Loading...
andrzej_dolinski

Andrzej Doliński

Wunderman Thompson Technology

Technical Lead wywodzący się obszaru Quality Assurance, z pociągiem do front-endu. Większość czasu związany z software house’em Wunderman Thompson Technology. W czasie swojego życia zawodowego skupiony na szczegółach i wysokiej jakości rozwiązaniach. Otwarty na nowe technologie i ich wykorzystywanie w rozwiązywaniu codziennych problemów. Inżynier i lider wspierający zespół w osiąganiu założonych celów. Zawsze chętny do dzielenia się swoim doświadczeniem oraz wiedzą.

 

Panel dyskusyjny – Discussion panel

Wykorzystanie narzędzi open source w testowaniu aplikacji internetowych, w oparciu o analizę przypadku Log4Shell
Dodaj te wydarzenie do kalendarza Google

Koniec roku 2021 przyniósł branży IT spory chaos. Spowodowany był on luką bezpieczeństwa popularnej biblioteki Apache Log4j. W zależności od organizacji było to mniej lub bardziej odczuwalne. Problem wynikał zarówno z bezpośredniego używania wspomnianej biblioteki, jak i również z faktu, że wiele open source narzędzi, powszechnie używanych w codziennej pracy, Log4j miało jako swoją zależność.

Ze wspomnianym wyzwaniem zmierzył się także mój zespół. Po wstępnej analizie kodu nie stwierdziliśmy nigdzie użycia podatnej wersji Log4j. Szybko się jednak okazało, że nasza analiza nie była w pełni poprawna, w dużej mierze właśnie ze względu na używane narzędzia open source.

Na przykładzie architektury, rozwijanej przez mój zespół aplikacji oraz wspomnianej luki w Log4j, wspólnie z uczestnikami warsztatu skupimy się na tym:
– Jak przeprowadzić analizę kodu i na co zwrócić uwagę przy jej wykonywaniu,
– Jakie konsekwencje (pozytywne oraz negatywne) niesie używanie narzędzi open source i czego to wymaga od użytkowników oraz właścicieli kodu,
– Jak minusy jednego narzędzia przekuć w zalety drugiego.