Блог*

Source: https://cloudisland.nz/@rmi/114219847307106213

#suckassstory

D&D би лайк:

Мастер, а достать мозг [из расколотого черепа гоблина] является свободным действием?

как вы могли догадаться, весь секрет в R"(: в C++ так обозначается начало литерала с кодом на Rust

/* /* */
#include <fmt/core.h>
int main() {
  fmt::println("Hello C++!");
  auto _ = R"(*/
fn main() {
  println!("Hello Rust!");
  const _:&str = ")";
}

$ g++ -x c++ code.rspp -lfmt -o as-cxx && ./as-cxx
Hello C++!

$ rustc code.rspp -o as-rs && ./as-rs 
Hello Rust!

👀

Недавно попался интересный документ, в котором рассматривается проблема существенного разрыва между маркетинговыми заявлениями вендоров сканеров уязвимостей и их реальной эффективностью, выявленной в независимых академических исследованиях🤔 В отчете рассматриваются пять ключевых областей, где академические исследования прямо противоречат распространенным заявлениям поставщиков инструментов: 1️⃣Манипуляции с бенчмарками и искусственные условия тестирования. Используемые вендорами синтетические тестовые наборы не отражают сложность реальных приложений, что приводит к завышенным показателям обнаружения уязвимостей. 2️⃣Низкие реальные показатели обнаружения уязвимостей статическими анализаторами. Статические анализаторы пропускают от 47% до 87% реальных уязвимостей, при этом коммерческие решения не демонстрируют значимых преимуществ перед открытым ПО. 3️⃣Высокий уровень ложных срабатываний. Ложноположительные срабатывания достигают 25-80%, что приводит к усталости разработчиков и снижению эффективности использования инструментов. 4️⃣Ограничения покрытия при использовании методов черного ящика. Фаззеры быстро достигают плато покрытия, пропуская сложные и зависящие от состояния уязвимости, что снижает их эффективность в реальных условиях. 5️⃣Сложности интеграции и настройки инструментов в CI/CD-средах. Инструменты требуют значительной доработки, настройки и постоянного обслуживания, что зачастую недооценивается производителями. Для выбора и оценки инструментов безопасности предлагается использовать следующие вопросы, основанные на академических данных и практическом опыте внедрения: 🟢Были ли тесты проведены на реальных, сложных приложениях, а не только на упрощённых тестовых кейсах? 🟢Проверялся ли инструмент на ранее неизвестных уязвимостях? 🟢Описана ли методология тестирования с указанием всех параметров и характеристик тестируемых приложений? 🟢Включают ли опубликованные метрики показатели ложноположительных и ложноотрицательных срабатываний, охват (coverage) и затраты на внедрение? 🟢Прошли ли результаты независимую верификацию третьими сторонами без участия или финансирования вендора? Рекомендуемые критерии выбора и оценки инструментов: 🟠Эмпирическая обоснованность. Отдавать приоритет инструментам, чья эффективность подтверждена независимыми, желательно академическими, исследованиями. 🟠Прозрачность покрытия. Запрашивать детальные метрики покрытия и показатели обнаружения. Само количество найденных уязвимостей мало говорит о глубине и надёжности инструмента. 🟠Влияние на разработчиков. Оценивать, как инструмент влияет на ежедневную работу: частота ложных срабатываний, задержки обратной связи, удобство в процессе локальной разработки. 🟠Интеграция и эксплуатация. Анализировать инженерные затраты на внедрение, интеграцию и сопровождение инструмента, включая совместимость с CI/CD и инфраструктурные накладные расходы. 🟠Комплементарность. Не рассчитывать на универсальность одного решения — строить многоуровневую стратегию, комбинируя различные инструменты и подходы для покрытия известных пробелов. #vulnerability #benchmark #testing #marketing #fuzzing #sast #dast #vm

Госдума приняла закон ... ...да-да, очередной... нет, не о улучшении жизни населения, защите малоимущих, дружбе и жвачке, а о полном запрете на образовательную деятельность для иноагентов. Раньше им запрещали работать только с детьми — чтобы, не дай бог, не рассказали в кружке «Юный эколог» что-нибудь подрывное вроде «сортировать мусор полезно». А теперь и взрослым россиянам довериться себе нельзя. Дядям и тётям из Думы лучше знать. Вдруг взрослые россияне чему-то полезному научатся у злых иноагентов: по слогам читать слова, к четырём прибавить два, а может даже причины и следствия правильно сопоставлять. Теперь лекции, мастер-классы, семинары и даже ламповые посиделки в формате «вот вам список книг, что мне помогли» — табу. Всё, что пахнет образованием, будь то карточки в телеграмном посте или комментарий под ним, для иноагентов запрещено. Не выполнить им их коварные планы! Кстати, этот потрясающий закон вступает в силу с 1 сентября. Символично. Это такая издёвка, я правильно понимаю? Так что если вы давно думали, что «прочту книгу/пройду курс потом», этого "потом" может не случиться. Потом будет «Репка» и патриотическая рисовалка.

Вот теперь точно про меня :/

Логично

#prog #cpp #article C++26: no more UB in lexing (на практике, правда, главные реализации и так нормально такой код обрабатывали)

#prog #rust if let chains стабилизировали! В июне дойдёт до стейбла, в Rust 1.88.0

#meme про борьбу с лженаукой

#psy Не вижу ничего предосудительного в действиях девушки. А вы как считаете?

#prog #meme Source (original)

#prog #amazingopensource

libriscv is a simple, slim and complete sandbox that is highly embeddable and configurable. It is a specialty emulator that specializes in low-latency, low-footprint emulation. libriscv may be the only one of its kind. Where other solutions routinely require ~50-150ns to call a VM function and return, libriscv requires 3ns. libriscv is also routinely faster than other interpreters, JIT-compilers and binary translators. libriscv has specialized APIs that make passing data in and out of the sandbox safe and low-latency.

(thanks @itpgchannel)