Будет очень много текста и очень много сумбура (не по порядку). Я понимаю, что начала поста мало относится к ИБ, но это пролог к ИБ.
CgPods
Уверен, что нет никакой разницы между сиджиподсами и элари: пруфов не будет, но я пользовался некоторой продукцией элари - мне не понравилось.
//Миш, не надо мне, пожалуйста, сегодня звонить - сильно занят, можем запланировать колл на среду, пришли в комментариях слоты.
И то, что кому-то из комментаторов пришлют оригинальные новые наушники, чтобы он сравнил с алишными - полнейшая профанация: все же понимают, что компоненты китайские, то есть всегда можно будет найти наушники с такой же номенклатурой. Обидно только за то, что используются дешевые компоненты.
Из накладных наушников я использую ausdom anc10, которые купил за пару тысяч на али много лет назад (с удивлением обнаружил, что на озоне официальный магазин их продают чуть не 10 тыщ). Если бы отечественный производитель договорился с тем же аусдомом покупать их наушники тысячи за две, брендировал под себя, разработал ПО (понятно, что китайцы тебе все сдк передадут) и продавал за 5 тысяч рублей в России - не было бы никаких претензий, были бы хорошие наушники не из самых качественных материалов, но при этом со вменяемым звуком. Почему я вообще могу что-то обсуждать или советовать? В своё время в качестве хобби возил художественные маркеры с али (очень хорошо продавались на авито перед НГ) и оборудование для пивоварения (очень хорошо продавалось во время бума микропивоварен) у меня есть правило: не продавать ничего дороже РРЦ, если РРЦ не существует - наценка максимум 100%, если требуется по плану наценка выше - значит где-то проёб в плане. Это при условия, что ваша умственная прибавка - не уникальна, и не очень рискована. К рискованному - это, например, продажа наркотиков, а уникальному - продажа свечей в церкви, ведь
Эту картинку я вставил в том числе с отсылкой к "Указу Президента Российской Федерации от 01.05.2022 № 250 "О дополнительных мерах по обеспечению информационной безопасности Российской Федерации", по которому к 2025 году использовать СЗИ, купленные вне нашего храма - запрещается.
В общем - мне грустно от того, что люди просто берут китайское говно, вваливают бабок в рекламу и убеждают всех в том, что в сердце России разработали уникальные устройства, которые уже начали копировать китайцы. Это очевидная ложь, а как говорил Бисмарк австрийский художник: "Чем чудовищнее ложь, тем охотнее толпа верит в неё." (опять вляпался в закон Годвина, простите)
Трудоустройство комментаторов с Пикабу в ИБ-вендора.
Четыре человека устроились к нам в разработку и им очень нравится (так они говорят, я на днях уточнял)
Три человека трудятся в ТП (один из них пошёл учиться #поибэ за счёт компании на заочку)
В комментариях к прошлому посту кто-то писал, что невозможно будет найти на пикабу людей с умениями в фаззинг ядра фряхи: сразу после этого мне в личку написал тимлид одной команды, которая специализируется на анализе исходников, и они оказали нам абсолютно невероятную (очень даже возмездную) помощь. Именно в этом для меня сила Пикабу, без этих ребят мы бы потратили ещё около полугода на подготовку документации для сертификации, но они не просто нам дали решение, а именно очень правильно обучили пользоваться всеми необходимыми инструментами.
Далее будет "предложение по тестированию"
Мы делаем МСЭ, нам нужны тестировщики, но не в штат, а скорее сдельно после каждого крупного релиза (раз в два месяца примерно), соответственно я предлагаю энтузиастам тестирования написать мне в ТГ (chernomashentsev) и предложить свою помощь, в замен я сейчас готов делиться мерчом (у нас очень разнообразный и крутой мерч), в дальнейшем я выберу пяток ребят, с которыми подпишем контракт на долгосрочную работу.
Действительно есть вендоры, которые выкладывают бетки для общего скачивания, заказчики их устанавливают в погоне за новыми фичами, а потом страдают и жалуются, я так не хочу, в идеале хочу набрать комьюнити человек 20 тестировщиков, пять-десять из которых смогут по 10 часов посветить тестированию и написать отчёт. Пока я вижу это так, в дальнейшем весь хаос должен достичь порядка,
Про отечественное ИБ. Немного инсайдов (aхаха, нет)
Я знаю крупные госкомпании, которые используют опенсорсные решения для своей инфры. И, казалось бы, как вы можете так рисковать и брать на себя ответственность за инциденты? Возьмём для примера ClamAV - шлюзовый (потоковый) антивирус, опенсорсный проект, который сейчас принадлежит, развивается и используется во всех своих продуктах компанией Cisco. Понимаете, к чему я веду?
Мы для своего продукта взяли в качестве основы OPNsense: по скромным оценками нами написано около трети всего исходного кода ОС, даже сейчас мы готовим к передаче владельцам лицензии большой пул багфиксов, в том числе огромное устранение утечки памяти под FreeBSD. И здесь дилемма: наши российские конкуренты утверждают, что у них нет заимствованного кода (опять про ложь из начала поста: прокся у всех построена или на сквиде, или на 3прокси), но фактически это утверждение, что они сделают лучше и безопаснее, чем мировое сообщество. Вот и получается, что госструктура, которая обязана использовать только проверенные регулятором решения покупает по тендеру дорогущее неработающее решение, заказчик ставит его в стойку, часто даже не включает в сеть, а использует опенсорсное, потому что закупить нормальное несертифицированное он уже не может (уже была закупка аналогичного решения). Меня в этой ситуации радует только одно: миграция с голого ОПНсенсе на наше решение - бесшовная практически.
Надеюсь, вы углядели связь между "отечественными" наушниками и "отечественной" ИБ
засим откланиваюсь с предложением поболтать в комментах
Картинка для посмеяться:
