czemu podczas rekrutacji na programatora jest więcej algorytmiki niż (jeżeli w ogóle) security?

0

no bo wiecie hehe

większość firm to tak nie ma nic wspólnego ze skalą, więc im nie potrzeba top coderów, a jakaś wiedza z security zawsze się przydaje, szczególnie od czasu RODO itd lub aby złego PRu sobie nie narobić.

jeżeli chodzi o faanga, no to tam już niby jest skala, więc perf = $$, ale z drugiej strony algorytm zawsze można przepisać, a data leaka i straconego PR się nie cofnie

nie pamiętam kiedy ostatnio słyszałem aby na programatora na rozmowie pytali z sec, ale nie rozumiem czemu :o

6

No weźmy jako przykład mbank. Po co tam mają pytać z security?Będzie jakiś leak czy coś, to dadzą mema o sobie i każdy zadowolony.
Ale jak zalogowanie się na ich stronę trwa 0.001s dłużej to tracą kasę.

1
WeiXiao napisał(a):

perf = $$

To wygląda jak perl lub kod wygenerowany przez YACC

A na poważnie to **uj wie. Może taka moda? Może każdy myśli że jest firmą z topu? Np znajomy narzeka że w firmie potrzebują junior QA do przeklikiwania tego co nie można łatwo przetestować, a manago się nie zgadzają bo firma jest high-top i nie będą zatrudniać juniorów. Rezultat jest taki że nie ma kto klikać i każdy przyjęty Senior QA chce pisać testy integracyjne, akceptacyjne, systemowe i smokowe czy jakie teraz się pisze według mody

2

Bo security jest w rękach fachowca albo lepiej żeby go nie było i by programiści dorywczo się nim zajmowali.

3

Algorytmy dotyczą działania kodu przez znaczną ilość czasu i lepiej żeby programista nie sadził O(N^2) czy nawet O(N^4),O(N^6) itd. (bo i takie cuda widziałem pracując w administratorce jak klienci płakali co im tak wolno zapytania działają do bazy) tam gdzie można i da się O(N*log(N)) lub szybciej.

Security tylko jak kradną dane, co proporcjonalnie jest rzadsze i kiedy wystąpi spółka z.o.o. która to stawiała może być już dawno rozwiązana, a do tego czasu klient się cieszy, że dane śmigają szybko jakby miały do pakietów TCP przyczepiony motorek. :P

2

Moim zdaniem topowe firmy, które mają nadmiar kandydatów, mogą sobie pozwolić na agresywniejszą rekrutację. Łatwo sprawdzić sprawność implementowania rozwiązań prostych zadań algorytmicznych. Jest to powtarzalne, mierzalne i stanowi niezły punkt wejścia do rozmów o podstawach, a także zawiera jakiś element pisania kodu. Dorzucają pytania z projektowania oraz wiedzy domenowej i schemat na rekrutację gotowy.

Firmy mniejsze oraz te mniej oblegane powielają ten proces, często bezmyślnie, licząc zapewne na to, że stosując ten sam proces rekrutacji także odniosą sukces. Zazwyczaj jednak obniżają zaawansowanie problemów. Czy to ma sens? Nie wiem, ale jak pewna koreańska firma zaczęła wymagać od kandydatów jakiegoś tam poziomu w rozwiązywaniu takich zadań, to się okazało, że nie ma kto set top boxów robić :D

Wiedza z bezpieczeństwa jest trudniejsza do zweryfikowania, a nierzadko firmy nie mają nikogo, kto takiej weryfikacji jest w stanie dokonać. Nie mają też bazy gotowych pytań, z których mogą skorzystać, no wiecie, reketerzy techniczni też są leniwi...

3

Taka dygresja - przynajmniej co poniektórzy (a przynajmniej ja tylko na takich trafiam) znani guru od np. pisania łatek utwardzających jądra mają tendencje do pisania makabrycznie "magicznego" kodu (piszę to jako programista głównie C na poziomie tuż nad sprzętem acz wyżej niż assembler). Prawie brak komentarzy, jak są to nie tam gdzie jest co komentować. Magiczne wartości które powinny przynajmniej jako stałe z jakąś w miarę opisową nazwą występować. Nie na bezczela w 1337 linijce ustawiać zmienną na nic nie mówiącą postronnej osobie, oraz samemu autorowi w rok po napisaniu kodu, wartość. Czytelność to cnota w security, zwłaszcza jak się okazuje że czegoś się nie załatało i po kilku miesiącach/latach trzeba wrócić do kodu.

2

Mnie do obecnej pracy pytali o podstawy security - podsłuchiwanie ruchu sieciowego, coś o OWASP, opisać parę dowolnych ataków i jak się bronić przed jednym wybranym. Teraz szukam pracy i na 7 procesów w dwóch miejscach też podobne pytania padały.

2

Dla mnie security to, tylko podklasa algorytmów związana z szyfrowaniem, weryfikacją aktorów, weryfikacja spójności danych.
Ktoś kto na rozmowie nie potrafi usunąć powtarzających się liter w napisie (ktoś mi padł na rozmowie przy tym zadaniu), nie ma szans by ogarniał security.

Drugi problem, to sam rekruter. Wątpię by znał się na security, więc raczej byłoby trudne by sam z tego odpytywał.
Problemy security w większości projektów pojawiają się tak rzadko, że większość deweloperów ma blade pojęcie o tym zagadnieniu.

1

Bo co pytać się o security gdy większość wrażliwych danych można znaleźć w najbliższym kontenerze na śmieci w pobliżu firmy/sądu/urzędu. Security jest fajne jak trzeba zrobić audyt i pochwalić wynikami przed wyższym menedżmentem. A żeby audyt wyszedł fajnie to można zlecić konsulting siostrzanej dla audytora firmie 6 miesięcy wcześniej.

Wiedzę na temat algorytmów sobie odpuszczam bo ma to taki sam sens jak odpytywanie z tablic matematycznych na maturze z matematyki.

1
WeiXiao napisał(a):

nie pamiętam kiedy ostatnio słyszałem aby na programatora na rozmowie pytali z sec, ale nie rozumiem czemu :o

Resetuję licznik. Mnie pytali o OAuth.
Często chyba nie pytają o rzeczy co się nie ma w CV. No i security to obszerny temat. No i chyba wiele osób jak ma jakieś wymagania to spływają z zewnątrz.

1 użytkowników online, w tym zalogowanych: 0, gości: 1