Akademia Bezpiecznego Kodu v1

Trzeci kwarta┼é dobieg┼é ko┼äca, a wraz z nim zako┼äczy┼éa si─Ö pierwsza edycja Akademii Bezpiecznego Kodu. W zasadzie ledwo si─Ö obr├│ci┼éem i jest koniec lata. ­čśů

Roboty by┼éo du┼╝o (trzynastotygodniowy maraton), ale jestem dumny z efektu ko┼äcowego. Jak to wygl─ůda┼éo? Z w┼éasnego wyboru ca┼éa produkcja by┼éa w moich r─Ökach. Od pracy nad materia┼éem, przez nagrywanie i monta┼╝, a┼╝ po publikacj─Ö na w┼éasnej platformie szkoleniowej. Wszystko zrobi┼éem sam jak ta przys┼éowiowa Zosia-samosia (pomog┼éo mi do┼Ťwiadczenie fotograficzne), ale dzi─Öki temu sporo si─Ö nauczy┼éem i przysz┼ée modu┼éy ÔÇöjak i retusz obecnychÔÇö wyjd─ů na tym tylko na plus.

U┼Ťredniaj─ůc produkcja pojedynczego modu┼éu zaj─Ö┼éa 16 godzin, czyli ┼é─ůcznie po┼Ťwi─Öci┼éem na ten projekt 208 godzin co przek┼éada si─Ö na 26 dni roboczych. Wi─Ökszo┼Ť─ç modu┼é├│w uda┼éo mi si─Ö dowie┼║─ç na czas (kolejne modu┼éy wychodzi┼éy w poniedzia┼éki), te kt├│rych si─Ö nie uda┼éo mia┼éy obsuw─Ö 1-2 dni.

W pierwszej edycji Akademii omówiłem:

  • Standardy i metodologie (CWE Top 25, WSTG, ASVS, SAMM, BSIMM)
  • Infrastruktur─Ö (nmap, nikto, OpenVAS, Nessus, WAF, tcpdump i Wireshark)
  • Ca┼éo┼Ť─ç OWASP Top 10 2017 oraz A8 (CSRF) i A10 (Open Redirect) z OWASP Top 10 2013
  • Automatyzacj─Ö (SAST, Sekrety, SCA, SBOM, DAST)
  • Raportowanie (CVSS, CVE, DREAD)

Oczywi┼Ťcie to tylko wycinek temat├│w. Pe┼éna agenda kursu jest dost─Öpna na stronie Akademii.

W finalnym rozliczeniu pierwsza edycja Akademii Bezpiecznego Kodu to 13 modu┼é├│w sk┼éadaj─ůcych si─Ö z 209 lekcji wideo, kt├│re ┼é─ůcznie trwaj─ů ponad 16 godzin. Ju┼╝ teraz jest to najbardziej kompleksowe szkolenie z tematu bezpiecze┼ästwa web aplikacji dost─Öpne na rynku… a to dopiero pocz─ůtek bo w kolejnych edycjach materia┼éu b─Ödzie jeszcze wi─Öcej.

Pi─ůteczka! Ôťő

P.S. Druga edycja Akademii nadejdzie p├│┼║n─ů jesieni─ů, ┼╝eby otrzyma─ç powiadomienie zapisz si─Ö na mailing tutaj albo poni┼╝ej!

Podsumowanie miesi─ůca: maj i czerwiec 2020

W┼éa┼Ťnie jestem w poci─ůgu do Katowic. Dwie godziny z hakiem do zu┼╝ycia wi─Öc postanowi┼éem w ko┼äcu nadrobi─ç zaleg┼éo┼Ťci i napisa─ç podsumowanie zbiorcze dla maja i czerwca. Co prawda LTE na tej trasie pozostawia wiele do ┼╝yczenia i pisanie jest toporne, ale albo teraz albo nigdy.

Retrospekcja maja i czerwca

Co udało mi się dowieźć:

  • Wypu┼Ťci┼éem pierwsz─ů edycj─Ö Akademii Bezpiecznego Kodu i pomimo tego, ┼╝e jest to tylko jedna pozycja to ┼╝eby j─ů zrealizowa─ç musia┼é si─Ö wydarzy─ç szereg innych akcji

Czego nie udało mi się dowieźć:

Pole do poprawy jest, potok dodatkowych projekt├│w r├│wnie┼╝. Jak to m├│wi m├│j dobry kolega fraktal rodzi fraktal.

Aplikacje w obiegu

W maju i czerwcu kontynuowałem namiętne używanie Endela, Qbserve, oraz Auto Sleep. Do rotacji dołożyłem również aplikację Freedom.

Warto wspomnieć, że w maju Endel miał update i dorobił się nowych trybów muzycznych.

Freedom

Tak wygl─ůda zablokowany Instagram

Freedom aplikuje nam proxy na poziomie systemu i w momencie kiedy ustawimy sobie blok czasowy to wycina nam dostęp do niechcianych stron na poziomie sieci. Działa zarówno na macOS jak i iOS.

Spos├│b nie jest idealny (na macOS mo┼╝na po prostu ubi─ç proces, a na iOS VPN wy┼é─ůcza si─Ö czasami sam z siebie), ale je┼╝eli sami ze sob─ů jeste┼Ťmy szczerzy to nie b─Ödziemy oszukiwa─ç.

Reasumuj─ůc

Zar├│wno maj jak i czerwiec uwa┼╝am za udane. Co prawda nie uda┼éo mi si─Ö zrealizowa─ç wszystkiego co chcia┼éem. Ba! Nie uda┼éo zrealizowa─ç si─Ö nawet po┼éowy, jednak na koniec dnia wiem, ┼╝e (1) zrealizowa┼éem to co by┼éo dla mnie najwa┼╝niejsze (odpalenie Akademii) oraz (2) coraz lepiej rozumiem temat produktywno┼Ťci.

W chwili obecnej mamy ju┼╝ drug─ů po┼éow─Ö lipca i jest lepiej ni┼╝ by┼éo, a wi─Öc progres (a o to w ┼╝yciu chodzi) jest kontynuowany. Usprawnianie procesu idzie czasami lepiej, czasami gorzej, ale ca┼éy czas idzie do przodu.

Slow but steady wins the race.

Podsumowanie miesi─ůca: kwiecie┼ä 2020

Pod koniec 2019 roku zacz─ů┼éem odnosi─ç wra┼╝enie, ┼╝e cz─Östo jestem zaj─Öty, a nie produktywny (pomimo tego, ┼╝e pracuj─Ö ca┼ékiem sporo to nie dowo┼╝─Ö tyle ile chc─Ö i mog─Ö). W zwi─ůzku z tym na pocz─ůtku tego roku postanowi┼éem przebudowa─ç od podstaw proces mojego dzia┼éania.

Stycze┼ä po┼Ťwi─Öci┼éem na obserwacj─Ö tego, w jaki spos├│b pracuj─Ö, z jakich narz─Ödzi korzystam, listowanie dost─Öpnych opcji, i og├│lne my┼Ťlenie o tym, co mo┼╝e si─Ö u mnie sprawdzi─ç. Po tym wszystkim postanowi┼éem, ┼╝e narz─Ödzi zmienia─ç nie b─Öd─Ö i zostan─Ö przy metodologii GTD, posi┼ékuj─ůc si─Ö aplikacj─ů Things jako g┼é├│wnym ┼║r├│d┼éem prawdy (miejsce, w kt├│rym l─ůduje wszystko, co przerabiam).

Jako uzupe┼énienie w niekt├│rych projektach korzystam z kanbana poprzez Trello, ale podj─ů┼éem decyzj─Ö o mocnym ograniczeniu tego narz─Ödzia.

Things ma t─Ö wad─Ö, ┼╝e dzia┼éa jedynie w ekosystemie Apple. Jednocze┼Ťnie jest to r├│wnie┼╝ jego zaleta, poniewa┼╝ jest ┼Ťwietnie zgrany zar├│wno z macOS, jak i iOS. Dla przyk┼éadu: integracja skr├│t├│w pozwala bardzo szybko dodawa─ç zadania z referencjami do r├│┼╝nego rodzaju zasob├│w w systemie (pliki, notatki, URL-e, et cetera), co BARDZO przy┼Ťpiesza dodawanie rzeczy „na p├│┼║niej”.

Luty by┼é pewnego rodzaju eksperymentem, gdzie wprowadzi┼éem pierwsz─ů wersj─Ö procesu planowania tygodni i miesi─Öcy na podstawie wysokopoziomowego spojrzenia stworzonego w postaci mapy my┼Ťli (do mapowania my┼Ťli korzystam z aplikacji XMind).

Proces wygl─ůda tak, ┼╝e w ka┼╝d─ů niedziel─Ö w Things pojawia si─Ö projekt „Retrospekcja: tygodni├│wka” z zadaniami takimi jak:

  • Przegl─ůd systemu (tj. wszystkiego co mam w Things),
  • Przegl─ůd news├│w (via RSS, korzystam z Inoreader),
  • Procesowanie artefakt├│w zbieranych z sieci przez ca┼éy tydzie┼ä w Instapaper,
  • Przegl─ůd treningu (obecnie zatrzymany poniewa┼╝ si┼éownie s─ů zamkni─Öte),
  • Przegl─ůd wysokopoziomowego spojrzenia (rzut okiem na wspomnian─ů powy┼╝ej map─Ö my┼Ťli),
  • Ocena poprzedniego tygodnia (leci do Evernote),
  • Plan tygodnia nast─Öpnego (zaplanowanie zada┼ä w Things).

Natomiast pod koniec ka┼╝dego miesi─ůca (np. wczoraj) przechodz─Ö przez projekt „Podsumowanie i planowanie kolejnego miesi─ůca” sk┼éadaj─ůcego si─Ö z:

  • Podsumowania poprzedniego miesi─ůca (szczeg├│┼éowo w Evernote, lu┼║no tutaj na blogu),
  • Przegl─ůd wysokopoziomowego spojrzenia (tak jak wy┼╝ej),
  • Planowanie kolejnego miesi─ůca (rozpiska planu w Evernote i dodanie/modyfikacja odpowiednich projekt├│w/zada┼ä w Things).

Marzec i kwiecień upłynęły na doskonaleniu powyższych procesów i dowożeniu zaplanowanych projektów oraz zadań, które z nich wynikały.

Na chwil─Ö obecn─ů jest lepiej ni┼╝ by┼éo, ale jeszcze nie osi─ůgn─ů┼éem stanu, w kt├│ry celuj─Ö. Bill Gates powiedzia┼é kiedy┼Ť, ┼╝e wi─Ökszo┼Ť─ç ludzi przecenia to, co jest w stanie zrobi─ç w rok, a nie docenia tego, co jest w stanie zrobi─ç w ci─ůgu dekady. W pe┼éni si─Ö z tym zgadzam. Wiem, ┼╝e przecenia┼éem ilo┼Ť─ç projekt├│w i zada┼ä, jakie jestem w stanie wykona─ç w danej jednostce czasu (dzie┼ä, tydzie┼ä, miesi─ůc). Nad tym problemem ca┼éy czas pracuj─Ö i zak┼éadam, ┼╝e do ko┼äca tego roku planowanie b─Ödzie trafne w wi─Ökszo┼Ťci przypadk├│w (75% skuteczno┼Ťci b─Öd─Ö uwa┼╝a┼é za sukces).

Retrospekcja kwietnia

Co udało się dowieźć:

Czego nie udało się dowieźć:

Nowe appki w obiegu

W kwietniu zacz─ů┼éem korzysta─ç z trzech nowych aplikacji: Endel, Qbserve, i Auto Sleep. Poni┼╝ej kr├│tkie opisy ka┼╝dej z nich.

Endel App

R├│┼╝ne tryby generowania melodii w aplikacji Endel

Pracuj─ůc lubi─Ö s┼éucha─ç muzyki. Do tej pory najcz─Östszym wyborem by┼éa muzyka klasyczna (Bach, Chopin, Liszt), muzyka elektroniczna (Tycho i Boards of Canada), oraz r├│┼╝ne soundtracki z gier i film├│w (World of Warcraft, Blade Runner, Mr. Robot, i tym podobne). Wszystko gra┼éo poprzez Spotify.

Na pocz─ůtku kwietnia postanowi┼éem wypr├│bowa─ç aplikacj─Ö Endel, kt├│ra generuje melodi─Ö na podstawie kilku zmiennych takich jak pogoda (lokalizacja via GPS) czy rytm serca (via Apple Watch).

Eksperyment uwa┼╝am za udany ÔÇô odk─ůd zacz─ů┼éem korzysta─ç z Endel to Spotify w┼é─ůczy┼éem dok┼éadnie 2 razy. Jedyny minus to szybkie z┼╝eranie baterii, ale jako┼Ť b─Öd─Ö musia┼é z tym ┼╝y─ç.

Qbserve

Qbserve sprytnie zlicza czas sp─Ödzony na komputerze

Jednym z najwi─Ökszych problem├│w pracy przy komputerze s─ů rozpraszacze dost─Öpne na wyci─ůgni─Öcie r─Öki. Jako pierwszy krok do rozwi─ůzania tego problemu postanowi┼éem zmierzy─ç czas, jaki sp─Ödzam w r├│┼╝nych aplikacjach i na stronach WWW.

Po miesi─ůcu zbierania statystyk wysz┼éo, ┼╝e na g┼éupoty po┼Ťwi─Öcam wi─Öcej czasu ni┼╝ na prac─Ö (tak─ů wisienk─ů na torcie by┼éo 15h sp─Ödzonych na wykopie). Tak czy siak, podstaw─ů jest ┼Ťwiadomo┼Ť─ç. Teraz wiem ile czasu przelatuje mi przez r─Öce i podejmuj─Ö kroki, aby to optymalizowa─ç (konkretny spos├│b om├│wi─Ö po fazie testowania za miesi─ůc lub dwa).

Auto Sleep

Jestem w trakcie czytania ksi─ů┼╝ki Why We Sleep i co prawda problem├│w ze spaniem nie mam (do higieny snu przywi─ůzuj─Ö wag─Ö od wielu lat), ale chcia┼éem przebada─ç jako┼Ť─ç swojego snu.

Po kilku nocach przespanych z Apple Watch wysz┼éo, ┼╝e nie jest tak r├│┼╝owo jak mi si─Ö wydawa┼éo g┼é├│wnie pod k─ůtem d┼éugo┼Ťci snu. B─Öd─Ö to poprawia┼é w tym i kolejnych miesi─ůcach.

Reasumuj─ůc

Pierwszy kwartał roku 2020 z bonusem w postaci kwietnia zleciał głównie na tworzeniu i optymalizacji procesu. Jest lepiej niż było, ale nie jestem jeszcze tam gdzie chcę być. Plan na maj jest już wstępnie ułożony. Teraz czeka mnie jeszcze przerzucanie projektów i zadań do Things oraz nadanie priorytetów.

Iterate upon success. ­čĹő

Podsumowanie roku 2018

Przesz┼éo dwa tygodnie temu zacz─ů┼é si─Ö rok 2019 i z okazji tego faktu postanowi┼éem stre┼Ťci─ç kilka temat├│w, kt├│re zadzia┼éy si─Ö na przestrzeni minionego roku. Bardziej dla siebie ni┼╝ innych ÔÇö na pewno b─Ödzie fajnie przeczyta─ç kilka takich podsumowa┼ä za kilka lat. LetÔÇÖs go!

Kariera

W zesz┼éym roku zacz─ů┼éem odchodzi─ç od implementacji na rzecz architektury i szeroko rozumianego procesu (eliminacja podatno┼Ťci na etapie wytwarzania oprogramowania poprzez implementacj─Ö Secure SDL czy DevSecOps). Dalej uwa┼╝am to za s┼éuszn─ů drog─Ö ÔÇö gaszenie po┼╝ar├│w jest nieoptymalne. Jako spo┼éeczno┼Ť─ç powinni┼Ťmy si─Ö skupi─ç na podnoszeniu poprzeczki poprzez (1) usprawnianie procesu wytwarzania oprogramowania (Secure SDL / DevSecOps), (2) automatyzacj─Ö wykrywania podatno┼Ťci (np. poprzez fuzzing), oraz (3) implementacji mechanizm├│w bezpiecze┼ästwa eliminuj─ůcych ca┼ée klasy podatno┼Ťci (np. r├│┼╝ne ods┼éony mechanizmu CFI). Pojedyncze podatno┼Ťci schodz─ů na drugi plan. (W tym artykule Bruce Schneier zada┼é pytanie ÔÇťAre vulnerabilities in software dense or sparse?ÔÇŁ obawiam si─Ö, ┼╝e na chwil─Ö obecn─ů odpowiedzi─ů jest dense).

Poza tym mia┼éem okazj─Ö wyst─Öpowa─ç publicznie a┼╝ 7 razy na krajowych konferencjach dotycz─ůcych technologii: Code Europe (Warszawa, Pozna┼ä), 4Developers (Gda┼äsk, Wroc┼éaw), What The [email protected] (Warszawa), oraz AlligatorCon (Krak├│w). Slajdy z wi─Ökszo┼Ťci wyst─ůpie┼ä mo┼╝na pobra─ç z GitHuba.

Plakietki konferencyjne z wi─Ökszo┼Ťci wydarze┼ä, w kt├│rych uczestniczy┼éem.

Last but not least pomi─Ödzy prac─ů, w┼éasnymi projektami, oraz wyst─ůpieniami publicznymi zdoby┼éem r├│wnie┼╝ trzy certyfikaty bran┼╝owe (OSCP, OSWP, i eCRE). Osobi┼Ťcie nie wierz─Ö w udowadnianie kompetencji poprzez certyfikaty (znam za du┼╝o os├│b bez ┼╝adnych certyfikat├│w, kt├│re ÔÇŁznaj─ů si─Ö na robocieÔÇŁ), ale moje widzimisi─Ö nie pokrywa si─Ö ze spojrzeniem polskiego rynku wi─Öc robi─Ö to co trzeba zrobi─ç ­čĄĚÔÇŹÔÖé´ŞĆ. Niestety jako osoba z latami do┼Ťwiadczenia, we wszystkich kursach do kt├│rych podszed┼éem i sko┼äczy┼éem z sukcesem (3/3) warto┼Ťci─ů dodan─ů jest jedynie papierek. Zdecydowan─ů wi─Ökszo┼Ť─ç materia┼éu (pi*drzwi 95+%, gdzie pozosta┼ée procenty to tips & tricks) zna┼éem ju┼╝ przed kursami.

Start-up (stealth-mode)

W 2018 zacz─ů┼éem r├│wnie┼╝ prac─Ö nad start-upem technologicznym zwi─ůzanym z cyberbezpiecze┼ästwem. Docelowym modelem biznesowym jest Software-as-a-Service dla B2B. Na t─Ö chwil─Ö jestem ja i jeden techniczny co-founder. Ca┼éo┼Ť─ç jest w tzw. stealth-mode, mamy ju┼╝ MVP i publiczn─ů bet─Ö planujemy pod koniec 2019Q1 albo pocz─ůtek 2019Q2.

Trening

Progres by┼é, ale nie tak du┼╝y jak zak┼éada┼éem. Pow├│d? Za ma┼ée skupienie na progresowaniu ci─Ö┼╝aru po┼é─ůczone ze s┼éabym trzymaniem michy. Sko┼äczy┼éo si─Ö na nast─Öpuj─ůcych 1RM przy wadze w okolicach 70kg:

  • Siad 110kg (1.57xBW)
  • Martwy ci─ůg 155kg (2.21xBW)
  • ┼üawka 70kg (1xBW)

Upper-body ma du┼╝e lagi w stosunku do lower-body ÔÇö wiem i zacz─ů┼éem to naprawia─ç (obecny trening skupia si─Ö mocno wok├│┼é upper kosztem lower).

Warszawa

W marcu 2018 up┼éyn─ů┼é rok odk─ůd zamieszka┼éem w Warszawie (co samo w sobie by┼éo zako┼äczeniem mojej kilkuletniej tu┼éaczki po ┼Ťwiecie). Rok w Warszawie (wkr├│tce dwa!) i dalej jestem zadowolony z wyboru. Polska nie jest idealna jednak z do┼Ťwiadczenia wiem, ┼╝e idea┼é├│w nie ma. Dobrze mi tu gdzie jestem.

2019

Plan├│w, cel├│w, projekt├│w, et cetera na rok 2019 jest pod dostatkiem. Zach─Öcam do obserwacji (Twitter & Linkedin) bo b─Ödzie si─Ö dzia┼éo! ­čĺ¬