Hey, everyone, welcome to the Unhandled Exception podcast.
I'm Van Clark and this is episode number 47.
And today I'm joined by Panyi Janka to chat about application security.
An episode on security is kind of long overdue, to be honest.
The closest we've had so far is episode eight, where I was joined by Christos Motskars to talk about identity.
But obviously security is quite a broad term, so it's really amazing to have you on Tanya to talk about it.
So thank you for joining us.
Thank you so much for having me, Dan.
You're welcome.
Alors, proper introduction.
So Tanya is the founder and CEO of WeHack Purple, which is an online Learning Academy community and weekly podcast that revolves around teaching everyone to create secure software.
And she's the director of Developed Relationships at Bright and bestselling author of the book Alice and Bob Learn Application Security.
So I've given you a brief introduction.
Je ne sais pas si je m'ai oublié de l'accent.
Est-ce que tu peux te dire un peu plus de ce que tu fais ?
Absolument, Dan.
Je suis un développeur de software pendant 17 ans.
C'est ce que j'ai vécu à la collège.
Et ensuite j'ai rencontré un hacker.
Et il me dit,
« Je vais vous montrer comment je peux faire un tour de vos apps. »
Et ensuite je suis super fasciné.
Et il m'a été un ami.
Et ensuite il m'a été mon mentor professionnel.
Et je suis très douloureux de être un développeur de software,
de être un test de penetration.
Donc le test de penetration est comme un personne
attaquant une app pour peut-être 10 jours,
analysant chaque chose de la sécurité,
mais ensuite j'ai trouvé que l'appSec était un travail.
Et que ça n'était pas de se faire hangout avec toi-même,
et de se faire gérer des centres de données.
C'est comme ce que j'étais faisant.
Tu dois hangout avec les développeurs de software
et c'est un très extraverti social butterfly.
Ça m'a fait plus de sens à moi.
Et donc je vais toujours faire des tests,
mais je vais aussi faire des choses,
expliquer, créer un plan
dans leur système de développement de la vie,
pour où la sécurité se passe.
Et ça a été plus de ce que ma personnalité était pour moi.
Et puis,
ça peut se dire que je suis en train de parler en confrétation,
parce que tu le fais en fréquence.
C'est une bonne raison.
Oui, le gouvernement canadien a un budget très petit,
et c'est là où je travaillais.
Et je me suis dit que si je me suis dit que je vienne
une fois en fois, créer un talk,
et appeler des conférences,
si je me suis dit que je vais en faire,
je me suis dit que je vais en faire une free ticket.
Et donc je faisais ça beaucoup,
pour deux ans.
Et la Microsoft m'a dit
qu'on pourrait faire ça,
mais comme travail,
c'est la vie de développeur.
Et je me suis dit,
est-ce que c'est un call de print?
Tu vas payer pour me faire mon hobby
que je fais pour la free,

Et donc, après tout,
j'ai commencé ma propre compagnie Wehack Purple,
où je donne,
je me donne toujours
des trainings de code secure,
des trainings de app, etc.
Mais j'ai construit cette communauté online
de 6,5 000 personnes
qui veulent apprendre
comment faire un software plus secure
qui fait des réponses de l'institut, etc.
Et donc,
on a des courses,
on a des choses toutes lesquelles
nous faisons,
et maintenant nous avons jointé les forces
avec Bright Security.
Et donc Bright Security
fait un dynamic web app scanner.
Donc, piu piu piu piu piu
très sérieux.
Et donc,
et donc, basically,
sur leur behalf,
je parle à des conférences,
des blog posts,
des recherches,
ils font les produits mieux.
Et on appelle ça
développeur relations,
ce type de travail
où tu es comme,
je m'aide
et parle de la manière dont je m'aide.
J'ai beaucoup d'aide.
Je ne savais pas
que ça pourrait être un travail comme ça.
C'est un field très intéressant.
Donc,
par la course de cette recording,
tu vas me persuader
à se soulever?
C'est vraiment intéressant.
Je vais essayer
de convaincre
vous et tous les listeners.
Et tous les listeners.
Je suis super...
Je suis super grand biais.
Donc, pour moi,
j'ai aimé faire un software,
mais après 17 ans,
ce n'était pas
comme excité
comme il était avant.
Et les choses se sont changées.
Et je me suis dit,
oh, un autre framework.
OK.
Et je l'ai encore aimé,
mais c'est très fascinant
de pouvoir voir
la sécurité de l'ensemble
de l'organisation.
Ou même,
maintenant,
je vais faire des sessions
de consultations
avec toutes ces différentes entreprises.
Et de pouvoir rencontrer
100 différents teams de apps
et voir comment ils font les apps.
C'est vraiment fascinant.
Et donc, je pense,
la sécurité,
il y a toujours un nouveau cool
et avec AppSec,
vous allez se hangar
avec les développeurs de software.
Et ce sont mes gens.
Donc, oui, c'est bien.
Ça va être bien.
Oui, c'est bien.
C'est bien de se débrouiller
avec ceux.
Mais avant de parler de AppSec,
je vais faire ce épisode
de listeners.
Et ceci va au Hanna,
qui m'a appris
de vous,
qui m'a appris

qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,







qui m'a appris de vous,











qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,



qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,










qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,

qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous,
qui m'a appris de vous.






de tamam oui,




et donc vous pouvez travailler en temps complet et appeler la sécurité et créer un programme formal
et faire surement que vous avez des activités de sécurité durant le cycle de développement du système
donc, si vous allez au projet Kickoff, vous allez dire, « Bonjour, je suis Tonya, je suis votre médecin dédié »
et je vais vous faire le tour du monde, je vais vous vérifier, je vais vous donner des requières de sécurité
je vais vous faire le design avec vous, je vais vous donner des outils pour vous regarder
je vais vous tester et vous dire ce que j'ai trouvé et vous demander de vous faire un peu de choses
je vais vous entendre depuis le début à l'end pour vous assurer que votre software soit secure
mais AppSec est aussi un développeur de software
écoutant un podcast comme ça, entendant que je l'ai entendu, je l'ai entendu, ce framework a une vulnerability
et cette version, donc je vais travailler et vérifier
et oh, une de nos appes a cette version, peut-être que nous devons l'égrer parce que je l'ai entendu
c'est vraiment pas très bien, d'avoir ça sur internet
ce personne aussi fait AppSec, ils sont moins formaux sur ça
donc, toutes les choses que vous faites pour essayer de faire sure que votre software soit secure, je n'appelle pas l'application « sécurité »
ça doit être comme avoir une personne dédiée de AppSec
qui fait la valeur de sécurité plus visible au business
je pense que beaucoup de business se sont vu la valeur après un bruit
c'est ça, les entreprises souvent disent que la sécurité n'est pas un généreur d'income
ça coûte de l'argent, c'est pas la valeur pour le producteur
et évidemment, depuis que c'est mon passion, je suis très bien dédié
mais, dans mon avis, la sécurité est partie de la qualité
les clients espèrent que les produits qu'ils achètent sont bien et bien testés
et quand quelque chose de mal se passe, comme des haques, où il y a des bruites de data, des attaques, où les clients sont malade
ils disent « je mets ma confiance et je vous en croise » et maintenant c'est fini et je vais changer les providers
je vais aller à votre compétiteur, etc.
donc, nous sommes ajoutés à la valeur de le business, mais ce n'est pas direct
parce que si le client est final, si tout se passe parfaitement, ils sont malade
il y a beaucoup de futures de sécurité qui sont construits
à l'heure où les produits sont en train de se faire, c'est un bon travail
on veut faire le fait que le producteur soit sécurisé, mais il faut faire les 5 extra steps
si vous avez fait un bon travail, vous n'aurez pas même remarqué la sécurité
ou ils le font, mais ce n'est pas mal et ils ne comprennent pas
oui, vous avez dû faire un challenge de l'authentification multifacte, vous avez dû entrer dans cette code
mais il y a 26 autres choses que nous avons aussi fait pour protéger vous
et donc je ne pense pas que c'est un centre de la hausse
pour moi, ça a une valeur, mais beaucoup de compagnies ne sont pas en train de le voir
ou de le voir en ce moment
oui, c'est une valeur de la hausse
à l'heure où, comme vous le dites, si il y a un bruit de données,
c'est la hausse de la hausse, c'est quand le business s'en fout
qu'ils devaient mettre ce money en bas, si le business s'est réglé
d'avoir une personne dédiée comme vous-même,
ça signifie que le business apprécie la sécurité, qui est assez important
où beaucoup de business ne sont pas en train de faire le travail
mais pour, comme vous le dites, pour les développeurs normales
qui sont en train de le entendre, de apprendre, de s'améliorer leur propre skill
je sais que vous avez mentionné votre communauté
quelles sont les meilleures manières pour eux, pour leur opérer le skill
et peut-être un équipe, je pense que peut-être un équipe de building
qui peut faire le tout, ce genre de choses
donc il y a des innovations très grandes
dans l'arrière de la sécurité cyber-sacrégique
donc cette industrie est un 151 million d'euros par année
comme de 2020
et donc je donne des trainings où il y a des vidéos
et des articles et des cheveux, etc
mais il y a des entreprises où elles ont des plateformes entières
qui ont été construits pour vous donner des challenges
mais ensuite vous devez aller, c'est presque comme un jeu de vidéo
où on dit, je fais ce challenge et ils vous montrent des codes
et c'est comme, comment vous expliquez ce code
ou les uns que j'aime mieux sont, vous savez,
spot la vulnerability et réparer
fixer le spot, vous êtes en train de le regarder
et vous avez des ingrédients, vous faites une SQL en ligne
et vous n'avez pas de validation d'input
et vous vous envoyez à la database, ce serait bien d'être le cas ici
l'idée est qu'ils regardent ça, ils disent, il n'y a pas de validation d'input
et ils devraient utiliser une quantité de paramétrisme
etc, je me sens comme,
certains de eux fendent vraiment de la hacking
si vous êtes un développeur de software, ce n'est pas vraiment le skill
qu'il faut poli, c'est plus comme un skill de pentester
mais si c'est en faisant des reviews de codes
et comment spotter les choses qui sont au place
réparer le code, comme, on a trouvé ce bug
et ce code, comment vous fixez ça, comment vous remédiaz ce problème
parce que c'est ce qu'ils vont devoir faire en tout temps
et donc vous pouvez être competé avec l'un à l'autre
sur des plateformes comme ça
il y a aussi
donc je suis super biais parce que je travaille beaucoup de compagnies
toujours, et donc, en faisant un groupe
en apprendre une étude, en parler des choses
donc par exemple, je suis assez obssé à la designer
et en construisant des concepts de sécurité
dans votre application
donc, on dirait que vous faites un breach assume
et vous faites aussi, on dirait, une tristesse 0
et vous voulez mettre ces concepts dans votre application
c'est comme, comment je fais ça, comment je fais ça
je vais avoir des applications dans un moyen
où je suppose qu'un jour, il y aura probablement un breach
comment je peux minimiser ce déjeuner
comment je peux faire sure que la team de sécurité
s'est alertée immédiatement
comment je peux faire sure que je suis loggé
tout le monde correct
pour que quand quelque chose de mauvais s'occupe
je peux l'investir, mais je ne logge pas
je suis vraiment sensé et inapproprié
donc, en parlant des choses
et en comparant avec votre business
comment pouvons-nous faire une reduction en matière de surface
ou en matière de ça
donc, ça ressemble à un peu, parfois quand vous en apprendre
vous êtes tous dans le même s'étendez en parlant des choses
et les gens disent, on a une app
où nous faisons ça, ça semble bien
on va se faire ça ensemble
et puis, vous, vous vous souvenez, on parle d'une mémodisation de threat ?
comment on va faire de la mémodisation de threat ?
maintenant, ensemble
et puis, ils ont tous
appris ce qu'on a fait
mais ils ont aussi essayé de se faire un problème de business
je sais que ça va se faire mal, mais je trouve
que beaucoup de fois, les développeurs de software
peuvent se sentir un peu nerveux
pour parler des choses de sécurité
en front de leurs peers
parce qu'ils sont super experts
en développement de software
mais parce qu'ils ne sont pas un professionnel de sécurité
ils ne savent pas tout le monde
et je ne sais pas de vous, Dan
mais je suis dans le passé
j'ai eu des ralentins avec les équipes de sécurité
où ils m'ont fait sentir très malade
et ils me disent, si vous étiez un bon déceau
il n'y aurait jamais eu de vulnérabilité
quand nous avons été en train de se faire un scan
donc, nous ne nous souhaitons pas
parce que vous devez savoir quand vous vous soyez
et c'est juste...
je me sens comme que les développeurs
ont été hit avec un pâtiment
par les équipes de sécurité
et donc, ils ont été
écrits de fois en fois
doublés
comme, je suis affronté
de dire, je pense que c'est ça
ou, nous faisons ça, est-ce que c'est OK ?
si vous êtes une personne de sécurité
et vous êtes en train de le dire
si vous pouvez faire un endroit
safe pour eux pour les questions
où personne ne va leur dire
que vous êtes dents
ou que vous devez savoir ça
vous allez beaucoup mieux
et donc, si vous pouvez créer un environnement
comme ça
quand vous êtes en train de apprendre
des choses nouvelles
parce que quand une personne
met sa main et s'en demande
il y a des questions
il y a des gens de 2 à 10
qui pensent mais ils disent
que je ne veux pas être dents
et ils me demandent
donc, je trouve que
comme c'est si drôle,
c'est comme juste avoir des discussions
ouvertes
parce que, éventuellement
quelqu'un demande une question
sur une app réelle
et c'est quand
c'est vraiment bon
je pense que ce que vous avez dit
ça implique
beaucoup plus que juste la sécurité
et je vois que ce que les équipes
ont dit
c'est que vous devez connaître
tout ça
et c'est pas juste la sécurité
c'est tout un aspect
je vais dire, un développement de software
mais c'est un humain, non ?
c'est un...
tout le monde a des différents skill sets
tout le monde a des différents backgrounds
il n'y a pas de choses comme ça
une question d'intervention
et une culture de compagnie
autour de...
quoi le terme ?
où tout le monde
sent bien sûr de poser des questions
de mettre les mains en haut
je ne sais pas ceci
ou peut-être que vous m'aurez aidé
avec ça ?
je pense que ça fait
beaucoup mieux de équipes
oui
donc je dis ça beaucoup
dans mon livre
si nous sommes dans un état
ce sont souvent les vulnerabilities
donc si vous ne vous arrêtes
d'erreur
et votre app ne sait pas
ce qu'il faut faire
et puis un système d'erreur
se dérange sur la table
mais c'est la même chose avec les humains
si nous ne savons pas ce qui s'est passé
nous sentons certain
c'est où beaucoup de vulnerabilities se déroulent
et si vous vous sentez
que je vous demande d'aide
ils vont me faire sentir dommage
et me faire sentir insecure dans mon travail
c'est comme
je vais juste vous en dire
ou je vais voir
un stack d'erreur
et juste
vous savez, vous avez le truc à la top
et vous vous coupez et vous vous pastez
et je suis sûr que c'est bon
et je ne veux pas
que vous piquez sur un stack d'erreur
je pense que c'est génial
mais beaucoup de gens ne savent
qu'il y a une zone de sécurité
et vous pouvez voir les plus sécurisants
pour faire le cool
parce que
ils sont prêts à me demander
parce qu'ils ont été
mouillés avec un papier
10 fois par des professionnels de sécurité
oui, j'ai beaucoup de mal
quand j'étais un développeur
je me souviens d'un de mes amis
comme le gars de sécurité
qui est allé au hall
j'étais comme
sur un scale de 1 à 10
comment est-il approprié
pour me faire de la haine
dans mon desk?
tu as rassuré
je suis comme
le docteur m'a dit
je me suis dit
tu m'as alors dit
qu'elle est à quoi je suis là
ça va faire b translating

je parvoie ce를









Et je sais que dans nos notes de partage, j'ai bien aimé une de vos suggestions,
qui était un peu un jeu dans le nom de podcast, « Unhandled Exception »
où on a dit qu'on peut parler de falling into unknown states
et comme l'exemple que vous avez donné de « Unhandled Exception »
de bobber sur le top et peut-être de montrer que ce n'est pas une information.
C'est un bon point pour commencer.
Oui, c'est vraiment...
Donc, quand vous faites un truc dans un programme,
ideally, vous avez un « try » et un « catch ».
Vous allez faire le truc et si il y a un erreur,
vous avez quelque chose à prendre et à prendre cet erreur.
Et quand je dis « handle », je ne veux pas faire rien.
Sérieusement, Dan, j'ai réveillé beaucoup de codes
où c'est « if » et puis « all the things » et puis « else »
et puis c'est juste « empty ».
Je suis comme « Non, c'est pas le — oh, come on ! »
Et donc, je me sens comme que tous les erreurs d'application
doivent être « caught » qui signifie ne pas juste laisser le système
avoir un erreur de système.
Je ne veux pas un « stack trace » sur la table.
Je ne veux pas des erreurs de SQL sur la table
parce que notre app est professionnel.
Mais aussi, notre app ne sait pas ce qu'il faut faire.
Et quand il ne sait pas ce qu'il faut faire,
je ne sais pas comment dire ce que vous dites,
mais beaucoup de vulnérabilités sont là-bas.
Quand vous êtes un test de pente et vous êtes en train de faire des impôts,
ça veut dire que vous vous mettez des trucs randomes
pour voir ce qui se passe.
Et c'est comme « Error, error, error » et vous êtes en train de faire le même erreur.
Et c'est cool.
Mais ensuite, vous avez un erreur différent.
Je suis comme « Oh, oui, on va faire des « dig in ».
Qu'est-ce que c'est ce que c'est ?
Ok, je vais l'élaborer et changer ça en haut
et voir ce que je peux y aller.
Et j'ai trouvé des choses marquées en faisant ça.
Et donc, quand vous vous mettez votre erreur,
vous devez le prendre.
Ça veut dire que vous faites quelque chose utile.
En général, ça veut dire « Provider un message custom,
ou un message standard d'error que vous avez à travers votre application.
Mais c'est quelque chose que vous avez écrit,
pas un stack trace, pas un error SQL Server
avec des détails que un attaqueur ou un test de pente
peut utiliser pour ensuite expliquer votre système.
Mon très première parole de conférence est appelée « How to hack your own apps ».
Et dans ça, il y a un field de recherche et vous pouvez chercher des trucs.
Et je suis comme « Cool, je vais chercher Tonya ».
Et puis je trouve le record de 1 qui dit « Tonya ».
Et puis, bien sûr, je vais essayer d'en faire un injection SQL avec l'audience.
Donc, j'ai en cause fait des erreurs.
Donc je suis comme « Oh, ou 1 equals 1 ».
Et puis c'est comme « Oh, c'est erreur ».
Et puis le server SQL nous dit « Oh, vous avez un single quote
avec aucun quote single, je suis comme « Oh, merci pour m'aider à fixer mes syntaxes ».
C'est vraiment utile, SQL Server.
Donc, je fais que l'audience m'aider à fixer.
Et puis, on l'a évoqué.
Donc, on a l'air de faire un code correct.
Et puis, tout le passe-garde de user name et tout fallait à la table.
Je suis comme « Imagine, c'était votre app ».
Comment ça nous a pris ? 3 minutes.
Tout le point de votre input est un facteur potentiel.
Et donc, je vais essayer de fixer ça.
Donc, pour quelqu'un qui est en train de le dire,
si vous avez un input qui se fait et fait une query à la database,
vous voulez utiliser une query par paramétrage,
vous voulez valider l'input de ce que vous avez regardé.
Vous avez un apprové ou accepté des listes de caractères
qui sont cool et vous les laissez.
Vous ne faites pas un liste de bad-charactères,
vous faites un liste de bons caractères.
Et puis, vous voulez utiliser la « Content Security Policy Header »
parce que ça aussi vous explique
si il y a d'autres choses externes que vous utilisez.
Et avec ces trois choses,
vous pouvez faire sure que vous ne faites pas accidentement
que vous avez des bonnes conditions d'injection.
Mais quand vous ne vous validatez pas que ce que vous avez fait est bon,
quelque chose de bizarre se passe, Dan.
Et quand votre app se fait dans un endroit où il n'est pas sûr de quoi faire,
si vous avez « If » et si vous n'avez pas d'autre,
ou si vous avez un cassement de casse,
vous choisissez ce, ce, ce, ce, ce,
si vous n'avez pas d'autre ou quelque chose à l'end,
et si vous avez un cassement de casse,
votre app n'a pas d'autre à faire.
Et les testeurs ne pourraient pas pouvoir faire ça dans ce cas,
mais le testeur de la paix peut-être le malaisant acteur,
et notre app ne sait pas ce qu'il faut faire.
Et ça fait bizarre.
Ça m'a surpris avec la injection de sequélisation.
Et je sais que pour une longue période,
c'était le top 10 de la « OWASP ».
Et je ne sais pas, c'est comme...
Les codes bases que j'ai travaillées sur depuis longtemps
ont utilisé un « OWASP » pour faire un « ENTHY » ou quelque chose,
qui a fixé ça.
Ça m'a surpris avec le top 10 de la « OWASP »
pour tout de suite,
car pour moi, je devais vraiment,
vraiment travailler très bien
pour introduire cette vulnerability.
Oui, si vous utilisez un framework moderne,
comme Ruby,
tout le framework moderne
a des features de sécurité
qui sont construits.
Et certains de ces features, comme Ruby,
vous devez les prie de leur offrir
afin de faire une vulnerability comme ça.
C'est génial.
Un poucement pour tous les gens
utilisant des frameworks modernes.
Un peu de les types d'injections
qui sont au monde,
sont l'application de la législation.
Parce que nous tendons à prendre
tout notre temps de sécurité,
de l'effort sur les nouveaux trucs qui viennent,
et parfois on oublie des choses
qui sont encore sur Internet
et qui ont encore besoin de protection.
Et parfois c'est que vous faites
quelque chose d'inusuel
que vous devez faire dans un de nos de l'autre.
Vous ne faites pas juste un search régulier,
vous faites quelque chose qui est très unique.
Et puis, certainement,
vous ne réalisez pas ce que vous avez à faire.
Donc, par exemple,
il y a un système d'opérations,
d'injections.
Et donc, vous devez dire,
« Oh, j'ai utilisé un procédé de la store
pour le faire à l'intérieur de la database. »
Et puis, c'est exécuté,
on a pris le commandant de la database
et on a fait ça.
Et c'est comme,
mais vous n'avez pas checké sur votre système d'opérations.
Parce que vous ne faites pas juste
faire du travail pour le securer
l'app Web,
et quand vous avez passé ça,
vous vous dîtes que vous avez été saved.
C'est comme, « Oh,
ou Dan, on va dire,
vous avez un beau goût à la fin
et vous avez 50 appels
qui sont en train de faire des vies
de various types. »
Puis, certains d'entre eux,
n'aiment pas d'autres appels,
mais d'autres appels serverlesses, etc.
Quand l'appel s'appelle
« Another thing,
because it's behind the firewall,
a lot of devs just don't do the same
security worker testing that they would,
they don't authenticate or authorize,
they don't follow,
like, harden it the same way,
they're like, « Oh, it's internet work, it's fine,
and it's like, well, if I can get a command
in the GUI to the API,
but it doesn't hit there,
it could still hit the next API
or the serverless app,
or, you know, when you run the command
on the operating system. »
So sometimes they just worry about
what is directly on the internet,
and they forget,
actually all the stuff behind the firewall
is really important too,
very valuable,
and we still want to protect it.
So it sounds weird,
but yeah, there's a lot of old legacy stuff,
with giant gaping holes in it,
or new cool fun stuff
that's on the inside of the network,
and then people think it's safe
and it's not.
I feel like a doomsday say
or when I say that.
»
I guess that's it,
it's kind of like,
if you're working on something
that's completely private,
a lot of the microservices,
so private, internal,
and so, okay,
that doesn't need authentication,
that's fine,
but then if an attacker can get into
just any small machine on the network
at all,
then they've got full access to that,
which might have,
if that's unauthenticated,
that might have full access to all the database data.
So yeah, it's kind of,
is this what the term
defence in depth means,
or is that kind of slightly different?
»
»
So defence in depth means
more than one layer of defence
or mitigation.
So a defence is supposed to stop the attack,
and then a mitigation means
reduce the damage that attack does.
Does that make sense?
And so just having more than one.
So sometimes companies say,
well we'll just buy a web application firewall,
or a rasp, a runtime application,
security protection tool,
which is a mouthful.
You know, we'll just put a shield
in front of our app,
and then we're fine.
I'm like, no, you still need to write good code.
Come on.
Yeah, so defence in depth,
the idea, for instance, could be,
you know, you take secure code training,
and then you have someone test your app,
and then you have someone also do a coder review.
That would be three layers of defence,
if that makes sense.
And you can have many, many layers,
and you can have, for instance,
so you can have automated tools,
scan a whole bunch of things,
and it will find a bunch of easy to find things.
You fix those low hanging fruit, awesome.
Well now, we're also going to
maybe have our peers review each new pull request.
So we're going to change some code,
and we're going to have someone else
more senior review it,
and then look for these five things
that we're concerned about, let's say.
And so that would be two,
like, really good layers of defence.
And I like to see a few,
especially if an application is really old,
and written with older versions of the framework,
and has older dependencies that maybe,
you know, you'd have to re-architect the whole app
in order to upgrade off of them.
So it's like, in the meantime,
you know, we're going to put a WAF in front,
and we're going to do network segmentation.
So if someone does get in there,
they can't get anything else,
they can't take stuff out,
and they can't go to the rest of the network.
And so sometimes it is worth doing
a lot of layers of defence.
For instance, if something is very valuable
to the business,
or if something's very sensitive,
or if something's just so, so old,
that it's like an elderly application.
Like, last year I worked on an application
that was 38 years old,
and he's like, wow, you're almost as old as me.
Oh, of course, I'm listening.
Um, it was...
I know, right?
But I was going on about, like, different weights.
So, like, the company I was consulting at
had bought another company,
and we're going to bring it into our network.
And I'm like, first we have to,
you know, basically dig a moat around it,
network segmentation.
And we're going to do this and that,
and, like, just making sure we can bring it in safely.
And make sure that its weakness
wouldn't affect other people.
But it had four customers that each paid
a million bucks per year to use this really old thing.
And so it was really valuable from a business perspective.
But it's like, we know that in the next coming years
they're probably going to stop renewing,
and until then it's worth to continue running it.
And so the business wants this,
so I have to make it happen.
So how can I do it safely?
Going back, I wanted to mention one more thing
because you asked about unhandled exceptions.
Because you have such an awesomely named podcast.
When we're talking about, like, an unknown state,
another thing that can happen is basically
if the app fails,
and you fail open.
And I'm bringing up,
because I saw it this morning on Twitter,
a person, their username was
fail open.
And so if something happens,
and you're doing, like, a multi-part transaction
in your application,
and there's an error,
roll the entire thing back.
Roll the whole thing back and do the whole thing again.
And this can be super annoying if you're a user.
But for many years,
race conditions have existed,
even when I was doing my very first
software development job.
I remember, there were only two of us
at this tiny startup I was working at.
And I had tried to update
something in the database,
et ma boss,
a aussi appétité, et on a
réinverti un condition de race
dans notre petit company.
Et j'ai appris tout à l'heure des conditions de race
et j'étais vraiment excité.
Et les idées sont, si vous vous appétiez
un field de database, vous devriez le tourner.
Alors j'ai changé le field, et il a
utilisé ça. Et c'est un coincidence,
juste nous deux,
mais on a vu ça,
on a besoin de tourner le database
quand on change, alors que personne ne peut le changer
en même temps. Et c'était juste
sous un second, le temps de la vie.
Et alors, quand je suis allé
dans la sécurité, il me semble que beaucoup
de gens ont utilisé ça.
Donc j'ai vraiment aimé Starbucks.
Et donc, le Starbucks Bug Bounty Team
a publié un article
sur une vraiment cool vulnerability
qu'ils avaient en 2019, je pense.
Et c'est-à-dire,
quelqu'un en part de leur programme Bug Bounty.
Il y a un research de sécurité
qui est en part de l'organisation
et qui a eu permission de tester.
Il a décidé de faire un tourner
où vous pouvez transférer du money
de différents cible à l'époque,
et vous pouvez continuer de faire
des cibles à l'époque, pour que vous puissiez
multiplier votre money. Donc il a transféré
50$ pour deux différents cibles à l'époque,
et puis il avait 100$.
Et puis il a transféré
50$ pour que vous ayez
150$. Et il a juste gardé
ça. Et je pense qu'il a aimé
son truc de café pour toujours.
Et il a dit, man, vous ne devriez pas
prendre les 2000$, vous devriez prendre
le café de frein.
Juste le rire, ne vous en parlez pas.
Mais oui, je pense que
beaucoup de nous, si nous allons faire un tourner,
on va faire un tourner, on va juste essayer
de récupérer, non, non, juste faire
tout le monde, tout le monde, tout le monde, tout le monde, tout le monde.
C'est la plus safe de faire ça à chaque fois.
Donc faire un tourner, et faire un tourner.
Ne pas faire un tourner.
Ne pas essayer de récupérer la transaction
et de commencer à la moyenne.
Et ça, c'est toujours un défi.
Je pense que
en pensant sur la architecture de Microsoft,
ça peut être très difficile,
parce que si vous avez un
transport de distribution, etc.
Mais alors, juste en essayant de faire
des choses où vous pouvez être impétents.
Donc vous pouvez commencer de la même manière,
mais nous allons faire la même chose, je pense.
J'ai aimé le fait que vous avez dit
que vous avez découvert les conditions de la fraise
et que vous avez été très excitées.
Et je pense que, quand je décide les conditions de la fraise,
je ne parle pas de la fraise.
Je ne suis pas en train de jeter la question.
Maintenant, je suis plus
intéressé en programme fonctionnel,
parce que ça devient beaucoup difficile
de faire des issues de concurrence
que vous avez quand vous avez
dû faire des choses comme ça.
Je ne pense pas que vous avez
pensé sur la sécurité,
si vous avez toujours pensé sur les conditions de la fraise
et les issues de concurrence, comme dans
My Crash.
Mais c'est un point très bon
pour les issues de sécurité.
Donc, quand je suis jointé
sur la sécurité,
je me souviens d'avoir dit
que c'est la CIA.
Et je pensais qu'ils m'ont dit
que l'organisation américaine
a des espaces.
Et je me suis dit, je ne pense pas qu'ils
voulaient pas de notre app.
Et il me dit, non, non, non,
confidentialité, intégrité et availability.
Et je me suis dit, excuse-moi,
parce que je n'ai pas pris la sécurité
en school, je n'ai pas pris la science en années 90.
Donc, c'est le travail de la
sécurité de la team pour protéger
ces trois choses.
Donc, si l'availability de l'app n'est pas
là-bas, parce qu'il y a une condition de la fraise,
c'est une issue de sécurité
de notre standpoint.
Ou si vous vous faîtes l'opin
et que nous vous mettez en place
la valeur finale de la transaction, c'est
une issue d'intégrité.
Et donc, comme un développeur, je suis dit, non, c'est une qualité.
Ma app n'est pas en train de travailler, c'est un buggy et un crappé.
Mais ça serait de la sécurité
d'une perspective considérée
de la vulnerability.
Si nous faisons ça et que ça crasse,
et que nos clients ne peuvent pas
utiliser le système que nous nous
nous proposons, cette availability est
débarquée et les gens de sécurité sont
concernés. Et donc, parfois, les développeurs
disent, pourquoi êtes-vous ici? Je suis dit, oh,
parce que ce sont les trois choses que nos teams
sont les plus... Il y a d'autres choses que nous
carenons aussi, mais si l'un des trois choses
n'est pas en train de travailler, les teams de sécurité
sont en train de travailler, je pense, c'est le meilleur
moyen de le mettre. Et donc,
oui, je ne pensais pas de ces choses,
d'ailleurs, quand je suis un développeur,
j'ai juste voulu... J'ai voulu mes
clients être comme, c'est génial, merci!
C'est tout que j'ai voulu entendre. Ils sont heureux,
ils sont contents, ils font le genre qu'ils veulent,
ils ne font pas les choses qu'ils veulent,
je suis un cool dev. Et puis,
quand j'ai appris la sécurité, je suis
comme, oh, mais je peux aussi
faire du care de mes clients par les protéger.
C'est comme, oh,
oui.
Même les choses comme MFA,
comme un utilisateur, parfois, ça peut être
assez démonstré, mais parce que je sais
ce que ça veut dire pour la sécurité, je suis
vraiment heureux de ça démonstrer.
Et c'est assez, un peu de apps,
maintenant, juste d'évaluer, parce qu'ils ont
utilisé des partenaires identiques, donc
c'est, je ne veux pas dire,
un box de cheveux, mais c'est un
fonctionnalité qui peut être ajoutée
assez facilement sans avoir à construire tout ça.
Oui, oui,
oui.
Je pense que,
comme la sécurité des informations
et le sub-file
d'application d'application, je pense
que nous allons mieux faire des choses
utilisables pour les utilisateurs.
Donc Microsoft et quelques autres companies
sont vraiment excitées par la idée
de la liste de passe-word.
Donc ne pas avoir à utiliser un passe-word,
ne pas avoir à remercier des passe-words
plus, ça serait magique.
Quand je suis un développeur de software,
j'ai eu, en fait, 100 passe-words pour le travail.
Et ils sont tous supposedes
d'être uniques. Et mon cerveau
est seulement si grand.
Je dois m'en souvenir de toutes les choses.
Je dois m'en souvenir de comment y arriver
et que, dans mon voiture, je vais m'en souvenir
de prendre des foods de cat et toutes ces autres choses
que je vais m'en souvenir plus de 100 pass-words uniques.
Et puis tous mes pass-words personnels.
Et donc je suis un grand fan
de managers de passe-words, donc je peux utiliser mon cerveau
pour m'en souvenir de manger des foods de cat et de cream et de la haine.
Ou tout ce que je vais faire.
Et je me sens comme
la industrie de sécurité est en train de
entendre plus maintenant à des utilisateurs.
Si la sécurité n'est pas très utilisable,
ils se trouvent de la façon à laquelle ils sont
en train de se faire. Et puis on est comme
« oh, on est en train de faire ça maintenant. »
Les utilisateurs sont déçus.
Et sur ce point, on ne veut pas qu'on le souhaite,
c'est pour eux de être bien et de être protégés.
Et donc, la authentification de multi-factor
est incroyable. C'est un grand moyen
de arrêter les intruders.
Donc, pour dire, votre passe-word est
dans un bruit quelque part, et le company
a décrypté le passe-word
en avant de le cacher, de le salter,
ou de le peper, ce sont des choses que vous pouvez faire
pour que ce soit un peu récoverable.
Ce n'est pas votre faute, ils ont fait un bon travail
et ils ont l'aider votre passe-word sur Internet.
Et puis, vous êtes un target
et vous ne savez pas et vous n'avez pas fait
rien de mauvais. Et donc, c'est
l'empower que l'utiliste peut prendre pour eux-mêmes
pour protéger eux-mêmes plus
par en déterminer la authentification de multi-factor.
Mais, Dan, honnêtement, je rêve
d'avoir un programme de la journée où on ne
peut pas même faire ça, parce que c'est
déterminé pour nous invisibly.
Donc, par exemple, Google a un pop-up
sur mon téléphone et c'est comme, est-ce que vous êtes
comme, oui, c'est moi.
Et juste presser le bouton, je n'ai pas besoin
de mettre les six codes, je n'ai pas besoin
d'avoir un texte pour arriver.
Et donc, j'espère que le truc
est invisible.
Pour vous donner un exemple de choses que
j'ai vu que j'ai vraiment vu,
j'ai travaillé dans le gouvernement canadien
dans un endroit appelé Shared Services Canada.
Et c'était partie de ce grand campus,
basically, de la building.
5 grandes buildings, elles sont appelées phases.
De toute façon, il y a un ton de nos
nerds dans le monde.
Et nous avons fait que le moment que vous aviez
tourné la porte, vous reconnaissiez
une certificate sur votre machine et vous
vous rendez sur la chaine. Vous avez toujours
eu le signé, mais nous avons eu
une extra layer de sécurité.
Donc, les guest ne sont pas recognisés
et sont immédiatement sentés à la chaine de guest.
Si vous avez une machine de la maison, ce n'est pas
going to work. Mais c'est comme, je suis sur la
property, je suis allé.
Et je me sens comme qu'on doit trouver
plus de moyens
pour que la sécurité soit invisible
pour les utilisateurs, pour que, en fait, ils sont
plus au-delà, mais en fait, ils vont
aller avec eux. Parce que les gens
adoptant la MFA,
c'est encore quelque part entre 11
et 15 %. Et donc,
c'est 85%
à 90% de personnes qui ne sont pas
protégées. Et comme professionnel de sécurité,
je n'aime pas ça.
Et je pense aussi que les
utilisateurs de la MFA ne sont pas
probablement les utilisateurs avec
d'autres pas de passwords
et ou
d'utiliser le même password pour
des forums qui étaient
élus par quelqu'un dans le garage qui est
très insecure et
un papeur ou quelque chose que vous avez
vu. Donc, c'est important. Donc, en revanche,
ce password est assez intéressant, ce password
que vous avez mentionné. Donc, ce serait le facture
qu'il replait le password.
Si vous avez la MFA, mais alors
c'est un facteur,
ou votre device.
Mais qu'est-ce qui replait le password, ça ?
Donc, super,
pour quelqu'un qui n'est pas
clair, il y a trois facteurs de
authentication. Et les facteurs sont
un truc que vous avez, un truc que vous êtes
ou un truc que vous savez.
Donc, quand vous faites un password, c'est
un truc que vous savez. Un truc que vous
êtes serait un scan de votre face,
votre fingerprint, votre iris,
le gate et le façon dont vous vous
vous guérez.
Qu'un truc qui vous identifie uniquement
vous-même. Donc, ça serait un truc que vous êtes
et ça est souvent la chose
qui est le password.
Donc, comme vous vous pickz votre iPhone,
ça reconnaît votre face et les débloques.
Donc, c'est le password.
Si vous voulez, vous pouvez l'enlever.
Et j'ai briefly eu un iPhone.
Je ne veux pas que vous aiez iOS.
Mais,
mais,
vous et moi, nous deux.
Ça m'a fait me soif.
Je voulais juste le mettre dans la fenêtre
après un mois.
Mais, alors, les facteurs,
un truc que vous savez
pourrait être un password.
Mais il y a d'autres choses que nous savons
si ça fait sens.
Donc, ils ont des choses qui sont
les codes bingo, qui sont comme les
plus vieilles, ne les utilisent pas.
Mais, ça serait, vous savez, qu'est-ce qu'il y a
dans le field 3a, et vous vous mettez
ce numéro et ça vous les obtiendrait,
ce n'est pas très secure.
Mais, un truc que vous avez
pourrait être votre téléphone.
Donc, je vais utiliser mon téléphone pour
l'authentifier à mon computer, je vais utiliser mon
téléphone pour l'authentifier à mon téléphone,
ou je vais avoir un petit fob, ou si vous avez
un UB key, vous pouvez juste presser le bouton
sur le côté. Donc, c'est comme, je
ai le truc.
Et je sais le truc et je suis le truc,
laissez-moi le faire.
Et je me souviens, quand je suis à Microsoft,
j'ai été logée au Cloud Shell
en stage,
en Corée, et je me suis donné
ce demo, et le demo était en train de
se battre, en train de se battre.
Parce que Cloud Shell
a été crashé sur moi, je me suis dit,
c'est ça, on se fait rire, je suis
comme, c'est tellement marrant,
parce que c'est tellement difficile quand
votre demo se démarre, et il y a des gens
plus smarts dans l'audience, et je suis
comme, oh non, je me suis rendu malade.
Et donc, ça m'a
tourné tout le monde, et donc, j'avais
à utiliser mes fingerprints, mes
passwords, et puis mon téléphone,
comme un truc que j'ai. Et je me suis dit,
c'est ça, triple facteur, authentication,
et tout le monde s'est réglé, et je
m'a réussi à obtenir ma app, enfin,
à la pub, dans les derniers 30 secondes
de ma 1H, ou quelque chose, je me suis dit,
j'ai commencé à tomber et je
j'ai eu cette innovation standard.
Parce que je me suis dit, elle ne m'a pas
donné, parce que j'ai déployé mon
infrastructure, et tout ça, je me suis
crashé, je n'ai pas travaillé, je m'avais
détruit tout le monde, et je me suis
réréveillé tout pour mon demo, et je me suis
dit, s'il te plait, s'il te plait, s'il te plait, s'il te plait, s'il te plait,
mais ça a été le début de la fin.
Mais oui, je veux
faire ces choses plus facilement. Et donc,
pour Apple, c'est la face,
et c'est la même chose avec Windows Hello
pour Microsoft. Comme, votre computer
assume que vous n'avez pas un webcam cover
comme je le fais, parce que je suis paranoïde.
Vous pouvez ouvrir, c'est plus
facilement, mais c'est pas
le cas de la face. C'est la face de Tanya.
C'est la face de la face. C'est le
lettre. Il y a des choses
différentes que nous pouvons faire pour
avoir un liste de passeport.
Donc, pour exemple, me marcher
sur la propre de services de shared Canada
et d'avoir ça ouvert pour moi.
Je faisais des choses qui ont
fait des choses qui ont fait des choses
des passports pour un moment.
Nous faisions la reconnaissance
et tout ça, et nous testions
tous les autres, parce que c'est ce que nous
voulons. Je me souviens, vous vouliez
marcher dans la building et il y
serait un cage qui ouvrait et vous
vouliez marcher et vous devriez
mettre votre corde. Vous vouliez marcher
dans le cage pour 1 seconde, 2 secondes,
3 secondes. Et vous
vouliez tourner votre corde,
pour que vous soyez étrangers,
vous êtes restés dans le cage. Mais aussi,
ils avaient une personne en duty,
et ils avaient 3 personnes différentes
qui voulaient tourner votre face.
Ils se sont personnellement identifiés.
Vous devez regarder et faire contact avec eux.
Ils vont être comme, oui, c'est elle.
Et puis vous vous êtes entrés.
Je me suis trouvé très intéressant
d'avoir un humain qui vous aie de vous souvenir.
Si vous étiez nouveaux, ils
devraient vérifier votre passeport
pour vous mettre dans les premiers jours
pour que vous soyez récits.
Et puis je travaillais
dans le département de la justice.
Ils avaient un style de tournage
avec 3 spécifiaires.
C'est des portes où vous vous
vous marchiez et vous étiez en train de bouger.
Et puis vous vous étiez en train de bouger
et vous étiez en train de bouger.
Et puis vous étiez en train de bouger
et puis la prochaine personne s'entend.
Et puis ils avaient aussi une garde.
Et puis nous devions aller dans un autre secteur
pour que nous puissions aller dans le bunker top secret.
Et puis je suis très méchante
et j'aime jouer des pranks sur les gens que j'aime.
Donc je vais aller dans le style de tournage
et je vais me faire couper avec mon healer
et me faire bouger mon frère Stacy.
Je suis un chien.
Et elle me dit non, non, non, non, non, non, non.
Et puis elle devait attendre
et la personne de sécurité s'est allée à la maison.
Et ils se disent, oh, vous êtes malade ici encore.
Oh mon Dieu, Tonya.
Je suis tellement à la nourriture aujourd'hui.
Oh, c'est magnifique.
Vous avez mentionné votre talk
où les démo-godes sont venus jouer.
Les talks sont en train de se battre
en plus de ce qui s'est passé.
C'est un peu comme quand je suis en train de regarder les talks.
Si il ne se passe pas bien,
ça fait que c'est plus intéressant.
Vous ne pensez pas que ce soit une personne idiot.
Vous voulez être involvement.
Je pense que l'audience tend à être plus involvement.
Comme vous l'avez mentionné, c'est bien.
Je me souviens, c'était pas encore un talk que j'avais fait.
Et c'était sur les cubanettes
d'une clistière de rasbi.
J'ai parlé des cubanettes
en installant.
Et juste à l'end,
quand tout va bien,
et c'est juste pour montrer
tout ce que j'ai construit,
c'était juste pour travailler.
La batterie n'a pas eu le temps
de se faire...
Mais pas de problème.
Tout le monde et l'audience
étaient très bonnes.
J'ai eu des démos
qui ont failli.
Je me souviens de recevoir mes réponses.
Tony était tellement calme
quand sa démo s'est faillie
en plus de 5x5
pour être cool en interprète.
Je me souviens
d'avoir été un peu plus calme
que pour moi.

de l'air.
Je sais, mais je ne vais pas
arrêter.
Si tu es en stage,
c'est comme, non, tu vas travailler.
Parce que parfois je peux récover
ou récoder le truc.
C'est bien
quand tu as des audiences
de manière généreuse.
Je pense que dans notre industrie,
par exemple,
peut-être que je suis heureux, mais les audiences
sont très forgées.
Ils doivent être à me entendre et me parler,
je pense.
Quand je parle
aux gens qui sont considérés en leur donner
un truc à un meet-up ou un travail,
ou ils pensent qu'ils sont en train de s'appliquer
à leur première conférence, un piece de conseil
que quelqu'un m'a donné
est que l'audience
veut que tu succéres.
Il n'y a pas de meet-up,
et ils disent, je l'espère que le présentateur
s'occupe.
Ils tous pensent que tu es bon
et qu'ils te sont tous en train de te faire souffrir.
Et les gens en audience
n'ont jamais fait une présentation
avant.
Et les plus probablement sont
les prospectus intimidés,
donc ils sont impressionnés que tu le fais.
Ou ils l'ont fait avant et ils savent
comment malheureusement c'est.
Et donc d'ailleurs, ils tendent à avoir
un ton d'empathie pour la personne en-bas.
C'est très rare.
Les gens sont comme, j'espère que tu le sors.
Et c'est usually a person
que tu connais personnelly.
Et peut-être que tu, je ne sais pas,
as une situation rare pour...
En général, les audiences sont
comme, je veux cette personne, c'est génial.
Je suis totalement en train de les routir.
Avant ma première présentation
à l'époque où je n'étais pas au travail,
j'étais dans la chapter
de l'Awasp.
Et avant que je l'aie,
j'étais la leader de la chapter
pendant quelques années à ce point.
Donc, à la plupart des gens dans l'audience
sont mes amis. Et pour moi, c'est le plus terrifiant.
Parce que je me dis, je me dis,
je t'ai pas pensé beaucoup.
Tous les gens sont incroyables.
Et je sais que tu es personnelly,
donc je sais comment tu es.
Et donc pour moi, c'est plus fiers
que des étrangers. Et un de eux m'a dit,
il m'a dit, ne t'en comprends pas,
on t'aime.
Vous êtes notre leader de la chapter.
Vous êtes comme la maquette de la chapter.
Si vous vous allez là-bas
et vous vous arrêtez,
on vous dit que vous avez fait un bon travail
parce que nous sommes tellement heureux
que vous êtes content.
Vous êtes excités et vous avez
présenté ou hosté
pour des années. Et maintenant,
c'est votre chance de s'appuyer.
Et nous sommes tous très excitées pour vous.
Et je me dis, oh, je ne pense pas de cette façon.
Il est comme, nous ne sommes pas là
pour vous, nous sommes là pour vous soutenir.
Donc, allez-vous être incroyable.
Et je me dis, oh, merci Alex, c'est génial.
Et je me sentais tellement plus bien.
Et tous ces différents gens
de ma chapter,
j'ai demandé à leur faire des pratiques.
Et puis ils sont dans l'audience.
Ils me disent, allez-vous, Donny, allez-vous.
Et je me dis, oui, très supportif.
Et donc, si vous êtes là-bas
et que votre démo s'est faite,
remercie-vous, tout le monde
veut votre démo pour arriver.
Et tout le monde est certainement
pour vous.
Et quand quelque chose d'a été arrivé,
j'ai juste essayé de le remercier.
Et puis je me dis, ok, cool-down,
juste focussons sur ce que c'est pas correct.
Et on va nous faire le bâtiment.
Oui.
Je suis juste inquiétant.
À un moment, tu as dit que personne ne veut pas que ça va falloir,
si c'est quelqu'un qui le connaît.
Ça ressemble à une histoire, ça.
Je n'ai pas eu ça avant.
Mais mon premier talk de conférence
j'ai fait un démo et le démo s'est faite.
Invenonc à moi,
quelqu'un a hacké ce démo
sur le site de la nuit
avant, parce que j'avais pratiqué
dans l'année avant. Donc, à un moment, quand j'étais
dormant et j'avais basicement
étendu le site.
Et je n'ai pas vu que mon démo s'est faite.
Et j'ai essayé de beber de fois et je me dis,
bien, c'est quoi, tu prends la picture,
tu es le hacker, tu comprends.
Et puis je continue. Et puis un
speaker après ce matin.
Donc, l'anglais était son second
langage. Et je savais
ce personne et je pensais qu'il m'a aimé
et il a dit durant son talk,
que, comme on le sait,
certaines personnes connaissent vraiment la sécurité
et certaines personnes ne l'aiment pas, comme on l'a vu
dans Tonya's Talk.
Et il était...
Donc, il m'a dit qu'il y avait un pin
qui a fallu et vous l'avez entendu.
Tout le monde était tellement calme.
Et je me sentais malade.
Je me suis dit, oh mon Dieu, c'est tellement mignon.
Je me suis essayé tellement malade.
C'est ma première conférence.
J'étais aussi la première femme à parler à cette conférence
et j'avais été existé pendant 10 ans.
Je suis la première femme à parler.
Et puis mon talk s'est traché
par un autre speaker en stage.
Et après qu'il s'est arrivé à moi,
il m'a dit, tu as aimé la jolie?
Et je lui ai dit,
quoi jolie?
Et il m'a dit, je dis,
certaines personnes ne connaissent pas la sécurité
et certaines personnes l'aiment vraiment.
Comme Tonya.
Et je lui ai dit, non, c'est pas ce que tu as dit.
Tu as dit au contraire.
Et il m'a dit, oh mon Dieu.
Et puis il était tellement assis.
Et il m'a dit, je me suis dit,
je peux aller en stage et m'apologiser.
Oh mon Dieu.
Et il a un grand accent quand il parle.
C'est vraiment clair.
C'est sa seconde langue.
Et il m'a dit, j'ai eu un hug.
Il m'a dit, oh mon Dieu, je suis désolé.
Et alors il était super bizarre
en essayant de lui expliquer à tout le monde
pour le reste de l'après-midi.
Mais je lui ai dit, oh je pensais que tu es
comme Tonya, c'est un pote.
Et il m'a dit, non.
Et alors il m'a dit,
Oui, mais sérieux,
l'élection de l'audience était
c'est toi, mon ami, et on ne vous aime pas.
Et il n'a pas eu presque le plaisir
de applaudir au cours de sa parole,
parce que les gens m'ont dit,
comment tu as insulté
ce joueur-lui?
C'est comme sa première fois.
C'était intéressant de voir
comment l'élection de l'audience est de moi,
et oui,
il y avait de...
Oui, et ce n'était pas pour la purpose.
Et ce qui a fait ça moins bizarre.
Mais dans tous les couples
que j'ai fait,
J'ai seulement trois fois que j'avais un membre d'audience qui était un problème pendant l'élection.
Et je les ai faits, je suis désolé.
C'est une chose que les femmes ont peur beaucoup.
Elles ont peur que quelqu'un d'entre elles sera vraiment malade.
Et l'élection, je me souviens d'avoir un problème.
Et je me disais, « Sir, zippez-le.
Les gens sont ici pour me entendre.
Pas pour entendre un monologue de vous.
Vous n'avez pas demandé une question, et il est comme, je suis en train de le dire.
Je suis comme, « En fait, vous êtes prêts et vous pouvez s'y tromper. »
Et il était comme, « Quoi ? »
Et il était en train d'être vraiment malade.
Et juste de se tromper sur le sol.
Et il était comme, « Non, je suis comme, « S'y trompe. Vous êtes prêts. »
« Est-ce que quelqu'un d'autre a une question ? »
Et le prochain jour, il m'a dit, « Je peux s'y tromper un biais ? »
Parce que je pensais tout le temps à votre parler.
Et pourquoi je suis tellement déçue,
et c'est pour ça que les équipes de sécurité peuvent parfois être vraiment les développeurs de la softwares.
Et pour que nous puissions travailler mieux ensemble.
Parce que ça va arriver avec un meilleur software en fin.
Et des manières où nous pouvons nous faire mieux ensemble.
Des manières où nous, les équipes de sécurité,
pouvons changer le manière dont nous faisons nos procédures,
le manière dont nous communiquons, etc.
Donc, pas seulement est-ce qu'on peut travailler plus rapidement,
on peut faire un software plus sécurisé.
Et il est comme, « Je suis le gars qui dit « Non, tous les fois. »
Je fais tant de choses que vous avez dit pas à faire dans votre parler.
Et je ne pouvais pas dormir toute la nuit.
Je me suis réveillé en milieu de la nuit en parlant à ma femme.
Et elle est comme, « Je pense que vous avez eu cette jeune femme en apology. »
Et il est comme, « Je veux vous acheter un beurre. »
« Je veux vous désolir de votre honte de ma main. »
« Vous avez changé le moyen de faire mon travail de maintenant. »
Et il me donnait une grosse bouche de barres.
Et je lui ai dit, « Oh mon Dieu, c'est incroyable. »
Et oui, c'est de la même manière que ça.
Oui, c'est un bon histoire.
Parce que quand vous avez commencé à dire ça,
et comment il a été traduit,
mais le fait que, en plus de la nuit,
il n'a pas dormi et il ne s'est pas parlé de ça,
et il a complètement changé,
j'espère, le moyen de faire des choses pour les gens qui se sont allés.
C'est incroyable.
Oui.
Et ça me semble bizarre, mais j'ai eu beaucoup de femmes
de cette audience qui m'a dit,
« Quand vous l'avez dit, « Laissez-vous, sors-le, la stage est mine. »
Je pense que j'ai dit quelque chose comme « Je m'ai travaillé mon bras
pour pouvoir s'adapter à cette conférence,
et pour avoir le droit de rester sur la stage et de parler. »
Vous n'avez pas parlé.
C'est deux minutes, vous avez fait parler,
s'il vous plait.
Et elle dit, « Je ne peux pas vous le croire,
parce que comme une femme, je parle tout le temps,
je le prends, je le prends, et je me dis, « Merci. »
Parce que je vais essayer ça la prochaine fois,
quelqu'un me boule des doses sur moi, dans une rencontre.
Je vais dire, je n'ai pas fait parler.
Et elle dit, « Je dois apprendre cette phrase. »
Parce que je suis hyper sensce parce que
je никогда j'étais vit les deux moments où












la sécurité.
Je pense qu'un des choses claires est l'automation et le tournage.
Et ça me semble comme si tu as des pipelines CI, CD, tu as des tests automatisés, tout ça.
Presumement, il y a un grand problème sur le tournage et cette sécurité de test.
Dan, c'est un temps très intéressant.
Quand j'ai commencé l'app sec, tu fais basicement SAST et DAST.
SAST est l'application de la sécurité de la sécurité.
Les outils d'origine, ils se feront de la perte sur l'app.
Je ne sais pas si tu as pris une classe de compilers, mais j'ai créé un compilère quand j'étais jeune.
Donc ça a fait du sens dans mon cerveau.
Et ça fait une execution symbolique, comme en regardant l'ambiance de la vulnerability.
Et il y aura des positives et des positives.
Et il y a des tests de sécurité dynamique.
Ou, comme je l'ai préféré, je le dis.
Et ça interrompe avec l'application.
Et tu utilises l'application et tu l'as regardée.
Et ça t'envoie ses propres requests, les réponses et ça t'envoie des taxes pour toi.
Et ça interrompe, si l'app fait de la chose, c'est dynamique.
Et je l'ai appris les tests dynamiques et puis des tests de sécurité manuel pour devenir un test de la sécurité de la sécurité.
Et pour moi, je l'ai trouvé beaucoup plus facile que les analyses statiques,
parce qu'il y a juste tellement de positives et je ne savais pas comment faire la différence.
Pour un long temps, ça m'a pris des années pour me faire des tests de sécurité.
Mais si tu...
Je me rappelle vraiment, mon premier test de la santé, mon professeur,
sur une semaine, il m'a dit que si tu commences le mois de la semaine,
s'il te plait, appuyez sur le Burp Suite sur le week-end.
Parce que le mois de la semaine, à 5h00, tu faises ton premier test de santé.
C'est terrible.
C'est tellement terrible.
Je me suis dit que c'était très dur.
Je me suis dit que c'était très dur.






Et je me suis dit que c'était très dur.

Et je me suis dit que c'était très dur.
Et je me suis dit que c'était très dur.
Et je me suis dit que c'était très dur.
Et je me suis dit que c'était très dur.
Il y a déjà 50 ans.
Et ils me sont dit que non, on va faire des tests.
C'est pour les développeurs de la santé.
Pas pour les professionnels de sécurité.
Je ne veux pas que tu ne sois pas bien pour faire une semaine de travail.
Tu peux presser les 5 boutons et aller.
Et ce ne sera pas un masque.
Et c'est parfaitement safe.
Et donc nous faisons ça pour les professionnels de sécurité non-sécurité.
Donc tu peux aller et trouver des choses très vite.
Et je me suis dit que je peux me dire plus sur ce.
Je ne peux pas accidentement détruire mon entire database.
Dis-moi plus.
C'est toujours un bon signe.
Et donc il n'y a pas juste de bruit.
Il y a beaucoup d'autres entreprises qui font des innovations très cool.
Il y a beaucoup de entreprises qui spécialisent les appui-des.
Il y a une entreprise qui s'appelle 42 Crunch.
Je ne les ai pas achetées.
Je ne les ai pas.
Et ils ont un site de blog qui va auditer
votre file de définition ou votre schéma pour votre API
et ça va vous faire harden.
Donc c'est comme, hey, vous devez mettre ça et ça.
Et vous savez que vous avez mis ça ?
Et je me souviens d'utiliser ça à un site client.
Je me suis dit que je me suis dit que je suis un genius.
Merci, mon ami. Et c'est gratuit.
Et donc si vous, comme développeur,
vous allez voir toutes les différentes plugins.
On dirait que vous utilisez des codes de visual studio.
Ou vous utilisez IntelliJ ou Eclipse.
Donc ce sont tous super populaires.
Il y a beaucoup de cool plugins qui sont fréquents.
Et je pense que c'est incroyable.
Je me sens comme si le monde était votre oyster
maintenant en tant que développeur de software.
Donc vous pouvez placer beaucoup de choses dans votre IDE.
Donc plus tard, vous êtes dans le système de développement lifecycle.
Puis durant le CICD, vous pouvez ajouter plus de choses.
Donc vous pouvez faire des tests de sas et de das
et il y a des nouvelles tools de génération stade.
Vous savez, ils sont en 10 minutes en 10 heures.
C'est vraiment incroyable.
Ils font leur analyses dans un tout nouveau moyen.
Mais il y a aussi, je ne sais pas si vous avez eu ça.
Mais quand je suis le chef de la scène,
j'ai travaillé quelque part et on a acheté un peu d'autres places.
Donc j'ai eu 5 équipes sous-mé.
Et ils ont pris un total de 72 apps.
Mais en fait, c'était près de 100. Ils n'ont pas de liste.
Et donc on aurait un problème de sécurité.
Et je suis comme, ce n'est pas sur ma liste.
Quoi? Je suis responsable de ces deux?
Vous avez pu me dire ce que je suis responsable de.
Et donc, nous avons fait un grand exercice d'inventory.
Et ça a été pour toujours, Dan.
C'était beaucoup de travail, c'était très expensif.
C'était très manuel.
Et cette année, 4 différents start-ups
ont été créés avec des tools automatiques
qui vont trouver toutes les apps web et les APIs.
Ils ne vont pas trouver des choses à voir, etc.
Comme des apps de formes de Windows.
Ils ne vont pas trouver ces choses.
Mais ils vont trouver toutes les stuff web.
Je suis comme, ce n'est pas grand.
Et donc, je vois des trucs cool et cool.
Et c'est très excité d'être un nerd dans ce space.
Et parce que je suis un peu de followers Twitter
et un blog populaire.
À times, je peux faire des compagnies et leur demander un démon.
Et ils disent oui.
Donc je vois ça en première place.
Je les invite souvent pour le démon pour la communauté purple.
Et ce n'est pas une piste sales.
Vous vous montrez toutes les trucs cool.
Mais c'est ça.
Vous vous demandez des questions.
Vous vous montrez un démon.
Et puis vous ne pouvez pas les démonter après que vous vous trouvez.
Si vous êtes intéressés.
Et donc je vois des trucs cool et cool.
Comme ce n'est pas grand.
Ce n'est pas grand.
Et donc, c'est très fascinant pour moi.
Toutes les nouvelles innovations cool.
Et même les plus anciennes entreprises
sont innovées dans des nouvelles manières.
Comme une company qui fait des sasques.
Comme le plus grand.
Ou une autre.






Et puis, c'est un style original, unique.
Et puis ils font un scanner dynamique qui clique dans.
Et donc ils sont correlés leurs résultats ensemble.
Pour vous donner deux versions différentes de la même bug.
C'est super cool.
Oui, donc je suis très heureux de voir ce qu'il y a.
Je t'aime beaucoup comment tu es entouré.
Tu as dit que le début de la vidéo
pour moi de me chercher à l'app.
C'est un peu...
Ça ressemble vraiment fascinant.
Je suis vraiment fasciné.
Je suis vraiment fasciné.
Je suis vraiment fasciné.



Je suis vraiment fasciné.


Je suis vraiment fasciné.
Je suis vraiment fasciné.
Je suis vraiment fasciné.
Je suis vraiment fasciné.
Je suis vraiment fasciné.
Je suis vraiment fasciné.
Je suis vraiment fasciné.
Je me suis trop fasciné.
Tu me sais quand je vais plans Googlealing,


Oui, Too Lazy,




Oui c'est va le malague été repos,
il faut pas des scanned Pour Revers,
Rah Vincent.
Il faut des pasa de la P contraste.
5 SecretOI.
des services de test mobile, je ne sais pas ce qu'ils se sont dit, c'est ce que je pense,
j'ai été bloqué sur ça, parce que ça teste beaucoup de différents devices mobile.
Tout le temps que tu fais un change, tu ne peux pas gagner tous ces tests,
mais avoir des gates différents, qui ont gagné différents niveaux de tests,
selon ce que tu changes, ce genre de choses. C'est tout, assez fascinant.
Un autre truc que j'ai trouvé, c'est que je me rappelle dire à quelqu'un,
je vais essayer de faire toutes ces choses dans le pipeline de 1release,
il est là, tu es plus loin que 1 pipeline, je lui ai dit, arrête, vraiment ?
Et donc je réalise, je pouvais avoir la pipeline de 1release qui
eventually va au prod, mais pour chaque édition de 1release que ils ont fait, j'ai eu un 2re pipeline
qui se ferait rentrer le matin et c'était le plus grand, fais ce 6 heures de scan,
fais tous les choses, et j'ai eu à créer un container docker à l'intérieur de mes actions de
faire le container, c'est très cher, et je n'ai pas besoin de maintenir ça tout le temps.
Et donc je vais venir le matin et j'ai eu un reportage dans mes emails, et ils
encore ont pu faire le 1release la nuit dernière, parce qu'ils n'ont pas eu tout les tests super
critiques que j'ai passés, mais c'est comme, oh, j'ai trouvé des choses medium,
je veux parler de ces, tu as du temps plus tard cette semaine,
je veux voir un peu de ces tests dans ton nez, ou un peu de ces tests qui peuvent
juste aller dans le backlog, et un peu de ces tests que je vais bien faire.
Et donc, en étant capable de avoir plus que 1 pipeline rentré en même temps,
et 1 juste va vraiment longtemps et ça ne fait pas de 1release réel,
c'est juste, c'est fémoral, ça disparaît, j'étais juste comme, oh,
mon Dieu, je me sens comme si j'avais beaucoup de pouvoir comme personne de sécurité,
comme, tu sais, tu dois négocier si tu es ajoutant quelque chose d'autre que la pipeline,
comme, peut-je avoir 8 minutes, s'il te plaît, mais si tu fais ta propre pipeline et c'est
asynchronous et ça ne fait pas de ployer n'importe où, je peux avoir 18 heures si je veux,
je n'en ai pas, n'importe où, parce que c'est mien, et comme professionnelle de sécurité,
comme, quand j'ai ce pintester en juin, donc pas seulement je n'ai pas d'externe
consultateur, mais je suis en juin. Et j'ai toujours regardé un peu jeune pour ma vie,
alors que tout le monde s'y pense que je suis un enfant, j'ai dit, je ne suis pas un enfant.
Finalement, j'ai eu la Young for My Age, donc tout le monde s'en pense que j'étais un enfant,
je suis comme, non, je ne suis pas un enfant, j'ai vu la voiture et je suis le 90.
et je peux vraiment le mettre à ses limites et je ne suis pas le plus délicieux d'un autre jour,
je ne fais pas quelque chose de super expensif pour ma organisation,
je n'ai pas trouvé... je ne suis pas sûr... je me sentais libre,
je me sentais libre de faire le travail que j'ai vraiment voulu faire,
parce que Dan, je ne sais pas si vous avez jamais eu de travail sur quelque chose qui a besoin de stress de stress.
Donc, il y a longtemps, quand j'étais un dév, j'ai fait une app et j'ai eu un leak de mémoire.
Et j'ai fait une grosse décision, ça m'a emmené à mon temps à ma collège.
Et j'ai eu un leak dans la recoursion.
Et c'était un petit leak et j'ai juste crassé le prode 9 fois dans 40 minutes
et tout le monde était très déçue avec moi,
donc j'ai été très consciente de la mémoire depuis le moment.
Et donc, quand j'ai travaillé en élections Canada,
comme d'autres pays, Canada a un groupe qui dérange leur séance fédérale
à travers l'ensemble du pays.
Et d'autres pays, certains de leurs provinces ou d'autres pays,
font leur propre.
Et donc, nous avons un groupe au lieu d'une roulue.
Et Canada est aussi le second pays le plus grand dans le monde.
Et nous avons le Arctic.
Donc, presque tous nos pays vivent comme près de l'Université,
comme sur le bord, comme possible, parce que c'est chaud là.
Mais tout le monde dans le Arctic encore se vaut.
Et donc, notre software a dû se faire sur 32 kilobitre modems.
Si nous avons eu des leaks, ce n'était pas going to work.
Et donc, nous devions faire super intense,
créative, style de test de style
pour faire sure que c'était super vite et parfait.
Et nous pouvions le faire, parce que de ça.
Et de toute façon, c'est très excitant.
C'est très cool.
Je suis très au courant de la temps,
avant de parler de deux choses,
votre livre et aussi votre communauté, We Hack Purple.
C'est génial.
Peut-être que nous allons commencer avec le livre.
Alison Bob Lerne, Application de sécurité.
Je suis fier, je n'ai pas vraiment réveillé.
Je l'ai commencé à lire, mais j'ai regardé les contenus.
Et ça me couvre beaucoup de choses.
J'ai eu une liste de livres à faire, mais c'est vraiment fascinant.
Et c'est vraiment incroyable.
Et j'ai eu un crédit incroyable.
Donc, peut-être que c'est l'option.
Je suis le narrateur de mon propre livre,
parce que j'ai fait le travail en professeur pendant 17 ans.
Et souvent, ils ne font pas un livre en professeur.
Donc Alison Bob est des personnages de ma industrie.
Donc, quand les cryptographers ont inventé l'incrétion et toutes les autres choses,
ils veulent expliquer aux gens normales qui ne sont pas des mathématiques,
ce qu'ils font.
Et ils disent, Alison veut dire à Bob un secret.
Et elle ne veut pas qu'on le connaisse.
Et Bob doit savoir que c'est de Alison et pas d'autre.
Comment fais-on avec les compétences?
Et donc Alison et Bob sont très fameuses.
Et donc, j'aurais toujours utilisé des exemples de dire Alison et Bob.
Et donc, les gens sont disant que je devais nommer mon livre,
l'application de sécurité, le Handbook.
Mais j'ai dit, qu'est-ce que si on n'aimait Alison et Bob,
apprendre l'application de sécurité?
Parce que je les utilise constantement au niveau du livre.
Donc Alison et Bob ont tous des jobs, ils ont des familles,
ils ont des conditions de santé.
Je suis dyslexique.
Et donc, en écrire un texte, quand vous êtes une personne dyslexique,
mon livre est un peu différent.
Donc j'ai étudié comment les gens écrivent les livres
et comment les gens apprécient.
Alors que je pouvais apprendre le français comme adulte.
Donc ça va être mal.
Mais j'ai trouvé l'application de compétences très simple.
J'ai juste cliqué avec mon cerveau.
Et, vous savez,
la plupart de mes enfants et enfants sont des scientifiques.
Mes mères sont mathématiques et chemistes.
Mon père est technologiste.
Donc mon cerveau est en train de faire ça.
Donc j'ai trouvé l'application de compétences très facile.
Mais quand j'étais adulte, en essayant de apprendre le français,
j'ai ressenti le plus impossible de la planète.
Et donc j'ai étudié comment les gens apprécient.
Et il y a 21 styles de la manière différente.
Et donc j'ai décidé, dans mon livre,
que je pourrais essayer de couvrir de nombreux différents moyens.
Et c'est pourquoi j'ai trouvé très difficile d'avoir un livre audio.
J'ai étudié avec un publiciste qui était capable de faire ça.
Parce que certaines personnes doivent le entendre,
pour apprendre le français.
Et donc j'explique tous les concepts complexes
à peu près deux fois, mais préférablement trois fois,
dans différentes manières.
Donc je vais vous donner une description technique de quelque chose.
Et puis je vais dire, ici un code, ici un diagramme,
et ici une histoire de comment cela affecte Alice's vie.
Et donc il y a toutes ces histoires et images,
et des descriptions, et peut-être qu'il y a peut-être
seulement quatre pages de code total.
Mais l'idée est que, si la description super technique
fait ça pour vous, c'est génial, vous avez le fait.
Mais si vous vous dites, oh, je suis toujours un peu plus fous,
il y a toutes ces différentes manières que je vais expliquer.
Et je vais revenir à la chose, comme on l'a parlé avant,
pour un CICD, c'est-à-dire ce que je voulais,
créer le livre que j'ai eu quand j'ai commencé
dans ce field.
Et puis, pour faire le livre, c'est le plus facile possible
d'understand.
Donc, même comme ma mère et ma grand-mère
ont lu quelques chapitres,
et j'ai eu beaucoup de personnes qui me disent,
que le code de code secure est complètement
hors de ma ligue, c'est juste d'être honnête,
mais je l'ai lu toutes les choses en dessin,
et j'ai compris.
J'ai lu comment faire de la classe continue,
et j'ai compris.
J'ai lu ces différents parts, et j'ai compris,
et je n'ai pas pensé que je pouvais savoir ça.
Et maintenant, je sais.
Et je me dis, oui!
Et donc, je suis en fait...
Un peu d'années, j'ai commencé à lire mon deuxième livre,
Alessin Bob, Leur Secure Code Secure.
Il va être beaucoup plus technique,
mais il y a encore des histoires de Alessin Bob,
il y aura encore des diagrams,
et je travaille avec un humain vraiment cool,
qui va faire des tristes de comics
dans le livre,
pour expliquer...
mon premier livre est d'identité et de management d'accès,
et c'est comme...
est-ce que Tanya l'a fait?
Est-ce que Tanya l'a fait?
Est-ce que...
peut-on expliquer ça avec un cool comic?
Parce que j'adore XKCD.
Je ne sais pas si vous avez entendu ce comic.
C'est un grand grand fan de ce mec.
Je suis surpris de Bobby Tables.
C'est pas que c'est XKCD, c'est-à-dire Bobby Tables?
C'est ça, oui.
Oui, je suis surpris de ce que tu m'as mentionné,
d'ailleurs, pour être honnête.
Oui.
Et donc,
je veux,
de la manière que je peux,
de la manière que je peux,
de m'aider à apprendre.
Parce que,
ça n'existe pas quand j'ai commencé,
et quand je suis un développeur,
si je pouvais juste lire un livre qui explique,
comme,
qu'est-ce que la merde est la plus importante?
Et pourquoi fais-tu ça à moi?
Parce que,
je dois dire,
sur l'endu de la réception,
si tu ne comprends pas pourquoi ils sont en train de prendre les superpowers,
ça se sent mal.
Et oui, c'est mon but,
de faire des livres que les gens peuvent comprendre,
et,
j'espère,
d'aimer que je le réveille.
J'ai eu un peu de gens qui disent,
je me rassure,
à la suite,
de lire votre livre.
Je suis comme, oui!
Je pense que c'est ça,
tu as parlé de la nomme avant,
et
ça ne ressemble pas
beaucoup plus de fun et approachable,
que le nom,
plutôt que le nom,
que l'application de sécurité,
le livre, tout ça.
C'est pas,
ça ne ressemble pas beaucoup plus de fun.
Donc,
d'un point de vue audacieux,
tu penses que tu es en train de prendre tout?
Comme,
je ne sais pas si tu as des codes,
des pièces dans le livre,
je ne sais pas comment tu fais ça dans un livre audacieux.
Quand tu écoutes le livre audacieux,
ou tu te sens tout ce que tu aurais de la livre?
Il y a un peu de PDFs
qui viennent avec le livre audacieux.
Et je dois dire,
quand je lis le code,
ça ressemble à l'offre.
Et on ne pouvait pas
se faire faire des choses
qui sont vraiment bonnes.
Et c'est pourquoi on a fait
un livre audacieux.
Donc,
si tu veux juste le faire,
c'est tout dans votre livre audacieux.
Et c'est cette partie.
Donc,
allez à cette page.
Et c'est là où les samples de codes sont.
Et puis, il y a un graph.
Donc,
j'ai fait des histoires de sécurité
ou des cas de abuse.
Et c'est un format graphique.
Et ça aussi a été très bizarre.
Donc, on l'a aussi mis en PDF.
Donc, je suis prête que ces deux parts,
et je suis d'accord.
C'est un peu confusé
d'understre ce que je suis en train de faire,
exactement,
et de visualiser.
Et le graph,
quand tu regardes,
c'est beaucoup plus clair.
Mais le reste de ça
a apparaimment été très bien.
Et parce que j'ai fait du travail de voix
pour tant de temps,
les gens sont comme,
oui, c'est cute.
Le fait que
tu sois excité
quand tu read des parts,
et tu sais,
bah bah bah, c'est à la confiance.
Oui.
C'est un autre type de livre,
c'est pour sûr.
Et j'ai eu des reviews
qui me sentent merveilleuse.
Quand tu travailles vraiment
très bien pour deux années,
c'est assez,
j'ai eu le nerve
de mettre O dans le monde.
Et je pense que je pense que
juste mon père a pas de ça.
Et puis,
tu as aussi demandé
de faire le purple de Wehack.
Donc,
Wehack purple est une company
que j'ai commencé
qui a été appris
par la sécurité
plus tard cette année.
Et donc,
nous avons pris toutes nos classes
académiques
et les ont mis
dans la communauté
et la communauté est libre.
Et puis,
depuis que nous avons
réellement élevé
un extra cours.
Donc, je pense que
il y a des 10 ou 11 cours
dans le monde.
Et puis,
nous avons des live-events
chaque mois qui sont libres.
Et puis,
nous avons un canal
qui est juste un mien de computer.
Nous avons tous les différents
channels où les gens peuvent partager.
Et nous avons un grand
équipe de volunteer
qui nous aide à faire le tour.
Et donc,
nous avons un code strict
de conduct.
Et nous avons été
des gens qui nous ont parlé
de la fois.
Et puis,
ils ont été super
d'aussi.
Et nous n'avons jamais
eu de la chance
de faire le tour,
ce qui est super
d'aménage.
C'est comme mon préféré
de la Internet,
si ça fait du sens.
Et c'est pas
juste de l'application anymore.
Donc,
j'ai des gens qui participent
et ils font des forensiques
ou ils font des responsables
ou ils font des
traités de traite, etc.
Et donc,
maintenant,
nous avons beaucoup,
beaucoup d'émotions
que je n'ai pas
d'expert en
et que je les ai
appris.
Et donc,
nous avons en fait
des volunteers
qui font leurs propres événements
et qui font leurs propres
paroles.
Et les gens
sont en train de faire leur
première blog post
et de partager
et nous avons été
des gens qui font le pur.
Et donc,
si vous vous souvenez,
vous pouvez créer
des contenus
et partager des contenus
et faire des événements,
vous devez juste
suivre le code de conduct.
Et donc,
nous avons des gens qui
parlent de privacy,
des gens,
quelqu'un est vraiment
très excité
sur la MFA
et qu'il veut
mettre sur un événement un jour.
C'est vraiment
génial !
Et avec beaucoup de gens
en train de faire
un tweet
maintenant,
parce qu'ils sont
déçus de
des politiques,
je vais juste
dire ça.
Nous avons
50 ou 60 gens
dans le jour
où nous avons
fait le pur.
Et nous sommes
comme,
oui,
même si vous
voulez
faire des
contenus,
et faire des contenus
où vous voulez,
c'est
bienvenue à tous.
Et c'est pas
Tanya's
communauté,
c'est notre communauté.
Nous avons
fait beaucoup de choses
comme la démocratie,
donc on va
voter sur les choses.
Et
la chose que j'ai voté
pour ça,
est souvent
de win,
mais
je suis OK
avec eux
votant quelque chose.
Et je suis
comme,
OK,
je pense que nous faisons
ça sur la MFA,
tout le monde votait.
C'est ce que nous faisons.
Et
j'aime vraiment ça.
Et je me sens
que je suis
amélioré la communauté
plus,
maintenant que plus
des volanteurs et des membres
de la communauté
sont en partagés.
Parce que c'est moi
qui me présente

Et je suis comme,
je sais que moi
je veux savoir vous.
Et
ça a été
vraiment beau
pour voir
se passer
les années.
Donc nous
sommes 3 ans,
maintenant,
on est presque 4 ans.
C'est juste, c'est
trop excitant.
En tout cas,
je me dégrasse.
Je peux imaginer.
Vous m'avez mentionné
votre boucle,
c'est juste
quelque chose qui marche
très difficile.
Et en fait,
voir ça arriver,
les gens le vendent.
Nous
avons dû reprendre
cette année.
Parce que
toutes les copies sont
soldes.
Et ils ont maintenant
fait une preuve
complète.
Et je me suis
sentie.
Je suis tellement excité.
C'est tellement amusant.
Parce que
j'étais un musicien professionnel
et je faisais
une preuve de CD.
Je n'ai jamais
pu faire une deuxième preuve.
C'est tellement amusant
que tous les copies sont soldes
dans un an et demi.
Et pendant
une pandémie internationale,
je me suis sentie
beaucoup de gratitude.
Oui,
bien sûr.
Et avec les
communautés,
c'est pas
le même niveau que
j'ai fait.
Mais j'ai fait
un petit groupeur d'usages.
Et
les talks sont
juste des talks de long terme.
Mais on est souvent
des events de lignes.
C'est un peu plus
lignes.
Et la satisfaction
est quand les gens
font des talks
d'alignes,
surtout quand c'est en person,
quand c'est un peu
plus virtuel
en person.
Et tu sais
que c'est le premier temps
qu'ils ont été
dans le stage.
Ils font un talk
parce que
la communauté que tu as construite
est juste
tellement satisfaite.
Oh, oui.
C'est
vraiment...
Oui,
ça m'amuse vraiment.
Oui,
c'est ça.
Donc,
je suis sûr que
tu as un stop
assez fort maintenant.
Donc, avant que nous râchons,
où est le meilleur place
pour les listeners
pour vous en atteindre
si vous avez des questions?
Ils doivent
regarder
ce qu'ils ont fait
en purple.
Tout un mot,
tout un mot.
Et c'est ce que tu as dit,
ce qu'ils ont fait en purple.ca,
une lettre de newsletter,
un blog, etc.
S'il te plait,
visite WeHackPurple.
Donc,
tu vas juste
dans la communauté.wehackpurple.com
et je suis là.
Et évidemment,
la compagnie
qui nous a acheté,
brightsegg.com.
Donc, visite-moi
à toutes ces places
et je ne peux pas
attendre de vous.
Magique.
Je vais vous montrer
un lien à tous ces choses
dans les notes de la show.
Donc, avec ça,
je veux juste dire
un grand merci
pour les gens qui sont venus
dans le show.
C'est un chien d'aménager.
Dan, merci
beaucoup d'avoir me.
C'était un blast.
Oui, c'était super.
Et merci à tous les listeners.
Je remercie de vous rappeler
que ce podcast est
sponsorisé par Everstack,
qui est mon propre company
qui donne des services
de développement et de consultation.
Pour plus d'informations,
visite Everstack.com.
Et si vous aimez le podcast,
s'il vous plait,
vous pouvez me séparer
le mot sur social.
Je n'utilise pas le hashtag
UnhandledException
et je peux être trouvé
sur Twitter,
à Drakham,
D-R-A-C-A-N.
Et mes D-Ams sont open.
Et mon blog,
DanClaude.com,
a des liens à tous les choses
de ma société.
Et les notes de la show,
including
tous les liens
à les choses qu'on a mentionnées
aujourd'hui,
peuvent être trouvé
sur
UnhandledException.com.
...