SDCast #101: в гостях Евгений Рыжков и Андрей Карпов

Встречайте 101-й выпуск SDCast’а, в котором мы говорим про статический анализ. У меня в гостях основатели PVS-Studio Евгений Рыжков и Андрей Карпов. В этом выпуске мы подискутировали о методологии статического анализа, обсудили различные подходы к внедрению статического анализа в процесс разработки ПО, осветили какие классы ошибок ловит статический анализатор.

Так же ребята рассказали различные истории внедрения своего статического анализатора в различных компаниях и командах, мы обсудили целесообразность внедрения статического анализа в больших и малых командах, в каких случаях это даёт существенный плюс, в каких командах это просто необходимо.

Не обошли мы стороной и технические аспекты статических анализаторов. Ребята рассказали про историю эволюции PVS-Studio и как в нём появлялась поддержка новых языков. Мы обсудили, насколько сильно различные языки и парадигмы влияют на ядро анализатора, какие есть подходы при реализации поддержки новых языков и какие плюсы и минусы у каждого подхода.

Так же ребята рассказали, как устроен процесс разработки PVS-Studio у них в компании, как происходит планирование новых фич и выпуск версий и как построена работа с обратной связью от пользователей анализатора.

Ссылки на ресурсы по темам выпуска:

* Статья Андрея «Технологии, используемые в анализаторе кода PVS-Studio для поиска ошибок и потенциальных уязвимостей» (https://habr.com/ru/company/pvs-studio/blog/430604/)
* Статья «Разработка нового статического анализатора: PVS-Studio Java» (https://habr.com/ru/company/pvs-studio/blog/414669/)
* Блог компании PVS-Studio на хабре (https://habr.com/ru/company/pvs-studio/blog/) с статьями по разбору кода различных Open Source проектов и не только!

SDCast #96: в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security

Встречайте 96-й выпуск SDCast’а, в котором речь идёт про безопасность разрабатываемых нами приложений. У меня в гостях Юрий Шабалин, ведущий архитектор в компании Swordfish Security. В этом выпуске мы говорим про практики SecDevOps, Application Security и прочие аспекты информационной безопасности программных продуктов.

Вместе с Юрой мы попробовали обсудить весь жизненный цикл разработки ПО и как и на каких стадиях можно и нужно внедрять механизмы обеспечения безопасности: что можно сделать на этапе постановки задачи и сбора требований и заканчивая активным и проактивным мониторингом боевых приложений.

Юра рассказал про различные классы инструментов, помогающие решать задачи по ИБ, такие как:

  • SAST (инструменты статического анализа)
  • SCA/OSA (инструменты контроля рисков компонент с открытым исходным кодом)
  • DAST/IAST (инструменты динамического/интерактивного анализа)
  • Инструменты непрерывной интеграции / непрерывного развертывания (CI/CD)
  • Инструменты дефект-менеджмента

Обсудили, как можно безболезненно встраивать эти инструменты в уже существующие процессы CI/CD и как лучше подойти к этим вопросам при запуске нового проекта.

Читать далее

SDCast #71: в гостях Константин Кривленя, ведущий разработчик в TargetProcess

Рад представить вам 71-й выпуск SDCast’а! У меня в гостях Константин Кривленя, ведущий разработчик в компании TargetProcess. В этом выпуске мы говорим о фронтенд-разработке, технологиях и инструментах, о Open Source проектах, методологиях процессов разработки и прочих айтишных штучках :)

TargetProcess — это платформа управления проектами на основе гибких методологий с акцентом на визуализацию данных. В TargetProcess много различных диаграмм, графиков, таймлайнов и прочих визуальных инструментов. Костя рассказал подробнее про продукт и саму компанию, как она появилась и развивалась.

Последнее время Костя занимается проектом Vizydrop — это инструмент для визуализации данных, получаемых из различных источников, как то: файлы различных форматов, таск-треккеры, dropbox, github, jira, trello и другие. Костя рассказал про основную идею и цель проекта, как он устроен под капотом, из каких модулей состоит и как вообще происходит процесс визуализации данных от подключения источника до рендеринга графиков в браузере. Так же Костя рассказал несколько интересных задач и проблем, с которыми пришлось столкнуться в процессе работы над проектом.

Компания TargetProcess сам очень активно проповедует и использует гибкие методологии внутри компании. Поговорили с Костей о том, какие подходы применялись в компании в разное время, какие подходы и практики прижились, а какие нет. Обсудили мы и различные плюсы и минусы методологий в контексте компании TargetProcess. Костя рассказал про такую штуку как «Оранжевые пятницы» — это возможность заниматься своими интересными проектами, примерно как в Google раньше были те самые 20% времени :) Рассказал про то, какие интересные проекты родились благодаря «оранжевым пятницам».

Поговорили мы и про Open Source. Компания выложила в Open Source и поддерживает несколько библиотек. Обсудили с Костей как живут и разиваются эти проекты, какое есть сообщество вокруг и как происходит взаимодействие с этим самым сообществом.

Читать далее

SDCast #35: в гостях Дмитрий Запорожец, один из авторов и CTO GitLab

sd-podcast-logo Товарищи! Рад представить вам под Новый год 35-й выпуск SDCast’а! У меня в гостях Дмитрий Запорожец, один из авторов проекта GitLab, а так же CTO одноименной компании.

В этом выпуске мы, конечно же, говорим про GitLab. В начале Дмитрий рассказал историю зарождения проекта, когда и как все начиналось, и как проект, написанный за несколько вечеров добился такой популярности, превратившись в целую компанию.

Обсудили мы и архитектуру проекта и используемые технологии. Так же Дмитрий рассказал, как в целом построен процесс разработки в проекте, из каких специалистов состоит команда проекта, какие есть роли и зоны ответственности в проекте, какой жизненный цикл у проекта и как формируются релизы.

Пообщались мы и про Open Source: Дмитрий рассказал про сообщество, которое сформировалось вокруг проекта, и о том, насколько много оно помогает проекту в целом, какие берет на себя вопросы.

Еще Дмитрий рассказал про редакции GitLab, чем они отличаются, и как решается, какие возможности куда попадут. Не обошли мы стороной и вопросы интеграции GitLab и смежных внутренних проектов, вроде GitLab CI, и недавнее нововведение — интегарцию с Mattermost.

В завершении подкаста, Дмитрий рассказал про планы по дальнейшему развитию проекта и что нас ждем в скором будущем.

Читать далее