<rmcreative>

Продолжаю публиковать интересное из недели backendsecret.

Про безопасность

Слишком многие бэкенд-разработчики не в курсе основ безопасности или не считает это важным. Как итог — дыры есть везде и серьёзные. Иногда я думаю, что мог бы консалтить на эту тему, но потом понимаю, что знаю о безопасности недостаточно.

Чаще всего до advanced-техник дело на практике не доходит. Забивают на безопасность настолько часто, что почти в любом проекте предостаточно банальных XSS.

Атакующие вашу систему всегда идут по пути наименьшего сопротивления: сначала проверяют банальные технические вещи. Далее менее банальные. Если технически всё дорого и сложно, берутся за людей. Люди уязвимы практически всегда.

Про образование

Полученные за пять лет в университете знания по-настоящему начали применяться на 6-7 годе коммерческой разработки. До этого было подозрение, что не понадобятся никогда. Ошибался.

Университетская специальность Compute Science, как правило, не готовит студентов к реальной работе, но закладывает хороший фундамент. Жаль что понимают это не многие. В итоге начинают работать по специальности только те, кто во время обучения развлекался со своими проектами.

Про конференции

Опыт других проектов размера VK, услышанный на конференциях, как правило не даёт вам ничего. Потому что вы не VK.

// кое-что всё-таки даёт. Вы узнаёте что делать когда станете VK или почти VK

Провести конференцию или митап в своём городе может каждый. Это не так сложно, хоть и выматывает. Как правило, в IT топовые докладчики легко соглашаются приехать на митап в другой конец страны, если организаторы привозят, кормят и поют.

Даже при наличии спонсоров стоит делать вход платным. Хотя-бы условно. Это и отфильтрует тех, кому не особо интересно, и даст необходимые деньги на организацию.

Про консалтинг

Как правило, консалтинг сводится к расскажу очевидных вещей, которые команда уже и без вас знает. Смысл его обычно не в знаниях, а в подтверждении серьёзности опасения и в финальном пинке от не заинтересованного человека, которому плевать на то, как так получилось.

Про PHP

PHP — невероятно хорошая платформа для веб и REST API и довольно плох как язык. Хотя последнее постепенно улучшается. Да и фреймворки ситуацию чуть сглаживают.

Code Coverage

Code coverage для тестов PHP сильно быстрее собирать через phpdbg по сравнению с XDebug. Вот так.

Про рынок, зарплаты и контракты

Статья, которая сильно повлияла на моё отношение к зарплатам, контрактам, и научила, наконец, торговаться: https://www.kalzumeus.com/2012/01/23/salary-negotiation/.

Кстати, про контракты:

1. Их жизненно необходио читать.
2. Контракт — это предложение, а не ультиматум.
3. Контракт можно и нужно редактировать.
4. После подписания контракта торг не вполне уместен.

Как-то я подписывал NDA, который действовал N км от офиса конторы. N хотели взять так, чтобы охват был по всей планете. Ошиблись в меньшую сторону. Так как я был в Воронеже, а офис в штатах, я оказался вне действия NDA.