آسیب‌پذیری روز صفر در log4j

چند ساعتی از انتشار عمومی رخنه امنیتی کتابخانه log4j که بصورت وسیع در برنامه‌های نوشته شده به زبان جاوا، می‌گذرد. این آسیب‌پذیری با شماره CVE-2021-44228 شناخته شده و تمامی نگارش‌های مابین ۲.۰.۰ تا ۲.۱۴.۱ را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری به هکران امکان اتصال از راه‌دور و به‌دست‌گیری کنترل کل سرور را می‌دهند. این آسیب‌پذیری ابتدا در minecraft شناخته شد اما پس از مدتی، محققان متوجه شدند که بسیاری از نرم‌افزارهای ابری تحت تاثیر این آسیب‌پذیری هستند.

اگر شما از آسیب‌پذیر بودن برنامه‌های خود اطلاع ندارید، پیشنهاد می‌کنیم برنامه‌نویس / مدیر فنی / ارائه دهنده خدمات وب‌هاستینگ خود را در جریان بگذارید و از امن بود برنامه‌های خود اطلاع حاصل کنید. ممکن است برنامه‌شما به‌صورت مستقیم از این کتابخانه استفاده نکرده باشند اما از پروژه‌های دیگری مانند elasticsearch استفاده کرده باشید که آن‌ها از کتابخانه log4j استفاده می‌کنند.

برای بستن این رخنه، می‌توانید log4j2.formatMsgNoLookups را روی حالت روشن یا true قرار دهید. برای این کار، دستور زیر را به کامند (command) آغازین JVM خود اضافه کنید.

‐Dlog4j2.formatMsgNoLookups=True

همچنین فورا، تمامی کتابخانه‌های log4j خود را به نگارش ۲.۱۵.۰ این برنامه بروزرسانی کنید.


برای بررسی اینکه قبلا از این حمله آسیب دیده‌اید، پیشنهاد می‌شود که تا log برنامه‌هایی که این رخنه را داشته‌اند را به منظور یافتن هرگونه رفتار مشکوک بررسی کنید. برای مطالعه بیشتر اینجا را بخوانید.

هزینه واقعی فرسودگی (burnout) و راهکارهای جلوگیری از آن

همراه با ۵ نکته علمی برای خودمراقبتی

اگر چه ممکن است وسوسه‌انگیز باشد که خودت را تحت فشار بگذاری تا زودتر کارها را به اتمام برسانی [و از دست آن‌ها راحت شوی] اما این مسیر می‌تواند تورا به سوی «فرسودگی» سوق دهد.

Continue…

تمرکز و کار عمیق – سلاح مخفی شما برای تبدیل شدن به یک توسعه‌دهندهٔ ۱۰×

یا چگونه به یکی از اون برنامه‌نویس‌های گرون که شرکت‌ها عاشق استخدامشونن، تبدیل بشیم.

مهم نیست اگه با خیلی سرتون شلوغه یا یک برنامه‌نویس کم‌تجربه‌اید که دنبال پیشرفته.
مهم نیست اگه شما یک برنامه‌نویس ارشد هستید که به دنبال سرعت بیشتره، چه تو یک شرکت فوق‌العاده بزرگ و چه تو یک استارت‌آپ کوچیک. حتی مهم نیست اگه شما یک فارغ‌التحصیل هستید که هنوز کار پیدا نکردید. تو هر وضعی که هستید، این پست کمکتون می‌کنه.

مقدمه مترجم: در فرنگ، اخیرا کلمه توسعه‌دهنده ۱۰× یا «۱۰X developer» باب شده که در صورت تمایل،‌ می‌توانید اینجا بیشتر در مورد آن بخوانید. در ابتدا قصد داشتم این کلمه را با معادلی مثل «توسعه‌دهنده سطح ۱۰» یا «توسعه دهنده ۱۰برابری» و یا حتی «توسعه دهنده ضربدر ۱۰» جایگزین کنم اما حس کردم معنی این کلمه به صورت صحیح، منتقل نمی‌شود. بنابراین از «توسعه دهنده ۱۰×» استفاده کردم تا جایگزین بهتری پیشنهاد دهید.

Continue…

آیا نرم‌افزار آزاد برای خلاق‌های حرفه‌ای مناسب است؟

من طرفدار استفاده از نرم‌افزار آزاد و متن‌باز «FOSS» در بین خلاق‌های حرفه‌ای هستم. من در مورد اینکه چرا خلاق‌ها باید نرم‌افزارهایی با مجوزهای بهتر انتخاب کنند، نوشتم. همچنین در کنفرانس‌های نرم‌افزار درباره اینکه چگونه پروژه‌های آزاد و متن‌باز «FOSS» می‌توانند خلاق‌های حرفه‌ای را جذب کنند، صحبت کرده‌ام. آژانس خلاقیتِ من در کارهای ما برای آمازون‌، Skullcandy و بسیاری از برندهای دیگر از جایگزین‌های دیگر برای نرم‌افزارهای Adobe و Autodesk استفاده می‌کنه. اما مشخصه که بسیاری از مردم فکر می‌کنند کاری که ما انجام می‌دهیم ما را از حرفه‌ای بودن محروم می‌کنه. وقتی به اینترنت می‌رم، اغلب این استدلال را می خوانم «FOSS برای خلاق‌های حرفه‌ای واقعی غیرقابل‌استفاده است چون [درج عناوین زیر در اینجا]»

Continue…