geological Survey (USGS) has made substantial investments in meeting evolving scientific, technical, and policy driven demands on storing, managing, and delivering data. As these demands continue to grow in complexity and scale, the USGS must continue to explore innovative solutions to improve its management, curation, sharing, delivering, and preservation approaches for large-scale research data. Supporting these needs, the USGS has partnered with the University of Chicago-Globus to research and develop advanced repository components and workflows leveraging its current investment in Globus. The primary outcome of this partnership includes the development of a prototype enterprise repository, driven by USGS Data Release requirements, through exploration and implementation of the entire suite of the Globus platform offerings, including Globus Flow, Globus Auth, Globus Transfer, and Globus Search. This presentation will provide insights into this research partnership, introduce the unique requirements and challenges being addressed and provide relevant project progress.
Custom Healthcare Software for Managing Chronic Conditions and Remote Patient...Mind IT Systems
Healthcare providers often struggle with the complexities of chronic conditions and remote patient monitoring, as each patient requires personalized care and ongoing monitoring. Off-the-shelf solutions may not meet these diverse needs, leading to inefficiencies and gaps in care. It’s here, custom healthcare software offers a tailored solution, ensuring improved care and effectiveness.
Into the Box Keynote Day 2: Unveiling amazing updates and announcements for modern CFML developers! Get ready for exciting releases and updates on Ortus tools and products. Stay tuned for cutting-edge innovations designed to boost your productivity.
Enhancing Project Management Efficiency_ Leveraging AI Tools like ChatGPT.pdfJay Das
With the advent of artificial intelligence or AI tools, project management processes are undergoing a transformative shift. By using tools like ChatGPT, and Bard organizations can empower their leaders and managers to plan, execute, and monitor projects more effectively.
Navigating the Metaverse: A Journey into Virtual Evolution"Donna Lenk
Join us for an exploration of the Metaverse's evolution, where innovation meets imagination. Discover new dimensions of virtual events, engage with thought-provoking discussions, and witness the transformative power of digital realms."
14. OWASP Application Security
Verification Standard (ASVS)
• Provides a list of requirements for secure
development
• Defines different security assurance levels
(Opportunistic, Standard, Advanced, also
called Level 1, 2, 3)
20. Why do we have to deal with HTTP?
• It’s a trust boundary between the client and
the server
• It offers maximum flexibility by allowing
request manipulation on the text/byte level
• One can fabricate request the client side of
application would never generate
• This is what the hackers are doing :)
21. What does X-XSS-Protection do?
• Offers (reflected) XSS protection
• Turned on by default, but works in the
sanitization mode
• Turn the most rigorous mode on over X-XSS-
Protection: 1; mode=block
22. Preferred type of test
Source: https://blogs.msdn.microsoft.com/visualstudioalmrangers/2017/04/20/set-up-a-cicd-pipeline-to-run-automated-tests-efficiently/
30. I would not call that „easy”
• Understanding security requirements takes time
• We need to deal with traffic on the HTTP level
• Some technologies are easier to automate than
others
• We didn't show how to deal with authentication
or CSRF protection
• But yes, in many cases the code can still be sexy!
31. Example 3, ASVS 10.16
Verify that the TLS settings are in line with
current leading practice, particularly as
common configurations, ciphers, and
algorithms become insecure.
„
„
32. What is TLS?
• It’s the „S” in HTTPS ;)
• It’s actually much more than this, but let’s not
complicate things, because…
36. Example 4, ASVS 1.11
Verify that all application components, libraries,
modules, frameworks, platform, and operating
systems are free from known vulnerabilities.
„
„
37. Case Equifax
(STRUTS 2, CVE-2017-5638)
BTW: Struts 2 had 15 known vulnerabilities in 2016
Source: https://www.imperva.com/blog/2017/03/cve-2017-5638-new-remote-code-execution-rce-vulnerability-in-apache-struts-2/
38. How to deal with it?
• Update every library every release
• Or use a library scanning tool
– OWASP Dependency Check
– Victims
– Black Duck (Copilot)
– Many other
41. Summary
• First step to security assurance - know what is
to be done
• Don't fear HTTP – test implementation is not
necessary hard
• You can even deal with „special cases” like TLS
validation and software composition analysis
on the code level