Security

Будущее уже здесь, и оно генерирует код быстрее, чем ваша кофемашина варит эспрессо. Но есть нюанс: то, что ИИ может написать код за миллисекунды, не означает, что этот код готов к продакшену. На самом деле, считать код, сгенерированный ИИ, абсолютной истиной — это как доверять навигатору, который иногда решает, что дороги больше не существуют. Вы можете так делать, но, скорее всего, в итоге окажетесь в озере. Если вы интегрируете ИИ в свой рабочий процесс разработки — а давайте будем честными, большинство из нас это делает — вам нужна надёжная стратегия, чтобы гарантировать, что то, что попадает в продакшен, является надёжным, безопасным и не заставляет вашего будущего «я» хотеть перевернуть стол....

Проблема, которую никто не хочет признавать Ваша модель угроз находится на странице Confluence, красиво оформленная в виде диаграмм, тщательно документированная. Это шедевр «театра безопасности». Ваши разработчики мельком смотрят на неё во время знакомства с проектом, служба безопасности отмечает её как выполненное требование соответствия, и затем все делают вид, что она действительно отражает реальность. Звучит знакомо? Вот неудобная правда: большинство моделей угроз — это сложная выдумка — тщательно продуманные истории о том, как системы должны подвергаться атакам, оторванные от того, как они фактически развиваются в процессе эксплуатации....

Вы когда-нибудь видели кошмар, в котором кто-то читает весь ваш кодовый базис, понимает ваши гениальные алгоритмы лучше, чем вы сами, и затем использует их против вас? Добро пожаловать в мир разработчиков, которые не запутывают свой код. Это всё равно что оставить свой дневник на общественной скамейке с неоновой вывеской «ПРОЧИТАЙ МЕНЯ». Запутывание кода — это не про секретность или паранойю (ну, может быть, немного паранойи, но оправданной). Это законная практика обеспечения безопасности, которая превращает ваш читаемый и поддерживаемый код в нечто, что по-прежнему работает безупречно, но выглядит так, будто было написано инопланетянином в состоянии лихорадки от переизбытка кофеина....

Помните основателя стартапа, который рассказывал вам, что построил всю систему управления клиентскими данными с помощью платформы low-code за выходные? Да. Давайте поговорим о том, почему это не даёт мне покоя. Платформы low-code фантастические — правда. Они демократизировали разработку программного обеспечения таким образом, что десять лет назад это казалось бы невозможным. Нетехнические основатели теперь могут выпускать приложения, не изучая Python, не борясь с конвейерами развёртывания и не произнося фразу «почему не работает мой Docker-контейнер?...

Слушайте, я понимаю. Вы разработчик. Вы создавали API, микросервисы и, возможно, какие-то сомнительные побочные проекты в 2 часа ночи на холодном кофе и злости. Обработка платежей кажется достаточно простой, верно? Это просто перемещение денег из точки А в точку Б. Насколько это может быть сложно? Спойлер: сложнее, чем вы думаете, и, вероятно, вам не стоит этим заниматься. Я говорю это не для того, чтобы ограничить доступ или показаться разочарованным старшим инженером, который слишком много видел....