Тимур Шемседінов, CTO at Metatech, Chief Architect at Metarhia & Metactos, Lecturer at KPI створив Telegram-спільноту для аналізу відкритого коду застосунку «Дія» і запрошує зацікавлених розробників долучатися і разом шукати вразливості коду.
Тимур Шемседінов, CTO at Metatech, Chief Architect at Metarhia & Metactos, Lecturer at KPI створив Telegram-спільноту для аналізу відкритого коду застосунку «Дія» і запрошує зацікавлених розробників долучатися і разом шукати вразливості коду.
Він зібрав групу на 70 осіб (наразі вже понад 300), робимо рев’ю коду «Дії». «Є відчуття, що я читаю код лабораторки двієчника першого курсу кулінарного технікуму…», — написав Тимур.
«Я подумав, що нас надто багато й організація роботи може зайняти багато часу, тому пропоную робити по-простому — кидайте сюди все, що знайдете будь-якою мовою, з будь-якого сховища в такому форматі, потім усе зберемо до купи й опублікуємо із зазначенням усіх, хто брав участь, якщо ви, звісно, хочете, щоб вас було згадано», — зазначив він.
Ось кілька прикладів:
Наразі у Telegram-групі Diia in action вже понад 300 розробників, кожен з яких може написати про знайдену вразливість або невідповідність у коді.
Нагадаємо, раніше dev.ua попросив розробників прокоментувати відкритий код «Дії». Ось, що кажуть IT-фахівці.
Ще більш непрофесійно:
Публікувати ці приклади у відкритому доступі без того щоб хоча б заблюрити повну адресу. Це потенційний секьюріті бріч Ті хто дозволяє настільки зверхні слова до своїх колег, навіть якщо код не найкращої якості, точно не має права називати себе наприклад лідом, а тому і братися за такий проект йому не варто.
Цей код вже у відритому доступі, на GitHub, і коментарі вже опубліковані. Чи ви вважаєте, що якби не публікація на DevUA то їх ніхто не знайшов би? Чи ніхто не знайшов би проблеми, якби той хто знайшов їх би не прокоментував?