🛡️ Обзор инструментов для безопасной разработки

Если хотите сразу писать код без уязвимостей, чтобы тестировщики в него влюбились — сохраняйте подборку инструментов для безопасной разработки. Они интегрируются в IDE и CI/CD-процессы, чтобы следить за безопасностью кода.

Вот несколько из них:

🔹 SonarLint — выявляет ошибки и уязвимости прямо в коде, помогает соблюдать стиль и правила безопасности.

🔹 Semgrep — гибкий анализатор, ищет баги и уязвимости, поддерживает автоисправление.

🔹 PT AI — проводит локальные проверки кода на секреты и уязвимости до коммита.

🔹 Gitleaks & Git-secrets — предотвращают утечку секретных данных (API-ключей, паролей) в репозиторий.

🔹 Trivy Secret Scanning — анализирует зависимости и файлы на предмет утечек.

🔹 PT BlackBox Scanner — тестирует веб-приложения на уязвимости без привязки к процессу разработки.

➡️ Ищите проблемы безопасности ещё на ранних стадиях разработки — подробнее об инструментах по ссылке.

🐸 Библиотека программиста #свежак

⚠️ Обнаружен вредоносный код в GitHub Actions

Исследователи из StepSecurity обнаружили компрометацию в GitHub Actions проекта обработчика changed‑files. Это решение позволяет автоматически запускать сценарии при различных событиях, таких как push-запросы и pull-запросы.

Он используется в более чем 23 тыс. репозиториев, применяющих GitHub Actions в инфраструктуре непрерывной интеграции, для отслеживания изменения файлов и каталогов. При выполнении обработчика вредоносная вставка собирала присутствующие в сборочном окружении ключи доступа и прочие конфиденциальные данные.

Разработчикам, пользовавшимся changed-files, требуется незамедлительно провести аудит своей инфраструктуры и проверить публичные логи систем интеграции на базе GitHub Actions на предмет утечки конфиденциальных данных.

➡️ Источник

🏃‍♀️ Библиотека программиста #свежак

💬 Как оставлять комментарии в чате нашего канала

В нашем чате работает бот Shieldy — он защищает от спама, запрашивая у новых участников решение простой капчи.

⚠️ Проблема, с которой сталкиваются многие: вы нажимаете под постом «Прокомментировать», пишете что-то, а потом получаете бан и не можете писать комментарии.

❓Почему так: Shieldy отправляет капчу в сам чат, а не в комментарии под конкретный пост. Из-за этого капчу можно не увидеть, не отправить ответ на нее, и бот автоматически заблокирует вас.

✅ Как присоединиться к чату, чтобы бот вас не забанил

— Зайдите в описание канала с телефона и нажмите кнопку Discuss / Чат
— Нажмите Join / Присоединиться
— Сразу обратите внимание на сообщение от бота Shieldy
— Решите простой пример и отправьте ответ в чат

После этого бот отправит приветственное сообщение и вы сможете оставлять комментарии. Эту проверку нужно пройти только один раз при вступлении в чат.

❗️ Если вас все-таки забанили

— Это временная блокировка на несколько минут
— Подождите и попробуйте зайти позже, бот снова отправит вам капчу

Админы канала никак не могут ускорить процесс, бот автоматически снимает с вас блокировку через пару минут. Мы понимаем, что эта система неидеальна, и ищем более удобное решение.

👾 Спасибо, что активно участвуете в обсуждении наших постов!

☕ Java 24: что нового?

Вышла общедоступная версия Java 24. В релиз попало около 2700 закрытых задач и 24 JEP'а. Java 24 не является LTS-релизом, и у неё будут выходить обновления только полгода (до сентября 2025 года).

🔍 Что нового:

– Примитивные типы в паттернах, instanceof и switch (JEP 488): теперь можно использовать примитивные типы в паттернах и проверять их диапазоны без лишних преобразований.

– Импорт модулей (JEP 494): теперь можно импортировать модули как import module java.base, а java.se автоматически включает java.base.

– Простые исходные файлы и instance-методы main() (JEP 495): теперь можно писать Java-код без классов и public static void main, сокращая шаблонный код.

– Гибкие конструкторы (JEP 492): разрешено писать код перед вызовом super(), упрощая инициализацию.

➡️ Release Notes можно посмотреть здесь.
➡️ Полный список изменений API здесь.

🏃‍♀️ Библиотека программиста #свежак

🎣 Массовая фишинговая атака на GitHub

Хакеры используют поддельные уведомления о безопасности и вредоносное OAuth-приложение (gitsecurityapp), чтобы украсть доступ к аккаунтам разработчиков. Уже пострадали 12 тысяч репозиториев.

Вредоносное приложение требует множество прав, включая управление репозиториями и изменение GitHub Actions, что позволяет встраивать вредоносный код прямо в рабочие процессы жертв.

🔒 Как обезопасить себя:

– Немедленно аннулируйте доступ приложения в настройках GitHub.
– Проверьте репозитории на наличие подозрительных действий.
– Удалите неизвестные GitHub Actions и приватные gist-файлы.
– Смените пароль и обновите токены авторизации.
– Включите двухфакторную аутентификацию.

➡️ Источник

🏃‍♀️ Библиотека программиста #свежак

🧩 Айтишный кроссворд

Держите кроссворд — зашифровали 4 понятий, часто используемых в программировании.

1. Система управления базами данных, известная своей масштабируемостью и высокой производительностью.

2. Четкая последовательность действий, выполнение которой дает какой-то заранее известный результат.

3. Машина, на которой находится все программное обеспечение и все данные, необходимые для работы веб-сайта приложения.

4. Самостоятельная часть программы или системы, которая выполняет определённую функцию и может быть использована повторно в других программах или системах.

Попробуйте угадать!
Пишите ответы в комментариях 👇

🏃‍♀️Библиотека программиста #междусобойчик

👨‍💻Американская компания CO/AI ищет в штат вайб-кодера

Вайб-кодеру в CO/AI предстоит заниматься фронтенд-разработкой с помощью Cursor, Claude, ChatGPT и Grok. Надо будет генерировать код, отлаживать его и оптимизировать.

✅ Из требований от кандидата:

– 5-15 месяцев опыта вайб-кодинка в веб-разработке.

– Умение составлять детальные промпты, которые заставляют нейросети генерировать высококачественный код.

– Опыт работы с современным стеком веб-технологий (JavaScript, Vue, Python, Django).

– Стремление делегировать как можно больше работы чат-ботам.

– Релевантные проекты в портфолио или GitHub-профиле.

– Знание UI/UX и методов проектирования адаптивных интерфейсов.

– Опыт работы с фреймворками для тестирования, CI/CD-платформами и CSS-препроцессорами.

➡️ Обещают конкурентную заработную плату. Откликнуться можно на сайте CO/AI.

🏃‍♀️Библиотека программиста #свежак

🧩💊 Алгоритмическая самоуспокоенность: как мы разучились думать своей головой

Каждый день мы сталкиваемся с бесконечным потоком информации, которая не просто наполняет наш день, а управляет нашими мыслями. Социальные сети, алгоритмы и вечная гонка за вниманием приводят к тому, что мы забываем, как думать собственной головой.

Это не просто влияет на настроение, но и на способность анализировать информацию, принимать решения и, главное, не становиться частью системы манипуляций.

Если вы хотите вернуться к осознанному подходу в восприятии мира и научиться фильтровать контент, то эта тема точно для вас.

🔗 Подробнее в статье

🐸 Библиотека джависта

Зря приходил ☹️

🐸 Библиотека программиста #развлекалово

📉 В США число падает число вакансий в сфере программирования

За последние два года количество вакансий программистов в США сократилось более чем на четверть (27,5%). Это самый значительный спад за всю историю отрасли.

Программирование оказалось в десятке профессий, наиболее пострадавших от автоматизации, по данным Бюро трудовой статистики США.

Разработчики больше сосредоточатся на концептуальной работе и решении проблем, а не на механическом написании каждой строки кода,

– отметил CEO OpenAI Сэм Альтман, комментируя влияние ИИ на IT-индустрию.

Часть снижения количества вакансий может быть связана с коррекцией рынка после резкого роста найма в 2021-2022 годах, когда технические вакансии в США переживали настоящий бум.

Сейчас рынок вернулся к уровню до пандемии, а рост безработицы в IT-секторе США составил 5,7% против 4% в среднем по стране.

➡️ Источник

Библиотека программиста #свежак

🌐 Данные владельцев роутеров Keenteic попали в сеть

Хакеры могли получить доступ к электронным почтам, паролям и всем сетевым настройкам пользователей. Среди затронутых адресов оказались не менее 943 тыс. русскоязычных пользователей.

🚰 В слитых данных:

– Более 1 миллиона записей с данными пользователей: адреса электронной почты, имена, идентификаторы в системе управления идентичностью Keycloak и другие.​

– Около 930 тысяч записей с детальной информацией об устройствах: SSID и пароли Wi-Fi в открытом виде, модели устройств, серийные номера, MAC-адреса и доменные имена для внешнего доступа.​

– Более 550 тысяч записей конфигурации устройств: данные доступа пользователей, пароли, хешированные с использованием уязвимого алгоритма MD5, назначенные IP-адреса и расширенные настройки роутеров.​

– Обширные сервисные журналы, содержащие более 53 миллионов записей: имена хостов, MAC-адреса, IP-адреса и детали доступа.​

Всем пользователям советуют сменить пароль и название домашней сети Wi-Fi, чтобы избежать потенциального взлома.

➡️ Источник

🐸 Библиотека программиста #свежак

🚀 Deckhouse Conf 2025

Конференция для инженеров, разработчиков и руководителей, организованная командой Deckhouse, которая уже семь лет развивает продукты для cloud-native-разработки.

Для участников подготовили доклады о DevOps, Kubernetes, безопасности и мониторинге.

Deckhouse представит стенд со своими проектами и поделится опытом платформенной разработки.

Дата: 27 марта
Формат: Москва offline
Цена: бесплатно

➡️ Забронировать место можно по ссылке

Библиотека программиста #свежак

👨🏻‍💻 Исследование IT-аудитории Proglib 2025: зарплаты, технологии, профессии

Кто такой современный разработчик в 2025 году? Актуальное исследование портрета IT-специалистов: зарплаты, технологии, специализации и демография разработчиков.

➡️ Вся статистика и детали — здесь

Библиотека программиста #свежак