Trzy lata fuzzingu... I czy coś to zmieniło?

ci scena powodzenia dobra widzę że skutecznie wykonać roszadę na sali co w sumie jest całkiem niezła bo będzie trochę więcej powietrza dla mnie to jest to już jest mój piąty raz napisach trzeci raz mówię o rynku dlatego chcę przeprowadził ankietę ile osób w ogóle kiedykolwiek uruchom uruchomiło jakikolwiek fazy mógł być nawet random spa jakieś pro rano parkiet jakiegoś programu i tak powiem noc bezkresna tylko uruchomienie czegoś takiego w pętli 1 2 3 no jest dobrze dobra kto to znalazł jesteś dla których zgłosił jest dużo gorzej tak jakby znacząco przez pewien czas o którym chcę powiedzieć kiedy z w ogóle od kiedy zacząłem mówić o facebooku 3 lata temu sporo się zmieniło właśnie chcę was przeprowadzić przez taką podróż

w czasie powiedzmy czy coś na temat tego jak mogą skutecznie szukać jak można to robić przede wszystkim dobrze jak zgłaszać no i co się zmieniło to co już piotrek mówił tak jakby jeżeli ktoś by zasnąć to tego można zrobić zdjęcie to będzie wyglądało na googlu dopóki google istnieje generalnie chodzi o to żeby po prostu w tym momencie dobra nie mam za plecami się wszyscy mnie znają nie będę mówił szukam błędów które komputer pracuje w naskórku i generalnie tak jakby jestem w tej strefie offensive z lekkim zajęciem było ale ale to rzadko to dosyć robię piszę na blogu trochę na twitterze szybko studia więc dla mnie od kiedy w zasadzie pamiętam trwa walka deweloperzy bezpieczni c i ta

sytuacja w przypomina o tak jakby trochę bycie między młotem a kowadłem dla developerów bezpieczniki są tym o tym którzy cały czas gdzieś tam walczą w d2 rowerów tutaj zrobiłeś błąd zrobiłeś błąd to jest słaba i oczywiście musi być to pytać czy ktoś nie wiedział i masą z kolei deweloper gdzieś są pod ścianą pod kątem błędów jakie prowadzą do kodu oczywiście wiadomo są nowoczesne techniki wykrywania wykrywanie w ideę przeglądania kodu przed meczem natomiast generalnie błędy dalej są błędy zawsze będą natomiast natomiast jest duża szansa że uda się nam może nocy nie uda się ale pokonamy ten impas to są w sytuacji która jest teraz przede wszystkim warto zapoznać się z jeżeli wykorzystujecie zależności open source w swoich projektach czy

korzystacie z tego open source z pracy takiej firmy która się nazywa synek publikuje bardzo fajny raport taki landscape co się dzieje w bezpieczeństwie bibliotekom open source nowych projektów opensource ciekawe jest to że są w stanie monitorować bardzo dużo repozytorium przez to tak jak w informatyce świeża bardzo polecam natomiast statystyki nie napawa optymizmem prawie tysiąc sześćset błędów bibliotekę systemowych najpopularniejszych dystrybucji linuksa około 65 dziennie to jest do oceny własnej czy jest to faktycznie słaba sytuacja czynienia w moim zdaniem patrząc na na to ile tam jest kodu nie dla projektów jak skomplikowane są zależności sytuacja nie jest na mnie zła natomiast patrząc na trochę głębiej prawie 80 procent tych lub znajduje się w zależności od zależności nad czymś nad

czym nie mamy kontroli mieszkanie przyjmujemy sprawy w swoje ręce i nie sprawdzimy tego co pakujemy do nas aplikacji czego korzystamy to możemy się obudzić z ręką w nocniku już od kilku lat powtarzam spotykam się z ludźmi że lepiej jest czasem atakować po prostu biblioteki zależności niż kolor spowodowany przez historia podatności microsoft office a nie słynne extra-credits.net tor tak ten zależność najczęściej są mocno zaniedbane albo nie aktualizowane akord zasadzie jest całkiem świeży to jest ważna tutaj akurat śmieszną statystyką jest to że 25 procent deweloperów w ogóle nie ma żadnego kodu pod kątem bezpieczeństwa w jakikolwiek sposób nie odpadnie nawet analizatora kodu no to już jest powiedzmy znaczy pomijając fakt że estetyczne analizatory kodu no są jakie są i czasami wykrywamy

błędy czasami nie niemniej jednak to że 85 procent ma to gdzieś też jest źle myślę że tego nie muszę komentować wykorzystanie języków programowania i problemy w problemy w zarządzaniu płatnościami wybory i niestety to się jeszcze długo nie zmieni dużo organizacji mobilna microsoft prostu przejść na bezpieczne języki programowania na raz tanashi hashiba natomiast niemniej jednak jeszcze długo to się nie wydarzy nie wydaje mi się że około 50 lat jest to potrzebujemy na to żeby to wszystko się odwrócił i faktycznie wszędzie w każdym urządzeniu które nosimy na sobie mamy wpięte w domowym ruter czy czy wykorzystujemy swojej pracy były faktycznie języki zawierający mechanizmy ochrony przed naruszeniami pamięci śmieszne jest też przynajmniej dla mnie śmieszne straszna jest tak jakby w 10

faktów na temat bezpieczeństwa z jednej strony oni tak jakby interesują się tymi zagadnieniami jednak to w zasadzie zagadnienia pozostają mocno na kanwie teoretycznej nie są implementowane nie ma czasu feature histeryzować miejsca ale o tym za chwilę powiem tak jak już mówiłem w zasadzie największym zagrożeniem obecnie dla różnych metę dla różnych mechanizmów i w zależności jak również podatności które ja nazywam twardymi zawierające się właśnie w związku ale gdzieś związanych z ochroną pamięci microsoft widzi bardzo fajne statystyki w ogóle produktu i dzielą się na konferencji blokad polecam fajnie się za macie z widokiem giganta który utrzymuje olbrzymią bazę kodu na to jak to wygląda natomiast średnia 70 procent w udziale w dziale cv jak na rok robi wrażenia

bardzo lubię ten wykres po pierwsze jest kolorowa po drugie pokazuje trendy które są no niestety coraz więcej podatności jest zgłaszanych coraz więcej istnieje procesu świadomy obsługi podatności czyli nie taki że ktoś zgłasza to starszym go sądem i wysyłamy wysyłamy do podpisania na przykład media pod jakąś tam groźbą tylko faktycznie do płatności są obsługiwane znaczy problem jest taki że trochę mi trochę się pogubił o w nadawaniu podatności czasami zupełnie bzdury są publikowane a potem dopiero są propagowane wracają numer do puli natomiast niemniej jednak gdzieś to zaczyna działać dziś nauczyliśmy się od kiedy istniejącej floty 69 rok przez 20 lat dopiero zaczyna to zrobić to jest sporo jak na branżę it niemniej jednak gdzieś cały czas odbijamy się i jak dziecko uczy się

chodzić tak jak już wcześniej wspominałem cały czas memory safety jest naszym problemem o ile north point ff które są na miejscu 14 najczęściej zgłaszanych płatności w tym roku w zasadzie tylko powodują dosyć rzadko kiedy udaje się z tego zrobić chcę tylko trójka czwórka naprawdę naprawdę jest w stanie poważnie zaszkodzić nas ma aplikacją wczoraj chyba pojawił się na twitterze pod właśnie adama i 30 takiego o tym jak znaleźć interwał w celu polecam się zapoznać bardzo ciekawa metoda poszukiwania w ogóle dodatkowy miejsce znalezienia błędu tutaj oczywiście wiadomo w tej tabelce też są rzeczy które są związane ze z aplikacjami mobilnymi które nie są akurat w obszarze tego wystąpienia no niestety tak możemy sobie dywagować tabelkami w excelu publikować robić

statystyki i życie życiem i bardzo fajny stojak testując jakiś projekt przez długi czas w zasadzie na pół gwizdka znajduje się błędy w tej samej funkcji związane z tą samą obsługą pamięci no oczywiście github dzięki temu że że odpowiada bo tak się nie zorientował że że coś takiego miało miejsce natomiast faktycznie jest to taki trochę smutne obraz tego jak zarządzają bezpieczeństwem program open source akurat rada bo to jest screeny z mechanizmu unikatowego radar a tak jakby prowadzą projekt prowadzą ludzi którzy zajmują się bezpieczeństwa i więc tym bardziej jest to jest to smutne ale powiedzenia na ziemi najciemniej pod latarnią nie wzięło się z nikąd tak jak już mówiłem walka z klasycznym płatnościami trwa tutaj tak jak ja widzę

perspektywy 50 lat aż uda a czy uda się to wszystko to wszystko przenieść tak żeby było dobrze oczywiście wiadomo podepniemy się wielokrotnie powiązanymi się wielokrotnie natomiast już są mocne naciski na to żeby uderzyć właśnie wracam z sharpa mimo tego że faktycznie wydajność w porównaniu z klasycznym c na przykład w zastosowaniach i czy jakiegoś widzenia komputerowego i niestety tutaj dużo lepiej robi to co chce szybciej niż przepis r dopóki nie uda się zredukować tego narzuty na ochronę pamięci no dopóty będziemy cały czas bawić się tymi błędami będą one zagrożeniem cofnijmy się trochę po obu całą podróż cofnijmy się trochę do roku 2016 go generalnie wszystko dopiero pracowało nie zaczynam się w to bawić ale miałem miałem gdzieś z tyłu głowy coś takiego

że praktycznie wszędzie są błędy nie słuchałem ich sposób nazwijmy to procesowe mówiąc to pomogło po prostu ustalam sobie fazer wychodził z biura zostawiłam komputer następnego dnia rano wracałam i oglądam swoje błędy to jest akurat moje pierwsze znalezisko jara bardzo ciekawa sprawa po godzinie miałem 17 błędów zapoznać się z prezentacją tutaj link jest na dole i wtedy mówię jak efektywnie to robić dopiero się uczę jak to wygląda powstał również nie wiem czy kojarzycie projektu gloss was ile osób słyszało no jasne spoko generalnie jest to projekt w którym google korzystając ze swojej wielkiej infrastruktury bierze na siebie pod lupę różne lipki projekty open source i po prostu testuję automatycznie za pomocą radarów i zwłaszcza te błędy 92 mm a potem jeżeli jeżeli ten błąd nie

zostanie naprawione to publikowane są publicznie informacje na temat tego gdzie się znajdował no i obrazów obrazy 2016 roku był taki że nie istnieje coś bezpieczeństwa bawili się razem mimo że to było proste bo w zasadzie uruchomienia fala to jest trochę długa komenda i komenda nie natomiast input i output i w zasadzie ścieżka do pliku nic więcej no to podobało brak skali powodowało to że faktycznie powinno być takie będę jak udało mi się znaleźć w barze drogi 2016 też że tak powiem dominacja fala fajnego faceta michała żebrowskiego ten facet nie jest rozwijany natomiast kod został przyjęty jest rozwijany przez google przez pryzmat pasjonatów w 2016 roku i to było to czego się nie uruchomi podawałem to tam znajdował będę

było to bardzo pomoże dla mnie z perspektywy badaczy było to fajne z perspektywy z perspektywy dewelopera kto się z pracą tyłek również łatwe znajdowanie tego typu błędów że tak powiem powodowała że było źle moim zdaniem było źle teraz jest dużo lepiej natomiast już w czwartym kwartale 2016 roku wiedziałem że naprawdę błędy są wszędzie i nie trzeba się daleko daleko rzucać tym kamieniem żeby mieć jakąś chyba co się działo później to już nie ma nie mam akurat czasem tej prezentacji opowiemy wam o tym jak on się w tamtym roku tutaj slajdy natomiast chcę się skupić na tym co jest teraz 7 rzeczy na plus dwie rzeczy na minus natomiast przede wszystkim to działa produkcji roku zespół google a do z rodzajów można

tak powiedzieć najprościej za 45 45 rozmowa z bogiem jest to mega dużo zwłaszcza że to naprawdę mocny ludzie którzy potrafią analizować różnych dziwnych pod i odkrywać różne niestandardowe błędem więc naprawdę to że jest najlepszy zespół świata robi to w taki sposób o czym świadczy microsoft robi inne start-up właśnie teraz się buduje powstają więc w tym jeszcze nie ma pieniędzy ale za jakiś czas na pewno będą co więcej statystyki na pierwszego października wyglądają tak że ponad 15 tysięcy przez googla security prawie 350 jest jest jest naprawdę fajnie drugi plusik to jest eksplozji sercu i rozwoju narzędzi tak jak mówię marvel został uzdrowiony o przeniesione pod skrzydła grupa entuzjastów powstały różne forki które działają na różnych platformach codziennie jesteśmy bez

ograniczeń które wyczytałem szarpie w pythonie wokalu w czymkolwiek innym korzystamy z windowsa na każdej platformie działa jak fall jest złotych mamy można opuścić swój kod i sprawić że faktycznie przetrwamy to zderzania z automatycznym mechanizmami testowania oczywiście pojawiły się inne fale natomiast bardzo ciekawe jest to że w zajęli się tym badacza i publikują swój smartfon z kodem więc najciekawsze projekty związane z przeszukiwaniem na przykład pokrycia kodu i wyszukiwaniem potencjalnie interesujących się w zakładzie pracy nie chcą implementować na bieżąco z najnowszymi narzędziach to jest naprawdę moc włącznie z wami narzędzi ten los angeles stały się wyspecjalizowane w taki sposób że na przykład generuje nam potrafi wygenerować różne gramatyki potrafią tylko pracować jeden jeden język programowania robiąc to naprawdę dobrze

znajduję błędy patrząc na tą listę w zasadzie poza tutaj pan który pokój ru opublikował całkiem niedawno w każdym razie nie znalazłem błąd oczywiście zgłosiłem itd natomiast piekielna skuteczność naprawdę piekielna skuteczność polecam jeżeli macie jakieś zależności które można wykorzystać do gramatyki język i w bardzo prosty sposób możemy przetestować gotowe narzędzia nie łatwo jest mając narzędzia jest bardzo łatwo się zintegrować ale wykorzystując różne dziwne fi 4 patrząc na specyfikę różnych komercyjnych projektów jest tak że czasami nie możemy się podjąć gotowym narzędziem tutaj też już te problemy zostały rozwiązane w zasadzie w tym momencie żeby wejścia do zabawę nie musimy nic robić jest projekt który sam wygeneruje na margines oczywiście wykorzystujące sztuczną inteligencję bo teraz wszystko musi wykorzystać sztuczną

inteligencję są dostępne gotowe korpusy można mocno też udostępnić film z przyjaciółmi testy za pomocą projektu gips i naprawdę polecam w tym momencie nie ma w zasadzie żadnej wymówki na to żeby tego nie robić świadomość świadomość to jest chyba najważniejszy punkt w tych slajdach świadomy deweloperów wzrosła prawdopodobnie wynika to z tego że google publikując napięte deadline będzie jednak 90 dni w projektach open source czasami rozwiedzionych rodziców nie wystarczy wymuszając publikację informacje o błędach podejrzewa nguyen van persie nauczycieli i są w stanie łatwe ten kod wiedzą że są sprawdzani jest taki trochę bardziej natomiast to się przyjęło podejście i w tym momencie w zasadzie nie wiem ile trwa teraz projektów ponad sto stopni więc regularnie testowany no i oczywiście pojawiły się tutoriale

jak zintegrować twój proces tworzenia oprogramowania bo w ogóle nie wiem czy wiecie ale w microsoft weselu sebastiana szóstym miejscu właśnie testowania zmian po ostatnich komentarzach więc więc jeżeli chcemy sprawdzamy ten proces myślowy u siebie wytwarzając oprogramowanie co warto o tym pamiętać o tym że to jest chyba najczęściej popełniany przeze mnie tak z rozmów z polakami wnioskuje tak jak powiedziałem są gotowe tutoriale integracji i procesu df z fl 205 czymkolwiek więc braci korzystać z ostatnich dni w których powiedziałem bardzo gorący temat co więcej zauważam taką prawidłowość że za pomocą tego wystarczy publikować publikowanych w parach naukowych też zmienił się trochę focus jak ktoś napisał kiedyś pracę inżynierską magisterską z z bezpieczeństwa i zazwyczaj dotyczy atomami boru oczywiście nie spotykałem

się przynajmniej do niedawna z innymi rasami najczęściej było to spowodowane tym że nie wiedzą prowadzących była taka że rozumieli czym jest ma rozumieliśmy są wirusy więc pisali więc akceptowali tematy teraz się to zmieniło faktycznie metody testowania kodu manualne automatyczna już gdzieś pojawiają się w temat prac prac domowych i faktycznie można skorzystać gdyż rozwiązania są naprawdę ciekawa od wczoraj pojawił się taki fazy primer który był właśnie pisanych na magisterkę z haka nie pamiętam który też ma już na koncie 50 lvl więc bardzo bardzo fajna sprawa braci korzystać no i co więcej tutaj i które teraz jest pakowane praktycznie wszędzie tutaj akurat ma sens bo po pierwsze jest w stanie bardzo szybko znaleźć patterny plików które nam

pasują kot czy potencjalnych miejsc gdzie ten kod może się schować no i wspomagają podstawowe procesy które są wykorzystywane przez fazę tak jak generowania plików czy inne rzeczy więc tego tak to jest dużo łatwiej to zrobić osobiście bardzo lubię zwać robotę na komputer na nic nie robisz w pracy jesteśmy akurat ale ale generalnie to ma sens to ma dużo sensu i co tu dużo mówić jeżeli można wykorzystać to w prosty sposób to trzeba z tego robić niestety jako świadomość tam tych punktach które omawiałem wcześniej bo plusem to niestety tutaj też muszę to uznać jako minus minus jest taki że dalej pokutuję gdy takie podejście że jest najczęściej bardzo prymitywne podejście do silników owszem jest wiele czynników ale jest bardzo skuteczne

dużo też deweloperów wierzę wierzę że wszelkie uwagi do swojego kodu mocno osobiście nie wiem czy wy jak współpracuje z zespołami deweloperskim w waszych firmach czy może jesteście sami w zespole deweloperskim ich niektórzy mocno reagują na zgłoszenia błędów tak emocjonalnie oczywiście pomijam fakt że wiadomo programowanie to jest biznes aby zmusić się by zarabiać więc nacisk jest duży na najlepsze dostarczenie produktu na świat no i oczywiście napisane tak za to płacą klienci i 50 bezpieczeństwo nie płacą przynajmniej są pewne aspekty które ty praca bezpieczeństwo zwykły klient patrząc pop pop pop świadomości raczej bezpieczeństwo nie jest czymś takim co mogłoby co mogłoby przekonać klientów do zakupu no i w związku z tą eksplozją w sercu i tych narzędzi na githubie i już

pomijając ransomware edukacyjne tutaj pozdrowienia dla adama gdzieś tam gdzieś przychodzi z tyłu jest tam tak transportu pracy też niestety problem z narzędziami security jest taki że w zasadzie jest release na githubie wypuszczenie kodu i już potem nie ma żadnego i to jeżeli projekt ma sens zostanie odrzucony przez własne pasje natomiast innego projektu i będzie działał a jeśli nie to po prostu zginie na tym githubie bo w zasadzie nie ma żadnego pożytku no to akurat tak jak na slajdzie napisane else zasadzie wyszukuję takie ludzie związani z tym przypadku o takie rzeczy po prostu wrzucają w ten facet przez to w zasadzie jest to już trochę fl dokąd zmierzamy to jest bardzo ważne pytanie przede wszystkim tworząc narzędzia podchodząc podchodzą

do sprawy bardziej świadomy sposób niż tylko uruchamiam father musimy skupić się na aspektach po pierwsze musimy się szybciej znajdować będę w dowolny sposób możemy to robić poprzez skalowanie możemy to zrobić poprzez ulepszenie metod cokolwiek no i takie błędy których nie możemy w tym momencie pokryć bo niestety klasy błędów pojawiają się różne różne nowe pojawiają się pojawi się błędy których nie jesteśmy w stanie tatuś w ogóle nie wiem czy wiecie ale mimo tego że mam te multikulturowe wsparcia niestety jest najgorzej sprawującej się projektem chyba ever trochę się poprawiło ale w tym momencie jakby na moment zakończeniu rozwoju przez michała żebrowskiego było bardzo słabo tutaj akurat też bardzo fajne podejście który zaproponował ostatnio google sobie z takim liderem cały czas się przewijają

w tej prezentacji pod kątem wystarczy to wystarczy w tym temacie jest że tak powiem taki projekt w każdej firmie czyli że mamy dwóch trzech lub którzy szukają błędów w nas aplikacji w zależności od naszych aplikacji i w różnych systemach wykorzystywanych netflix to robi bardzo fajnie działa mówił o tym mówił o tym właśnie członek zespołu na wakacje w tym roku polecam zapoznać się z prezentacją świetne podejście no i nauczenie deweloperów żeby sami próbowali swój kod żeby każdy był w stanie napisać karnet do tego co co napisał wcześniej wrócił do domu a poprzez to na pewno pewno świadomość tego jak się zepsuje to oczywiście wiadomo błąd świadomość tego kodu wzrośnie na operatora spotkaliśmy to już jest taki projekt głowy który właśnie miał

być rzeczy takie zespoły które prowadzą i search bezpieczeństwa w sposób w sposób publiczny i prostu zgłaszaj błędy w konkursie co dalej ukradłem to podsumowanie dwa miesiące temu dwa miesiące dwa tygodnie temu odbyła się świetna konferencji właśnie na ten temat w japonii w zasadzie pokrywa się z tym co powiedziałem przede wszystkim musimy ułatwić procesy tak żeby deweloperom chciało się nie chciało się integrować ludziom bezpieczeństwo to nie tylko deweloperzy tutaj ponoszą winę mimo że solidnie oklejamy w tej prezentacji to miasto jest bardzo mocno generalizowanie przede wszystkim ułatwienia szukanie zadań gracze wiedzą świadomie czy świadomość serca i i wiedzą mój moje podsumowanie jest takie żebyście mieli jedną rzecz z tej prezentacji protestujcie twój kot albo pomóżcie komuś żeby ten kod testował dla

was też zainspirujecie kogoś do tego im więcej osób które tylko tym ten kot jest bezpieczniejsze no i tym że tak powiem bardziej jesteśmy mamy do niej nabieram do niego zaufanie oczywiście ludzie od security w tym ja nie pamiętają napisali tydzień temu i i muszę pisać nowe funkcjonalności natomiast no nie możesz zbudować co ci chodzi to jednak warto pamiętać o tym że zainspiruję swoich deweloperów tam osoby z którymi współpracujemy i na pewno na pewno nie będzie gorzej będzie tylko lepiej zresztą to nic nie kosztuje w tym momencie już ten sam pokazywałem tsk tsk jest pod tym adresem jakby ktoś mi pytania a później później po obejrzeniu tej prezentacji czy po czym po obejrzeniu filmu to serdecznie zapraszam na moją

skrzynkę no i w tym momencie dochodzimy do pytań osób które które są na sali czy są jakieś pytania o tam mamy witam dwa trzy cztery rząd mogą być trudne pytanie jasne słucham na początku chyba na drugim trzecim slajdzie było coś o tron takie to dla nas to było a tutaj tak to jest coś innego tak to są w ogóle tutaj jest takim wrzodem na tyłku w tym momencie windowsa bo też wczoraj dużo rzeczy się wydarzyło wczoraj do tego będę będę nawiązywał wczoraj mateusz który pokazał błąd generujemy losową który właśnie potrafię się stresować za pomocą grania zmutowane czcionki w odpowiedni sposób tutaj powyżej więc polecam zapoznać się z raperem produkt 0 albo zostanie twitterze przedstawiłem tutorialu bardzo

fajna sprawa w zasadzie światło słońca też dotyka za pomocą projektów i to i to i to jest poprostu zależne od wielu projektów opensource znalezienia błędu błędu w tym projekcie poza była naprawdę na zepsucie wielu innych które korzystają z jego zależności no oczywiście na windowsie to jest jeszcze bardziej skomplikowana ale to już wykracza poza zakres tej prezentacji mam jeszcze trochę czasu więc mógłbym opowiadać ale na inne pytania zostaw w kuluarach pogadamy o tym myślę to jeszcze jakieś pytania

witam na końcu na końcu twa niech to był pierwszy dobra od lewej do prawej to lecimy

mam pytanie o testowanie kodu czy robiły sobie jakieś porównania programów do analizy kodu jakieś wnioski może jedyne co robiłem to testowałem przepis czeka tak mi tak i problem jest taki że tam strasznie deweloperzy są responsywne ale generalnie mam sześć siedem osiem błędów jakość coś koło tego i ogólnie problem jest taki że to można też spojrzeć bardzo bardzo fajnie widać w pakiecie l wiem co robi a kwas kwas ten ma ponad 500 2 400 500 błędów wiem jestem te projekty są opisane bardziej z myślą o generowanie efektywnego podanie o bezpieczeństwie a do testowania kodu to w zasadzie w zasadzie w tym momencie mam tylko obrazki i czeka więc nie jestem w stanie powiedzieć mam 56 błędów itd nie przyglądamy się kimś

kto że analiza robi czy tego typu ale muszę chyba nie jest rozwijany w kanale i tak mi się wydaje przynajmniej od 2016 roku tam jeszcze było tam jeszcze było najpierw pytanie tam to potem wrócimy witam mam pytanie odnośnie maszyn jeszcze to wykorzystuje jedną maszynkę czy masz jakąś farmę jasne to w sumie tak jest konfliktem w tam o tym mówił ale niestety ale dobra to mam w tym momencie z 18 maszyn część osła wifi jest jednokomorowe 1.1 gigabajt ram chociaż ona jest przestało wystarczać ale generalnie są spoko takich rzeczy tutaj akurat kryptoreklama rundę mimo że one kiedyś było lepsze stosunek ceny do jakości i cztery złote netto teraz kosztują 12 chyba złotych netto ale daję radę a poza tym jeszcze mam 6 czy 8 się

pamiętam funkcji serwerów bardzo intel atom jakiegoś serwerowego już nie pamiętam jaki dokładnie 8gb ramu 4 kolory znaczy w zasadzie jeżeli robi się masz falling to nie potrzeba wcale dużej mocy oczywiście to jest bardzo fajne że jesteśmy w stanie zrobić 2014 na sekunda natomiast mają odpowiednie korpusy z francji gdzie znaleźć kompromis pomiędzy sprzętem a jakością korpusu testowego które gdzieś tam uderzy w poszczególne najczęściej zapomniane fragmenty kodu bądź też właśnie zależności kodu w ten sposób te projekty pewnie rozmawiałeś z bólu z innymi osobami które pokazują jak to wygląda z google czy przykładów z udziałem w netflixie akurat dokładnie jedyne co to w tej prezentacji natomiast wiórów nimi rozmawiać z nimi całkiem niedawno że oni po prostu mają tyle tam

serwerów zostać dla nich uruchomienie 100 500 1000 instalacji to nie robi żadnej żadnej różnice mają bardzo dobre korpusy testowe no nie oszukujmy się robią dużo interaktywnych sekundę tworzy się dobrze korpusy to jest to po prostu oznacza że to widzieliście rzek dokładnie dokładnie tak jakby nie mógłbyś zdradzić informacje infrastrukturze jako wykorzystują natomiast natomiast w zasadzie bardzo podobnie tutaj nie ma wielkiej filozofii masz więcej serwerów tym jest lepiej po prostu masz na przykład z tym jest lepiej jeżeli masz dwa to jest w ogóle super super dzięki

cześć moje pytanie wynika z tego z perspektywy którą nam pokazać pokazać kilkunastoletnia perspektywę branży pokazałeś również że istnieje wiele narzędzi które można które powinny być wykorzystywane pomimo tego błędów jest coraz więcej wykrywanych nie wiemy czy o po prostu więcej widzimy tych błędów można zawsze było ich tak dużo kodu jest ogólnie więcej pytanie czy jako społeczność jako sektor jako społeczność deweloperów skandal oparów czy zmierzamy w stronę jakiejś formy odpowiedzialności i dlatego dodam jeszcze trzeba do tego czy branża twoja branża mówi o tym że jest to temat który pojawia się temat się pojawia ile lat to całkowita migracyjny język im tak wiele mechanizm ochrony pamięci i strzelam że 50 lat nie ma mowy że wcześniej za dużo projektów

dużo złego kodu dużo coś dobrego oczywiście natomiast nie oszukujmy się wszystkim biznes taki dopóki się spina biznesowa bezpieczeństwo jest na którymś miejscu oczywiście są branży który bezpieczeństwo na wysokim miejscu natomiast branżę która muszą mieć zysk taka klientów nie chodzi o bezpieczeństwo to nie będą się do tego przykładać to jest oczywiste nie podejmowane są takie dyskusja więc perspektywa raczej jest jeszcze długa jako społeczność co możemy zrobić możemy przełączyć się do na przykład właśnie on faza albo samemu po prostu pobrać raport do każdy zbudować obrazu i samemu znaleźć błędy i zgłosić nie trzeba wiele tak jak mówię jeżeli tam są już w ogóle przygotowane korpusy więc nie musimy nic robić jedynie uruchomieniu polecenia polecenie na terminalu a potem

troszeczkę poprzez nasz procesor i tyle więc im więcej osób to jest to jak od nawet okresowe to na pewno będzie dużo lepiej teraz dlatego że po prostu się zależnościach i tyle więc testowanie zależności to jest tak powiem główne w tym momencie problem już nie zdajemy sobie sprawy z tego że kiedy one były napisane i jak dawno temu aktualizowane witam jeszcze gdzieś koło pytanie tutaj blisko gdzieś tutaj tak przodu z tego co kojarzę

cześć słuchaj mam gdzieś było że poziom wejścia do fazowania jest niski poziom wiedzy a dokładnie tak właśnie tak chciałbym się dowiedzieć czy kot który jest generowany czy aplikacje które są generowane tak czy aplikacje które mam do których na przykład nie mam kodu tak jak to zepsuć jak to sprawdzić czy to jest bezpieczne jak to się do tego zabrać co muszę wiedzieć od czego muszę zacząć od tego powinienem zacząć czy jest taki dzień dobry zaczyna mnie dobrze dzień dobry zaczynam więc tak co ta apka je jaki format pliku wyjściowych czyli pliki czy nie plików i jakieś jakieś pliki wciąga tak dobrze maskotek nie ma schodów i tekstowej powiedzmy że nie mam kodu to dobra obstawiam że to jest coś takiego dosyć

leci w ego które na przykład ciągle są jakieś pliki tekstowe które tam są jakieś przecieki średnik i plusy i minusy takie dziwne rzeczy a technologia jest dosyć stara mogą powstawać lata 90 ojej ojej w latach 90-tych się urodziłem się przede wszystkim tak izraela z temu myślę że projekt temu do emulacji zegarek jest znany albo przynajmniej tak pobieżnie i masz to łapkę już w systemie operacyjnym zakładam nie musi się i bardzo dostać binarny nie ważne wiesz co je więc pobierasz kilka plików albo generuje się losowo kilka plików tekstowych ze w internetu pobiera skądkolwiek czy ręcznie generujesz zapisał się w tym folderze uruchamiamy fala podajesz przełącznik pokarmu woda jest to gdzie wygenerowały swoje pliki folder dodaliśmy ścieżkę do utwór to ścieżka do

pilarki i tyle nic więcej nie trzeba w pamięci wiem co napisać to na tablicy ok dziękuję ci bardzo nie trzeba było naprawdę i wydajność jest całkiem teraz akurat jest nowa kampus sao paulo sprawia że pamiętam jak wygląda ale tak myślę że byłby w stanie spokojnie to iteracji na sekundę nawet wyciągnąć mówiąc jeżeli masz cały czas na procesy żebyś miał kod i odpowiednio go skompilować to być wyciągnięty więcej akurat parę tekstowe nie są jakieś tam zaczął ze mną okej jakieś pytania mam to mam to mam tego co znam skądś

my wszyscy znają więc ty też masz niektórych znać słuchać mnie słychać to powtórzę jeszcze raz całowałeś dni stanowisko temu inne podobne przypisywanie binarnych instrumentacji wirtualizację jakie są twoje rekomendacje tak jestem progres u mnie akurat teraz wywołać właśnie temat którym się obecnie zajmuje generalnie chyba dynamo rio jest w tym momencie przynajmniej wina flety na mario jest stworzenie tego tam z hardkorowym pokryciem kodu za pomocą intel i to chyba w tym momencie jest najlepsza rozwiązaniem dostępna tak boksował ale to jest platforma windows ale tam siłą rzeczy więcej masz tak powiem binarnych które które chcesz przetestować lista jest nie testowałem będzie ciężko cokolwiek powiedzieć jedynie i będzie tak jak najbardziej kupiłem w tym momencie no właśnie darmo i o i na mechanizm który oferuje

okej ja próbowałem dni stara zostawić praktycznie nie działało i czy na inne platformy też spróbować niż jeśli ktoś nie tylko osiąść dzięki witajcie jakieś pytania mogą być trudne cześć

to było nie było bo nie widziało a tutaj jest cześć mówiłeś o takim określeniem dobry korpus rozumiem że chodzi o pokrycie koloru rozmiar plików czy coś jeszcze dokładnie tak dokładnie tak no pokrycie kosztów tak żeby jak najwięcej generowało możliwe żeby celował w jak najbardziej aktualizowane fragmenty kodu danej aplikacji jeżeli oczywiście masz dostęp do republiki albo jesteś w stanie w jaki sposób ustawić to w zasadzie tyle no i oczywiście dać temu konkursowi ewoluować i uruchomić go na jakiś czas 2-3 dni tydzień po to żeby znaleźć się w końcu a potem zredukować pliki do rozmiaru pliku do minimum a dalej i mniejsza z tym szybciej wiadomo a jeżeli możesz sobie pozwolić na przykład na liczbę graczy robić fuzzy ma mowy no to jest w ogóle

super i wtedy ewentualnie może się zmienić korpusem plików więc to też to też czasami działa jak rano przed korpusy z właśnie trwa z produkcji e-craftera co powoduje że tam są ciekawe korpusy teraz plików jest mało ale naprawdę uderzają w różne dziwne i zapomniany aspekt na przykład w różnych formatów plików i parteru więc tak jest to wszystko w internecie polecam poszukać bo można czasem na githubie nawet znaleźć jakieś prostu desce do konkretnych projektów

wydaje mi się że będzie więcej pytań i prezentacji to jest spoko czy miałeś jakieś doświadczenia związane z prowadzeniem firm albo charakteru kiedyś powstał jakiś projekt już nie pamiętam który właśnie robisz coś takiego który rozpakowywanie pilarki pobierał to chyba chodziło o routery że pobieramy ze strony producenta rozpakować wyciągnął z tego typu rzeczy i to jest właśnie taka mu darmowa ale nie bawiłem się tym wydaje mi się że jeżeli po prostu stanie zidentyfikować komponenty które wykorzystuje dane firmy r łatwiej to jest i szybciej zrobić na x86 po prostu w bibliotece gdzieś tam skopać niż bawić się w jakieś dodatkowe instrumentacji kolejną warstwę emulacji przez co jest niewydajne jest wolny albo nie działa jeżeli masz gwarancję bibliotek da się to wyciągnąć akurat

badając stringi ze skomplikowanymi na rynek to lepiej to skompilować po prostu komputerze x86 i w ten sposób to uderzyć w taki like

dobra to mówiłeś o trudnych pytaniach świadkiem to jest takim razie nam ty miałeś największe wyzwanie co dla ciebie to był największy problem z czymś jeszcze ewentualnie uprawiałeś jakiś wyzwania niebo może nie tak trudne pytanie co było najtrudniejsze jestem szczerze mówiąc to coś nie przypominam sobie to najtrudniejsza w pewnym momencie dochodzi się do takiej ściany i jest fajnie jeżeli te nasze korpusy są małe ale w pewnym momencie dochodzi do takiej ściany że ma się strasznie wielkie korpusy milion 2 miliony plików i efektywnie jest minimalizować i pod kątem tego rozmiaru korpusów czyli ilości plików ale pod kątem samego rozmiaru plików w tym momencie to jest się się w tym bawiłam no i zarządzaniem dół właśnie dużą ilością plików tak żeby

nie wyrzucać z duplikatów doszedł do korpusu 5 milionów plików tak duplikacja takiego korpusu korpusów co więcej takich takich rzeczy są ostatnio nawet wcześniej w zasadzie wiadomo chyba sprzęt prostu mała liczba sprzętu i mało ram no to to jest to to jest takie klasyczne się dobija do takiego momentu że po prostu cię puścić 20 projektów liam najlepiej na 20 60 i na jakieś chore ilości ramu których w ogóle zwyczajnej urządzenie wykorzystuje tak to jest chyba największy problem w tym momencie na ciężko jest optymalizacja po prostu kuchnię cały czas i trzeba się solidnie dobrze pływać w jakimś tam są jakieś triki żeby było szybciej żeby uzyskać kolejna iteracja na przykład jakiś tam deski tego typu rzeczy ale to są nieco inne myślę że

zarządzanie olbrzymimi korpusem plików w tym momencie to jest dla mnie wyzwaniem i tak jak pyta mnie kolega specjalny że faktycznie instrument racja dla głosowych binarnych to też jest takie trochę działanie odpowiedział na pytanie czy nie super dzięki tej książce mogą być też tego typu nie tylko techniczne

dobrze nie ma to w takim razie w kuluarach jest jeszcze sobie pogadamy jestem dzisiaj do popołudnia późnego więc myślę że łatwo będzie mnie złapać dzięki bardzo teraz wiemy jak się przestawił to zazdrościć kubeczka współpracownicy w nas to nie ma kolegów i w ogóle w pracy nie ma kolegów to przypominam że masz jakieś fajne koleżanki w pracy nie to współpracownik i ale fajne jestem żonaty