Мы используем Makefile думая, что нет альтернатив, что это стандарт и всё такое.
Но make это не запускалка команд, а система сборки. Мы фактически используем его не по назначению.
И на самом деле альтернатива есть! Некоторое время назад я открыл для себя прекрасный инструмент - just. Он решает все проблемы make.
just - это не система сборки как make, это именно исполнитель команд!
Больше никаких Phony Targets и табуляций, привет нормальный синтаксис и передача аргументов!!! 😎
⭐️Что умеет just:
✅ Автодокументирование команд
Не нужно делать отдельную команду с докой, просто добавь комментарий
# команда сборки
build:
...
$ just --list
Available recipes:
build # команда сборки
Команда с именем default запускается по умолчанию если не указано другое, так что я обычно делаю так:
default:
just --list
Теперь просто выполняем just и получаем доку из текущего файла.
✅ Удобная работа с переменными окружения
# загрузить из .env
set dotenv-load
# глобальная переменная
export PYTHONPATH := "./src"
# переменная для команды
test $TESTUNG="true":
pytest
✅ Передача аргументов
build target:
@echo 'Build {{target}}...'
команда запуска
$ just build dev
# Build dev...
✅ Выбор интерпретатора прямо в команде
Пример с инлайн-скриптом на python:
system:
#!/usr/bin/env python3
import platform
print(platform.system())
Эта же функция позволит выполнить скрипт как одну команду вместо перезапуска шела для каждой строки
foo:
#!/usr/bin/env sh
for file in ls .; do
echo $file
done
✅ Выполнение команды в определенной директории. Можно указать как релятивный путь так и абсолютный
[working-directory: 'backend']
build:
docker compose build
Также можно задать рабочую директорию глобально
Там еще много интересного:
- поддержка функций
- автокомплиты и интеграции
- экспрешены
- алиасы команд
- группировка команд
- альтернативы команды под разные ОС
- импорт других just-файлов
- цветной вывод
- ... и другие штуковины!
Так что вперёд - ➡️ читать доку!
Репозиторий: ➡️https://github.com/casey/just
Статья: ➡️https://www.chicks.net/reference/file_formats/just/
ЗЫ. Кажется, на Makefile я уже не вернусь)
#tools
Настольная книга.
Если вы давно мечтали увидеть все инструменты в одном месте, а не сохранять кучу разрозненных ссылок "на потом", то мы нашли буквально настольную книгу для исследователей безопасности.
Наполнение:
- Исследование сетей;
- Управление уязвимостями;
- Мониторинг безопасности;
- и многое другое, классное, интересное.
К каждому инструменту идёт краткое описание и минимально полезный набор команд.
Мы себе уже сохранили, рекомендуем поступить также.
#AppSec#DFIR
🧠Кибер ПТУ | 👨🏫Менторство ИБ
📂Другие каналы
• Нашел на GitHub преднамеренно уязвимое банковское веб-приложение, которое содержит множество дыр в безопасности. Такие проекты помогают получить бесценныйопыт ИБ специалистам, пентестерам, DevSecOps и программистам, в части поиска уязвимостей и безопасной разработки. На текущий момент веб-приложение содержит более 40 уязвимостей (на скриншоте выше), которые вам придется найти. Если не справляетесь или недостаточно опыта, то у автора есть подробный гайд по прохождению:
➡️GitHub;
➡️Руководство [VPN].
• Кстати, там еще есть уязвимое мобильное приложение. На сколько оно дырявое не указано, да и подробного гайда нет, но если вам интересно, то забирайте по этой ссылке.
#AppSec#ИБ#Web#Пентест
У Checkmarx вышел отчёт "The Future of APPLICATION SECURITY 2024" содержащий чудесный ТОП3 отмазок "почему уязвимый код ушёл в прод?" (от AppSec менеджеров, CISO и разработчиков).
AppSec менеджеры
1. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
2. Уязвимость должна была быть исправлена в более позднем релизе.
3. Уязвимость не была критической.
CISO
1. Надеялись, что уязвимость не будет эксплуатабельной.🤞
2. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
3. Уязвимость не была эксплуатабельной.
Разработчики
1. Уязвимость должна была быть исправлена в более позднем релизе.
2. Уязвимость не была критической.
3. Чтобы уложиться в дедлайны, связанные с бизнесом, выкаткой фич или безопасностью.
Варианты AppSec менеджеров и Разработчиков различаются только порядком. А вот CISO больше про реальную эксплуатабельность (чтобы это не привело к большому скандалу) и надежду на лучшее. 😏😅
@avleonovrus#Checkmarx#AppSec#fun