Have you ever heard someone talk about First Principles Thinking? What is it and how can we – engineers use it for our work?
First Principles in Programming
First Principles Thinking is one of the methods that we can use to break down complex problems into smaller, more fundamental problems that can be solved, and finally aggregated into a workable solution. solve the original complex problem.
Following the series of Gamba Technical Events, this time, Gambaru and Grokking Vietnam will bring you a new perspective on problem-solving thinking.
We will meet with Hung Doan – exFacebook and currently a Software Engineer at Coda.io and discuss more deeply this First Principles Thinking topic.
Đến nay, chuỗi Technical Event do Gambaru tổ chức đã sắp đi đến số thứ 08 (vào thứ 7 tuần này), đây cũng là dịp để Gambaru team nhìn lại chặn đường vừa qua, tổng kết những kết quả đạt được cũng như bài học rút ra cho chặn đường tiếp theo.
Các số Technical Event đã thực hiện
TE#01: Flutter
Đây là event mở màn cho chuỗi, do chưa có nhiều kinh nghiệm vận hành nên event này chỉ thực hiện cho anh em developer nội bộ.
Chủ đề của event là Flutter Project Architecture do anh Phúc Trần chia sẻ. Đây là cũng là thời điểm cộng đồng Telegram của Gambaru được dựng lên, thu hút một lượng ‘le que’ các thành viên ban đầu, nhưng cũng đầy hứa hẹn sẽ tăng trưởng tốt.
Xem video TE#01:
TE#01: Flutter – anh Phúc Trần
TE#02: Distributed Crawling
Số thứ 2 có số lượng đăng ký lên đến 70 người, một con số không tưởng với nỗ lực của team lúc bấy giờ. Chủ đề này may mắn có đến 2 speaker chia sẻ, đó là anh Đạt Hồ và anh Tín Đặng đến từ VietMoney.
Xem video TE#02:
TE#03: Distributed Crawling – anh Đạt Hồ và anh Tín Đặng
TE#03: CI/CD và Monorepo
Lần đầu tiên kết hợp với speaker ngoài biên giới Việt Nam, rất may đây lại một speaker nữ xinh xắn, nụ cười tỏa nắng nên cũng thu hút khá nhiều anh em developer, engineer tham gia. Chị Châu công tác tại một startup về xe hơi tự lái có trụ sở tại Mỹ. Châu cũng đang là CI/CD team lead với những chia sẻ thú vị và chứa đựng nhiều kiến thức.
Một điểm nổi bật tại TE#03 là các bài quizz thú vị được speaker của chúng ta được rất người anh em hưởng ứng.
Đây cũng là event đánh dấu cột mốc hơn 200 người đăng ký, làm team phải xuống hầu bao mua thêm “chỗ” khi event diễn ra.
Xem video TE#03:
TE#03: CI & Monorepo – chị Châu Vũ
TE#04: Graph
Phải nói rằng chủ đề này khá kén người tham gia, vì mang tính học thuật khá cao. Tuy nhiên may mắn làm sao, vẫn nhận được lượng đăng ký đông đảo.
Speaker TE#04 là Thầy Hiển, tiến sĩ và giảng viên trường UIT. Trên thực tế, Thầy Hiển đã dành thời gian đào tạo thực tế các kiến thức về Graph cho anh em dev của Gambaru rồi. Đây cũng là chủ đề cuối cùng của năm Tân Sửu
Video TE#04:
TE#04: Graph – Thầy Hiển
TE#05: Cyber Security
Đây là event rất được kỳ vọng với sự xuất hiện của idol Hiếu PC. Anh là nhân vật rất nổi tiếng trong giới công nghệ, có lẽ không ai không biết. Buổi này cung cấp kiến thức về bảo mật sản phẩm đến các anh em dev nên ai cũng hoan nghênh.
Video TE#05:
TE#05: Cyber Security – anh Hiếu PC
TE#06: Kubernetes
Nếu phải gọi là bùng nổ, thì có lẽ đây là event bùng nổ nhất từ khi bắt đầu tổ chức chuỗi event. TE#08 kêu gọi được hơn 500 thành viên đăng ký. Tất cả cùng chào đón anh Thắng Chung, một senior dev tương đối kín tiếng.
Tại buổi này, anh Thắng đã “truyền thụ” nội công thâm hậu của mình suốt 4 tiếng đồng hồ tới các thành viên tham gia. Bình thường có 2 tiếng thôi nhưng speaker của chúng ta sung quá, cũng may là anh em cũng không ngại chèo tới bến cùng speaker.
Video TE#06:
TE#06: Kubernetes – anh Thắng Chung
TE#07: Site Reliability
Đây là event thứ 2 có sự tham gia của speaker đang làm việc ở nước ngoài với gần 168 thành viên đã đăng ký. Đây là chủ đề nhận được sự hưởng ứng không nhỏ, một phần vì speaker là cựu nhân viên của AWS và chia sẻ triết lý của AWS.
Video TE#07:
TE#07: Reliability – anh Ryan Dao
Chờ đón các event đặc sắc khác
Với phương châm liên tục tổ chức Technical Event để nâng cao kiến thức, phục vụ các thành viên trong cộng đồng. Gambaru sẽ tổ chức các event trong Tháng 04, 05.
Technical Event được tổ chức vào tháng 04, 05.2022
Nếu bạn có sự quan tâm đến chủ đề hoặc speaker nào, đừng ngại liên hệ Gambaru.
Những kết quả ấn tượng
Vậy là sau nhiều tháng tổ chức, kết quả mà Gambaru team đạt được là gì?
7 số TE đã tổ chức
Việc này hẳn đã quá rõ ràng, hy vọng trong năm 2022, chúng tôi có thể tổ chức nhiều chủ đề hữu ích hơn để hỗ trợ phát triển cho cộng đồng.
Cộng đồng Telegram gần 800 thành viên
Gambaru rất tự hào khi tổ chức và thu hút nhiều anh em developer, engineer tham gia vào cộng đồng của mình. Ban đầu chỉ có vài thành viên, giờ đây con số đã tăng nhanh chóng và có tiềm năng bức phá không nhỏ.
Kênh Youtube với gần 300 subscriber, hơn 2.500 lượt xem
Mỗi video đăng trên kênh Youtube của Gambaru có thời lượng không nhỏ, từ 120 phút trở lên, vì vậy sẽ khá kén người xem, chỉ thu hút đa phần với các anh em ngành IT, Engineering.
They are general scientists with the job of an engineer and work on each phase of the data science lifecycle.
A full-stack data scientist’s scope of work includes every component of a data science business initiative, from problem identification, and training, to deploying machine learning models that benefit stakeholders.
So:
What does a particular Full stack Data scientist do in a data lifecycle?
And to become a full-stack scientist, what skills will you need to equip yourself?
Is the path to becoming a data scientist really interesting, exciting, and particularly right for you?
Join Gambaru to answer the above questions at the 8th Technical Event sharing session, which will take place on the afternoon of Saturday, April 16.
The event will have the participation of Mr. Tam Pham, lecturer at Griffith University.
Are you an IT student about to graduate, or someone who is switching to IT and is in need of experience in interviewing, especially in interviewing at leading companies and corporations in technology?
Join now a special webinar organized by Gambaru with a topic that promises to bring many useful tips for participants: How To Ace The Interviews At Tech Giants (Amazon, Google, Facebook).
Accompanying you are:
Mr. Lam Pham is a former employee of Sea Group, a company familiar with the Foody application, and is currently a Software Engineer at an extremely famous technology company.
Mr. Lam has had “real-combat” experience in many interviews, and like many people – he has also experienced many stumbles and learned many useful experiences from that.
Ms. Lam Do, currently working at Facebook UK. Before that, she was a former member at Big-O Coding, specializing in consulting and teaching Vietnamese / international students about algorithms to apply to companies abroad. Lam’s students have been accepted into GG, FB, Amazon, Microsoft, Twitter, …
In addition, her achievements are also very impressive:
Second prize in ACM-ICPC 2016 International Programming Contest.
Second Prize in Student Computer Olympiad 2016
First prize in the ACM-ICPC Southern Region exam 2016.
First prize in Vietnam Young Informatics Contest 2013
It is expected that this “Dual Match” will bring a lot of new knowledge and tips to the participants. What are you waiting for? Register now for Event #09!
Have you ever struggled with building a reliable system for your company?
We all know that reliability leads to customer satisfaction, and in some cases, prevents millions of dollars of lost revenues when systems go down.
In this Technical Event #07, let’s meet Ryan – Ex-Senior Software Engineer at Amazon Web Services (AWS) – and get to know more on how to solve this familiar problem.
Technical Event #07, topic AWS Reliability, SRE
If you’re a backend or an infrastructure engineer, and you already are familiar with basic software development principles, or with Cloud Computing platforms, we’re pretty sure that you don’t want to miss out on this event!
Từ tháng 12/2021 đến nay, Gambaru đã liên tục tổ chức chuỗi sự kiện mang tên Technical Event dành cho cộng đồng Developer & IT engineer, thông qua đó người tham gia có thể học hỏi kiến thức, kinh nghiệm từ các chuyên gia nhiều năm kinh nghiệm ở cả trong và ngoài nước.
Đến nay chuỗi đã tổ chức được 6 số, với tổng số đăng ký tham gia gần 1.000 người, một cộng đồng trên Telegram với gần 600 thành viên, và kênh Youtube với số lượt đăng ký ngày càng tăng. Rõ ràng Technical Event đang chứng tỏ sự thu hút lớn đối với cộng đồng và trở thành một hoạt động chiến lược quan trọng của Gambaru.
Nhằm làm tốt hơn nữa việc thông tin về các sự kiện được tổ chức và xây dựng một cộng đồng Developer & IT Engineer mạnh về chất, Gambaru đã phát triển và cho ra mắt trang Event Page.
Đây sẽ là nơi bạn có thể theo dõi tất cả các Technical Event hoặc bất kỳ sự kiện nào đã, đang và sẽ được tổ chức bởi Gambaru.
Ngoài ra, Gambaru cũng đang hoàn thiện các bước còn lại để trải nghiệm đăng ký và tham gia sự kiện của bạn được tốt hơn.
Ngay bây giờ, bạn đã có thể truy cập https://gambaru.io/events để bắt đầu theo dõi thông tin các sự kiện mình quan tâm.
Chúng ta hãy dạo quanh 1 vòng xem Event Page như thế nào nhé.
Featured event
Phía trên cùng là banner của sự kiện nổi bật trong tuần, bạn có thể click vào để đi tới phần thông tin của event.
Sự kiện nổi bật trong tuần
Upcoming event
Đây là nơi thông tin các sự kiện sẽ được tổ chức trong tương lai, mỗi sự kiện sẽ có thông tin cụ thể về Chủ đề, diễn giả, thời gian và hình thức tham gia
Khu vực Upcoming
Bạn có thể click vào để xem chi tiết về sự kiện, về diễn giả, chia sẻ, cũng như cách đăng ký tham gia, đặt câu hỏi cho diễn giả trước khi sự kiện diễn ra.
Trang chi tiết sự kiện
Next event
Ngay bên dưới khu vực Upcoming, bạn có thể gửi yêu cầu về chủ đề mình muốn nghe trong các số tiếp theo được tổ chức. Các yêu cầu sẽ được Gambaru tổng hợp và lựa chọn dựa trên chủ đề được yêu cầu nhiều nhất.
Chủ đề bạn muốn nghe?
Missed event
Nếu bạn chưa kịp tham gia các số Technical Event trước đây, đừng quá lo, bạn vẫn có thể xem lại bất kỳ lúc nào ở mục này.
Sự kiện bỏ lỡ
Notify event
Cuối cùng, để luôn cập nhật thông tin sự kiện mới nhất sẽ được tổ chức, đừng quên đăng ký với Gambaru tại khu vực này nhé.
Thông báo sự kiện mới
Gambaru.io – Towards an intelligent & gameful way to work remotely.
Technical Event #06: From Container to Kubernetes, and beyond.
As part of the Technical Event Series, in this #06 issue, let’s meet Mr. Thang Chung – Senior Solution Architect at NashTech with a very interesting topic, especially for those who are interested and working on Front-end, Back-end, and Cloud (Azure, AWS, GCP): From Container to Kubernetes, and beyond.
Technical Event #06: From Container to Kubernetes and beyond
Bài viết chủ đề Knowledge Graph (Đồ thị tri thức) dựa theo các chia sẻ của Tiến Sĩ Hiển Nguyễn tại chương trình Technical Event số thứ #04 do Gambaru tổ chức. Một số nội dung trong bài được rút gọn và không đề cập chi tiết như tại buổi chia sẻ, bạn có thể tham khảo thêm bằng việc xem video ở cuối bài viết.
Một số khái niệm trên đồ thị
Đồ thị là 1 bộ gồm 2 tập V và E. V là tập các đỉnh của đồ thị và E là tập các cạnh của đồ thị.
1 Đồ thị sẽ gồm tập đỉnh và tập cạnh.
Thông thường trong ứng dụng thực tế, các đồ thị sẽ tập trung vào các đồ thị hữu hạn (hữu hạn đỉnh)
Ví dụ 1 đồ thị cơ bản
Đồ thị cơ bản
Ứng dụng của đồ thị
Đồ thị có thể được dùng để:
Biểu diễn ngữ nghĩa của văn bản
Biểu diễn các biểu thức toán học
Biểu diễn thông tin Social network
Người dùng, các mối quan hệ của người dùng
Ứng dụng của đồ thị
Đồ thị có hướng và vô hướng
Đồ thị có hướng: Phân biệt thứ tự các đỉnh trong cạnh
Đồ thị có hướng
Đồ thị vô hướng: Không phân biệt thứ tự các đỉnh
Đồ thị vô hướng
Đồ thị có trọng số: Trên đồ thị, ngoài tập đỉnh và tập cạnh thì bổ sung 1 ánh xạ đi từ tập cạnh đến mặt số thực và khi đó ánh xạ được gọi là trọng số của 1 cạnh.
Kề nhau
2 cạnh kề nhau nếu có chung 1 đỉnh
Kề nhau
Bậc của đỉnh
Số cạnh được nối đến 1 đỉnh nào đó.
Với đồ thị có hướng thì có cạnh vào và cạnh ra
Các loại đồ thị
Đồ thị đơn
Đồ thị đơn là đồ thị mà 2 đỉnh bất kỳ được nối với nhau bởi không quá 1 cạnh và không có khuyên (đi 1 vòng lại chính nó)
Đa đồ thị là nếu có ít nhất 1 cặp đỉnh được nối với nhau bởi 2 cạnh trở lên và không có khuyên
Trong nghiên cứu, người ta thường hay quy về dạng đồ thị đơn để dễ nghiên cứu, biểu diễn
Đồ thị đủ
Là đồ thị có bậc n và giữa 2 đỉnh bất kỳ, đều có đỉnh
Đồ thị đủ
Đồ thị lưỡng phân
Là đồ thị có tập đỉnh thành V1, và V2. 2 tập này sẽ nối 1 đỉnh trong V1 với 1 đỉnh trong V2. Giữa các đỉnh trong 1 tập không nối với nhau.
Đồ thị lưỡng phân
Đồ thị lưỡng phân
Đồ thị con
Được xây dựng từ việc bỏ đi 1 số đỉnh trong đồ thị ban đầu và bỏ đi 1 số cạnh.
Đồ thị con
Đồ thị bù
Là đồ thị ‘adapt’ vào đồ thị đang có để trở thành 1 đồ thị đầy đủ.
Đồ thị bù
Các phương pháp biểu diễn đồ thị
Biểu diễn hình học
Biểu diễn bằng hình vẽ, biểu diễn trên mặt phẳng
Biểu diễn hình học
Biểu diễn bằng ma trận liên kết đỉnh cạnh
Biểu diễn bằng 1 ma trận với m dòng và n cột
Ma trận liên kết đỉnh cạnh
Ma trận liên kết đỉnh cạnh
Biểu diễn bằng ma trận kề
Biểu diễn bằng ma trận vuông
Biểu diễn bằng ma trận vuông
Biểu diễn bằng danh sách kề
Đẳng cấu đồ thị
2 đồ thị được gọi là đẳng cấu nếu có 1 phép tương ứng 1-1 giữa tập đỉnh và phép tương ứng 1-1 giữa tập cạnh.
Đẳng cấu đồ thị
Một số bài toán trên đồ thị
Duyệt đồ thị
Duyệt đồ thị theo chiều sâu
Duyệt đồ thị theo chiều rộng
Tìm đường ngắn nhất
Thuật toán Dijkstra
Thuật toán Ford-Bellman
Thuật toán Floyd
Thuật giải sử dụng các heuristic
Hãy xem video dưới bài viết để nghe Thầy Hiển diễn giải chính xác các bài toán bên trên nhé.
Ứng dụng biểu diễn tri thức dạng quan hệ
Biểu diễn tri thức dạng quan hệ
Tri thức con người có rất nhiều dạng khác nhau. Vậy làm thế nào để đưa được tri thức con người lên trên máy tính để thực hiện các hoạt động suy luận, tìm kiếm.
Để làm việc đó, ta phải tích cấu trúc tri thức của con người có những thành phần nào.
Khái niệm (tập C)
Mối quan hệ giữa các khái niệm (tập R)
Các luật suy diễn trong tri thức (Rules)
Cấu trúc mô hình tri thức quan hệ
Rela model và đồ thị tri thức
Biểu diễn các khái niệm, đối tượng trên mô hình thông qua các quan hệ đã được định nghĩa. Đồ thị bên trên còn thiếu trong việc biểu diễn quy tắc suy diễn (rules)
Ứng dụng hệ thống tra cứu kiến thức môn học
Ứng dụng biểu diễn thông tin trên mxh
Làm thế nào đánh giá sự ảnh hưởng của một người trên MXH để phục vụ cho các chiến dịch influencer marketing?
Mô hình người ảnh hưởng
Mô hình biểu diễn thông tin MXH
Biểu diễn quan hệ giữa người dùng
Hệ thống ADVO
Bạn có thể xem chi tiết các kiến thức trong bài viết thông qua video từ buổi chia sẻ:
Bài viết dưới đây được viết lại theo những chia sẻ của Hiếu PC trong buổi Technical Event số thứ #05 về Cyber Security và Product Security được tổ chức vào ngày 19/02. Bạn có thể xem chi tiết các nội dung được chia sẻ thông qua video cuối bài viết.
Bảo mật (Cyber Security) trong quá trình phát triển dự án phần mềm là một trong những chủ đề nhận được khá là nhiều sự quan tâm, đặc biệt là các doanh nghiệp, đặc biệt là các bạn lập trình viên.
Sai lầm khi làm sản phẩm trước, làm bảo mật sau
Thường nhiều người có tâm niệm là cứ phát triển sản phẩm trước, sau đó mới bàn tới chuyện bảo mật. Nhưng khi bị hack rồi thì mới biết hậu quả như thế nào, ảnh hưởng cực kỳ lớn từ việc bị lộ lọt thông tin của khách hàng, uy tín công ty và nguy cơ phá sản, thậm chí dính đến cả pháp luật.
Tất cả do sự thiếu quan tâm tới dữ liệu của khách hàng.
Việc này xảy ra ở rất nhiều nơi, đặc biệt là một số công ty ở VN, chỉ tập trung phát triển sản phẩm mà quên đi vấn đề bảo mật.
Cyber Security là gì?
Cyber Security là gì?
Các tổ chức, doanh nghiệp khi phát triển sản phẩm luôn đứng ở vị thế phòng thủ, tức là vừa phát triển sản phẩm, vừa phải bảo vệ hình ảnh, thương hiệu, cho tới bảo mật dữ liệu cá nhân khách hàng.
Nhưng hacker họ chỉ cần 1 lỗ hổng duy nhất, có thể từ bên trong (những yếu tố về con người) hoặc bên ngoài (tấn công hệ thống máy chủ, hệ thống tên miền, những gì liên quan tới sản phẩm, công nghệ)
Vì vậy việc phòng thủ phải bao quát rất nhiều thứ.
Cho nên an toàn thông tin (cyber security) trở thành dịch vụ thiết yếu của bối cảnh hiện đại.
Cyber Security được hiểu là một hành động nhằm phòng ngựa, ngăn chặn hoặc ngăn cản sự truy cập, sử dụng, chia sẻ, tiết lộ, phát tán, phá hủy hoặc ghi lại những thông tin chưa được sự cho phép của người chủ sở hữu.
Product Security là gì?
Product Security là gì?
Năm 2021, có hơn 5 tỷ dữ liệu cá nhân bị lộ, lọt, bị hack.
Bảo mật sản phẩm (Product security) trong thời đại thông tin là rất quan trọng. Các cuộc tấn công của hacker ngày càng trở nên nguy hiểm. Đồng thời người dùng cũng đang tìm kiếm các sản phẩm có xếp hạng an toàn cao.
Vậy bảo mật sản phẩm là gì?
Bảo mật sản phẩm (product security) là một quá trình tiếp cận rộng rãi và nó có thể thay đổi tùy vào các yếu tố như công nghệ được sử dụng, loại thị trường hoặc khách hàng.
Product Security nên tập trung vào mọi khía cạnh trong vòng đời của sản phẩm để làm cho sản phẩm trở nên an toàn nhất có thể.
Từ khi sản phẩm ra đời cho đến khi sản phẩm rút khỏi thị trường, bạn nên hành động theo cách tiếp cận bảo mật theo từng thiết kế trong từng bước. Điều này liên quan tới việc tập trung vào các mối đe dọa, cách giảm thiểu chúng và phân tích rủi ro tổng thể.
Quy trình này bao gồm các khía cạnh kỹ thuật như:
Đánh giá mã nguồn
Kiểm tra cơ sở hạ tầng
Kiểm tra thâm nhập từ bên ngoài (Pen test)
Kiểm tra tính bảo mật thông tin từ bên trong
Việc giảm thiểu các mối đe dọa trên không gian mạng là rất quan trọng để ra mắt 1 sản phẩm thành công.
Tại sao digital product security lại quan trọng?
Tại sao Digital Product Security lại quan trọng?
Khi hacker tấn công một ứng dụng phần mềm, thường họ sẽ nhắm vào layer 7, là những thông tin dữ liệu. Điều cuối cùng hacker muốn là lấy những trí tuệ, sản phẩm phần mềm, mã nguồn, dữ liệu khách hàng và thông tin mật của công ty có giá trị lớn trên thị trường.
Bảo mật sản phẩm không chỉ đảm bảo sản phẩm của bạn được bảo vệ khỏi bị khai thác bởi hacker. Hiện rất nhiều người dùng quan tâm đến an toàn thông tin và bảo mật dữ liệu cá nhân. Điều này nghĩa là nhu cầu của thị trường đối với các sản phẩm an toàn ngày càng lớn.
Các công ty cần cho khách hàng thấy rằng họ quan tâm sâu sắc vào việc bảo mật dữ liệu của khách hàng. Các sản phẩm an toàn không chỉ ngăn ngừa việc mất tiền do bị vi phạm hay đánh cắp dữ liệu mà còn tăng thị phần hay sự tin tưởng của công ty.
Một khảo sát cho Cisco thực hiện, 32% người trả lời có tâm lý lo ngại vấn đề bảo mật liên quan tới sản phẩm.
Vì vậy, việc phát triển 1 sản phẩm về mặt bảo mật vừa bảo vệ sản phẩm, vừa bảo vệ, giữ chân khách hàng là rất quan trọng.
Security Guideline – Hướng dẫn bảo mật
Hướng dẫn bảo mật – Security Guideline
Information
Phải luôn bảo vệ thông tin và cải thiện sự minh bạch về việc thu thập thông tin, lộ lọt thông tin thế nào và tại sao cần thông tin đó đều phải được chỉ rõ cho khách hàng.
Đó là lý do một công ty hay tập đoàn đưa ra sản phẩm thì đều có những guideline như security guideline, privacy guideline cho khách hàng.
Communication
Thường các công ty nếu chia sẻ việc phát triển sản phẩm với nhau thì phải hoàn toàn được bảo mật và mang tính minh bạch giữa các thành viên trong team phát triển sản phẩm. Để đảm bảo những thông tin này không ảnh hưởng tới quy trình phát triển của sản phẩm.
Có nhiều sản phẩm được phát triển nhưng vô tình để lộ mật khẩu nhạy cảm hoặc API key mà quên xóa đi hoặc vô tình chia sẻ.
Hardware
Phần cứng cần phải được nâng cấp thường xuyên.
Software
Không nên sử dụng phần mềm crack, lậu để phát triển sản phẩm, nhằm tránh các nguy cơ ảnh hưởng tính bảo mật sản phẩm
Phải đảm bảo phần mềm luôn được cập nhật phiên bản mới nhất
Physical security
Nói về độ an toàn trong bản thân tổ chức, như có bảo vệ hay không, có mã vạch, xác nhân Face ID, giới tính nhân viên trước khi vào công ty
Thường xuyên trò chuyện, tìm hiểu, quan sát hành vi nhân viên để tránh tình trạng nhân viên mua bán dữ liệu, sử dụng vào mục đích xấu.
Personal security
Liên quan tới khách hàng như phải luôn educate quyền của user, chỉ rõ những gì họ nên làm, hoặc không nên làm.
Organization security
Theo chuẩn ISO.
Giải pháp thực hiện bảo mật
Để đảm bảo sản phẩm an toàn và thu hút khách hàng quan tâm đến quyền riêng tư. Có một số giải pháp bạn có thể thực hiện theo
Bảo mật ngay từ đầu
Trước khi bắt tay phát triển sản phẩm, hãy tự hỏi và trả lời rằng ‘tôi có thể tạo ra một sản phẩm an toàn hay không?’ ‘làm cách phát triển các cấp độ của các giao thức bảo mật trong suốt vòng đời sản phẩm?’
Phải có một chiến lược bảo mật
Tích hợp các hệ thống bảo mật nhiều lớp với các quy trình xem xét nghiêm ngặt gồm xem xét mã nguồn, quét nội bộ, kiểm tra thâm nhập để tiếp cận toàn diện hệ thống sản phẩm.
Phải có kế hoạch B, C cho bất cứ rủi ro tiềm ẩn nào
Phải luôn phòng bệnh hơn chữa bệnh
Luôn kiểm tra lại bảo mật
Trong quá trình bảo mật và khi đưa sản phẩm ra thị trường.
Thực hiện bảo mật trong mọi bộ phận của sản phẩm như hạ tầng, thiết kế sản phẩm và giao diện người dùng…
Nhân viên chịu trách nhiệm cho 60% các cuộc tấn công an ninh mạng. Yếu tố con người đóng góp rất quan trọng trong vấn đề này.
Nhận thức an toàn thông tin
Mọi người hay nghĩ một hệ thống an toàn thì mình đã an toàn rồi nhưng không phải vậy. Hệ thống an toàn khi mình có đủ nhận thức thì mới làm cho hệ thống an toàn thực sự, mới tận dụng hết các tính năng an toàn của nó.
Cho nên vấn đề ở đây là nhận thức, vừa phải nhận thức an toàn cho người sử dụng, vừa phải nhận thức an toàn thông tin cho khách hàng.
Đưa bảo mật vào nề nếp
Từ khi sản phẩm ra đời, hoàn thành, bảo mật phải được xem xét qua mọi giai đoạn vòng đời của sản phẩm. Điều đó phải ăn sâu vào văn hóa công ty để có kết quả tốt nhất như áp dụng các tiêu chuẩn sản phẩm.
ISO 27001, 27002: Các tiêu chuẩn này cung cấp cấu trúc để triển khai hệ thống, phải thực hiện theo để đảm bảo bảo mật ở cấp độ tổ chức).
ISO 15408: Tiêu chí chung – bộ hướng dẫn và thông số kỹ thuật quốc tế được phát triển để đánh giá sản phẩm, bảo mật thông tin cho mục đích sử dụng của CP. Có thể áp dụng cho các phần cứng, mềm, sủng hoặc liên quan tới thư viện sản phẩm.
Tiêu chuẩn an ninh mang NIST của Mỹ, cung cấp các hướng dẫn giúp tổ chức quản lý và hạn chế các rủi ro an ninh mạng.
Coding Security – Lập trình theo tâm thế bảo mật
Code review – Lập trình theo tâm thế bảo mật
Developer hiện nay không chỉ cần biết về vấn đề lập trình, mà còn phải biết về vấn đề bảo mật như OWASP. Chỉ cần 1 lỗ hổng nguy hiểm thì toàn bộ những gì được phát triển sẽ thất bại. Nên họ cần phải để tâm tới vấn đề lập trình mà còn là vấn đề bảo mật.
Security Officer thường quan tâm nhiều về bảo mật, biết những vấn đề như lỗ hổng bảo mật, khả năng bị tấn công.
2 người này phải phối hợp với nhau chặt chẽ để đưa ra một định hướng cụ thể để đảm bảo vận hành sản phẩm trơn tru.
Coding review sẽ giúp đạt mục tiêu này nhanh hơn như OWASP Top 10.
Infrastructure Hardening
Bảo mật hạ tầng của hệ thống.
Quá trình planning hệ theo chuẩn dưới hình từ Design tới Build, Test và Production.
Cách tiếp cận tổng quan đối với bảo mật
Bảo mật cần phải làm gì, tiên đoán trước
Coding guideline, coding security
Pen test hệ thống, thuê 1 đội hoặc nhân viên an toàn thông tin
Sử dụng phần mềm để rà, quét những lỗ hổng bảo mật trên hệ thống hoặc sử dụng WAF để phòng thủ, bảo vệ khỏi các cuộc tấn công.
Quy trình bảo mật trên thực tế
Penetration testing (Pen Test)
Penetration Test
Sau khi sản phẩm hoàn thiện, đây là phần cuối cùng trước khi đưa sản phẩm ra ngoài. Nó bao gồm bảo mật kỹ lưỡng từ team dev tới team hệ thống quản trị, có thể nhờ tới Pen tester, có thể apply project trên các chương trình bug party (để hacker trên thế giới hack vào hệ thống).
Yếu tố con người chiếm tới 60% trong vấn đề bảo mật: không biết đặt mật khẩu sao cho an toàn, không sử dụng bảo mật 2 bước, quản trị hệ thống không cài firewall cho quản trị để ngăn chặn truy cập từ bên ngoài, dẫn tới lộ lọt thông tin.
Lưu ý đối với Pen test:
Pen test không phải cách hiệu quả nhất để tăng cường bảo mật sản phẩm. Bởi vì bản chất nó không phải là cải tiến về bảo mật mà chỉ là quy trình để xác định vấn đề bảo mật. Còn việc xác định những vấn đề bảo mật, lỗ hổng chưa được biết tới hoặc chưa từng tồn tại sẽ mất rất nhiều thời gian.
Thường chi phí thực hiện Pen test sẽ rất cao, nên một giải pháp rẻ hơn là ngăn chặn lỗ hổng bảo mật ngay từ ban đầu.
Các phần mềm phụ thuộc
Nhiều lập trình viên chỉ cần biết mỗi Java, chỉ cần code, không quan tâm tới các yếu tố xung quanh như hệ điều hành, các dịch vụ đang chạy và thư viện bên thứ 3. Tư duy như vậy sai.
Họ cần phải nắm những vấn đề phụ thuộc để đưa ra các tính năng phù hợp và đưa ra các tiêu chuẩn bảo mật phù hợp.
Hacker chỉ cần 1 trong các layer bị lỗi là có thể vào được hệ thống
Một số Security Tips đơn giản bạn nên áp dụng
1. Luôn cập nhật phần mềm
2. Tránh mở các email đáng ngờ
3. Luôn cập nhật phần cứng
4. Sử dụng các giải pháp chia sẻ tập tin, luôn đặt mật khẩu tập tin để tránh mất
5. Sử dụng phần mềm diệt virus
6. Sử dụng VPN cá nhân hóa việc riêng tư, đảm bảo kết nối được an toàn
7. Đừng lười đặt mật khẩu, các mật khẩu theo nickname, tên người yêu, cá nhân, từ khóa từ điển
8. Tắt bluetooth khi không cần thiết
9. Bật xác thực 2 bước
10. Loại bỏ phần mềm quảng cáo, dẫn dụ vào các trang độc hại
11. Kiểm tra trang web đang truy cập có https
12. Không lưu thông tin quan trọng ở những nơi không an toàn (Zalo, Facebook)
13. Quét virus các thiết bị bên ngoài, tránh sử dụng wifi nơi công cộng
14. Tránh tâm lý cho rằng đủ an toàn trên không gian mạng
15. Đầu tư nâng cấp bảo mật, sao lưu dữ liệu quan trọng vào hệ thống điện toán đám mây, luôn đặt mật khẩu, mã hóa ổ cứng
16. Đào tạo nhân viên, nâng cao tầm nhận thức về an toàn bảo mật
Sau khi Event Graph Development Fundamentals đã được tổ chức thành công, Gambaru sẽ tiếp tục mang đến cho cộng đồng Developer một bất ngờ mới ở số tiếp theo.
Technical Event #05 sẽ là sự tham gia, chia sẻ đến từ idol Hiếu PC, hiện Hiếu đang là một chuyên gia về Cyber Security, nhân vật nổi tiếng suốt thời gian qua khi nhắc đến các vấn đề về bảo mật.
Technical Event #05 Cybersecurity
Nếu bạn cần hiểu thêm về giá trị thông tin, dữ liệu, và bảo mật an toàn thông tin cho sản phẩm của mình hay quan ngại trước tình hình lộ, lọt hay bị hack mất dữ liệu ngày càng gia tăng và gây ra nhiều ảnh hưởng không nhỏ đối với các tổ chức, và người sử dụng nền tảng hay sản phẩm thì đừng bỏ qua buổi chia sẻ ‘cực phẩm’ này nhé.
