Vous ne pouvez pas faire des tests automatique pour faire sure que vos règles de sécurité sont correctement travaillées.
Les développeurs se sont créés en ce moment, construit leur application,
ils ont mis à la production, puis ils ont fait un load de problèmes.
Ou les problèmes viennent quelques mois dans la ligne.
Nous avons besoin de meilleures outils sur les choses de production
pour les développeurs à l'intervention de la mindset de sécurité.
Bonjour, bienvenue à la podcast de DevTools,
ce podcast sur les outils de développeurs et les gens qui font les choses.
Je suis Andrew et je suis le maitre de maitre, Justin.
Salut tout le monde, nous sommes vraiment excitées de vous joindre par David Mitton aujourd'hui.
David est le co-foundeur,
l'un des co-founders de console.dev,
qui je suis super excité à ce que je disais avant que nous fassons ça.
C'est comme, on devrait en parler,
de comment faire un podcast de DevTools.
David, vous êtes aussi l'un des...
Vous êtes le founder ou l'un des founders de ArtJut?
Le founder.
Cool, cool, cool.
Vous êtes le founder de ArtJut,
qui nous sommes vraiment excitées de vous parler aujourd'hui.
C'est un product de sécurité,
qui est, je pense, un peu indiscussible
dans le monde de la fréquence et de la métaframe.
Et c'est vraiment intéressant que vous marquons
l'audience très explicitement.
Mais avant de nous en parler,
vous voulez dire à nos audiences plus en plus?
Oui, je suis David Mitton,
je suis le founder de ArtJut,
aussi en lien dans le console.dev,
comme vous l'avez mentionné,
DevTools newsletter,
ce que j'ai fait pendant 4 ans maintenant,
j'ai commencé ArtJut juste un an plus tard,
en juin 2023.
Et puis avant ça,
j'ai créé un start-up de la montagne de Cloud,
que j'ai créé en 2009,
et j'ai été installé en 2018,
j'ai été avec l'acquireur,
un path de stat pour environ 18 mois,
et ensuite j'ai fait un stint
en compétition de sustainement,
puis j'ai décidé de retourner
à DevTools et d'infrastructure
et de programmation au console.
C'est un question qu'on veut en parler du console,
avant de nous en parler de l'autre.
Comment vous faites de la sustainement
de Write a Newsletter?
Nous avons une newsletter
que je n'ai pas créée en longtemps,
parce que c'est vraiment
difficile de faire ça,
mais je suis intéressé à votre procès.
Je joue toujours avec des nouvelles outils,
des gens me sentent des choses,
je vois des choses sur Twitter,
et par la construction d'artjet,
j'ai dû utiliser beaucoup de ces outils
plutôt que de jouer autour.
La toute idée avec le console
est que je suis en train de faire les choses
qu'on est plus vides avec.
Ce n'est pas juste ce qui est nouveau
ou ce qui est cool.
Certaines des choses que je réveille
sont assez âgées,
mais je l'ai mis à l'écart,
ou j'ai commencé à l'utiliser,
et je pense que c'est vraiment intéressant.
Et c'est à dire que,
comme je suis en train de lire,
on a un outil qui s'inscrit
à environ 1,5 000 blogs,
ou des vendeurs différents,
d'open source, de Reddit,
tout ça,
ça se trouve dans ce outil,
et ça s'envole des choses comme
ce qui est un release beta,
et ça s'applique à un database de notion
que nous avons,
mais je me laisse juste une liste
des choses que je vois tout le temps,
et puis chaque semaine,
parce que c'est un outil de week-end
sur Thursday,
ça se passe sur Thursday.
Normalement, sur Tuesday,
selon quelle zone je suis en,
sur Tuesday,
je vais mettre la newsletter
et prendre quelques heures
en évaluant les reviews.
Les reviews sont seulement 300 personnages
de ce que j'aime et ce que je n'aime pas.
Donc ce n'est pas un réveil super en-depth,
mais c'est juste un couple de points
de la chose qui est intéressant.
Mais il y a aussi ce que je n'aime pas,
ou ce n'est pas vraiment
ce que je n'aime pas,
parce que je n'ai pas de choses
dans la newsletter
que je ne pense pas que c'est bon,
mais c'est plus comme,
ici sont les choses que vous pourrez
aller voir si vous allez l'utiliser,
ou si vous pensez être à l'aise
ou des limitations.
Et l'idée est que,
si vous êtes
l'auteur de ce tool,
ce n'est pas une surprise,
ce n'est pas moi
juste en déclamant le tool,
ce sont les limitations
parce que ce n'est pas parfait.
Et donc, ça va dans la newsletter
et ça ne fait que quelques heures
pour mettre ensemble
parce que nous avons automatisé
la plupart de ça.
La création de la newsletter
d'une semaine,
mais c'est ce processus
en arrière à la semaine
tout le temps
que je vois
qui va juste dans une longue liste.
Des idées intéressantes là-bas.
Nous avons vécu de l'avant
d'automation dans notre newsletter,
mais c'est intéressant de voir
que vous vous avez l'aider
complètement dans ça.
C'est l'automation de la discovery
et puis de créer la HTML
pour la newsletter.
Je vais faire les reviews
dans Google Docs,
les couper dans la notion
et puis mettre un bouton
et ça génère l'email.
Donc, il y a une automation
là-bas, mais ce n'est pas comme
je vais demander
une LLM
pour faire la review
ou quelque chose comme ça.
C'est été suggéré
et c'est sur la liste de ma
to-do liste
pour essayer et voir
si ça va donner
des insights intéressants.
Mais des outils sont nouveaux,
donc ce n'est pas
qu'on va le savoir
ou ce n'est pas
que les nuances
pour faire des choses.
Donc, ça va probablement
arriver à être plus d'effort
que c'est plus
de faire un fait de check
tout à l'heure.
Mais ça va être
un expériment fun
à un moment.
Je suis excité
à l'enquête
où toutes ces solutions
que lLM a
ont,
on peut juste être
comme,
oh,
s'il vous plait,
implementez ce truc
parce que plus que l'un,
j'ai vu un API
suggéré à moi
et je suis comme,
c'est le gold
un API
et ça ne marche pas.
Tout le API ne marche pas,
c'est vrai.
Et j'ai eu
cette interaction,
une interaction de support
avec le WordPress.com
et je me suis demandé
est-ce qu'il y a un API
pour faire ce truc?
Et le support
a généré
une complète documentation
de cet API
à un point où il n'existait pas.
Et j'ai émailé
et je me suis dit
ce n'est pas vraiment
qu'il existe.
Est-ce que c'est
juste parce que c'est
derrière un flag de feature
et ce n'est pas disponible
ou est-ce que c'est pas
vraiment là
et ce n'est pas là
qui est pointé?
Donc, on parle un peu
de l'application de console
ou de l'application de console.dev.
Donc, vous avez dit
avant que
vous n'avez pas de recours
maintenant,
vous faites ça en saison
donc vous êtes
en train de s'attendre
jusqu'à la prochaine saison.
Qu'est-ce que votre processus?
Je vous ai co-hosté
avec Jean Young,
qui est le co-founder
de Vakita Software
qui a été acquièdé
par le poste.
Et elle est maintenant
travaillée sur
le tour de l'observabilité
de poste.
Et on a décidé
que nous allions
se faire ensemble
et faire le podcast
où nous allons interviewer
des gens intéressants
dans DevTools.
Et donc,
l'idée était
qu'on n'aurait pas de
faire ça chaque semaine.
On a voulu un time boxé
et donc on a décidé
de faire 10 ou 12 guests.
On a fait une liste
de les topics
qu'on voulait recouvrir
et ensuite on a essayé
de trouver le numéro 1
de l'une de nous
qui pensait
que ce serait le plus intéressant
de parler
sur ce sujet.
Et puis,
dans un moment
de quelques semaines,
on a récouru
tous les épisodes
et on a les plus produisants
et puis nous avons élevé
les épisodes comme une saison.
Donc, c'était plus de 12 semaines
mais on l'a récouru
dans le espace
de quelques semaines.
Et ça
était très intense.
Mais ça nous a permis
de prendre le temps
sur chaque épisode
et de ne pas avoir le sens
comme avec les épisodes.
C'est chaque semaine
que je dois produire
chaque semaine.
Je suis sûr
que vous faites
ça avec le podcast
aussi.
Et en essayant de
faire le temps
de faire les guests
qui ont été réschéchiés
et puis de réschécher
et puis de se faire
tout.
On n'a pas voulu
avoir ce stress.
Et aussi, dans la première
saison, on n'a pas
vu que personne
va le entendre.
Donc, on s'est dit
« Allez, fais-le
les épisodes fixés.
Dis-le si c'est intéressant.
Et si on veut continuer
à faire ça,
ou
on a eu assez de fun,
on pourrait faire
d'autres semaines.
Et donc, on a fait
trois semaines,
je pense.
Mais
j'ai commencé
l'archjet
et j'ai pas eu le temps
de faire ça.
Et Jean a été
appris et elle n'a pas
eu le temps.
Oui, les projets balancés
avec un podcast
week-to-week
n'est pas un bon travail.
C'est un travail

Je veux
changer
un autre topic.
Nous aimerons
arrêter et remercier
notre sponsor pour la semaine.
Mux.
Mux est une plateforme

qui fait que l'adaptation
de votre produit
est plus facile
d'adapter un API.
Le vidéo est
très difficile à ajouter.
Il y a beaucoup de choses
qu'il faut penser à.
C'est un medium
technique
et
la délivration
est pas facile.
C'est où
Mux vient.
Ils ont des SDKs
et des components
pour ajouter une
compétition de qualité
de vidéo à votre app
une approche.
L'un des points
de la plateforme

qui me imprime
est leur data.
J'ai introduit un nouveau
fonctionnement
qui s'appelle
long terme storage
où vous portez votre data
jusqu'à 13 mois
et vous pouvez
voir des choses
comme
engagement

tout ce qui est accessible
à l'aide de leurs dashboards.
Je peux facilement
voir
comment avoir
accès à des insights historiques
qui peuvent vraiment
être valables
pour comprendre les trends.
Planser
et faire des décisions
de données.
C'est cool
de voir Mux
donner à leurs clients
plus d'options
et de flexibilité
quand il s'agit de
détruire
et de analyser
leur data.
Donc si vous voulez
ajouter une plateforme de vidéo
et que vous ne voulez pas
prendre des semaines
ou même des mois
en pensant
sur les détails,
allez au Mux.com.
Vous n'avez pas envie
de voir ces ades anymore?
Mais venez un membre
sur l'un des différents
des canaux que nous offrons.
Avec ça,
vous allez avoir
nos épisodes un peu plus
plus tard
et complètement adfrôler.
Avec ça,
on va le faire.
Maintenant,
c'est un sujet
qu'on a étendu
quelques fois
sur le podcast.
Je l'ai toujours trouvé
très drôle
sur Twitter
où durant le boom
les gens sont comme
Oh,
crypto-bad
utilise les compétences
beaucoup
et puis on arrive
à la boom
et personne ne le craint
plus.
Donc,
pouvez-vous nous dire
sur la compétition sustainable
et comment
notre monde
currently
de la compétition
ne pourrait pas
être le meilleur
pour notre environnement?
Alors,
j'ai été en compétition
en compétition sustainable
après acheter
ma première compagnie
en 2018
et je pense
dans
les zones
de l'univers
qui sont
intéressantes
et importantes
et le changement climatique
qui est
venu de les startups
et de la tech
je n'ai pas de rien
à dire.
Et donc,
j'ai décidé
de faire
un degree de master
en technologie environnementale
et de
m'aider
dans la science.
Mon undergrad
en law
en salle de la
programmation
donc
une zone
complètement différente
n'a rien à faire
avec la science.
Et donc,
j'ai besoin
de m'aider
dans la science.
Et donc,
j'ai fait
ce degree de master
et c'était très,
très très grand.
C'était tout ce que
vous pouvez penser
de l'environnement.
On a découvert
le management des fichiers
pour avoir
le système d'énergie
qui a travaillé
et tout en-delà.
Et puis,
dans la dernière partie
de la master,
j'ai décidé
de spécialiser
l'énergie
parce que je pensais
que c'était
le plus applicable
et nous avons visité
un plan de pouvoir
et nous avons
appris
comment l'électricité
fonctionne
et comment
les grises
de l'électricité
se sont allées.
Et
à ce point
en temps,
il n'y a pas
beaucoup de gens
qui regardent
ce que je disais
sur le comportement sustainable
ou la consommation d'énergie
de la classe d'it
des centres de données.
Il y a un couple de groupes de recherche
c'était probablement
10, 15 personnes
dans le monde
qui ont publié
sur ceci
sur une base régulière
en académie.
Les big tech companies
font des choses.
Google
a fait beaucoup de travail
Microsoft
Amazon est un peu plus
plus lent
ils sont un peu moins
transparents
dans ce qu'ils font.
Mais ils font des choses.
Mais il n'y a pas vraiment
vraiment
une vraie base
autour de ça.
Et donc,
je pensais que ce serait
intéressant
parce que je suis venu
à l'adaptation
d'une perspective
de la compétition
mais la plupart
étaient invités
par
l'énergie science
d'enginérements
de choses.
Et je pensais que je pourrais
combiner les deux
de faire ce master
de l'université
de l'université
de l'université
pour un peu plus.
Je pensais que je pourrais
mettre plus
sur le côté de la compétition.
Et donc,
l'idée est
d'avoir un comportement

pour pouvoir
continuer de
augmenter
notre usage
de compétition
et de la technologie
alors que, en même temps,
la compétition
de l'impact environnementale
est

Et quand les gens
parlent de l'impact environnemental,
ils en ont primairement
le footprint de carbone
et, généralement,
le footprint de l'électro-
qui est assez précis.
Mais c'est plus
plus grand que ça.
Il y a la consommation de l'eau,
des centres de santé,
des conditions d'air,
même des mécanismes de production
mais aussi
de la manufacturing
et de la mining
des matériaux
pour créer des computers
et des centres de santé
et tout le monde
qui va le faire.
La plus facile
que les gens pensent
est le footprint de carbone
parce que le goal est 0.
Vous allez pour net 0
ou 0 carbone
et c'est vraiment
facile à comprendre
parce que c'est
le goal de 0.
Quand il s'agit de la footprint de l'eau,
c'est un peu plus
vague.
Ce n'est pas nécessairement
0
que nous sommes souhaités pour.
Il dépend vraiment
de la location
parce que si vous êtes
dans un endroit
où l'eau est stressée
vous voulez donc
faire le plus vite possible.
Mais si vous êtes
dans un endroit
où vous vous mettez votre data
à la surface
ou à la l'eau,
la consommation de l'eau
est un facteur
mais ce n'est pas
le plus important.
Il y a beaucoup plus de trade-off
autour de là
et les gens
sont beaucoup plus compliqués
et complexes
à discuter.
La idée
d'avoir un comportement
de compétition
est d'understand
quand vous faites
quelque chose
sur le computer
sur Internet.
Qu'est-ce que le footprint
d'énergie
et qu'est-ce que
le footprint
environnemental
de ça ?
Comment nous
comment nous
on utilise
moins d'énergie
quand
largement notre monde
a bougé
à la plage.
Tout le technologie
qui est
sur la plage
est toujours
une
opération
en train de s'occuper
dans la plage.
Comment nous nous passons ?
L'énergie
d'énergie
a augmenté
significativement
et la demande
pour la compétition
a été
assez découplée
d'un impact
d'environnemental.
Si vous
compétissez
dans 10, 15 ans,
l'incrédence
de la compétition
a été
100, 100, 10 000
fois,
alors que
l'énergie
d'énergie
n'a pas
encore augmenté
de quelques centaines.
C'est
encore augmenté
mais c'est
encore augmenté
à un rate
plus bas
que l'an dernier.
La
raison pour ça
est
d'efficier.
Le
cloud
est
toujours

d'utiliser
des ressources
ou d'utiliser
des ressources.

n'aiment pas
l'environnement
plus bas
que les ressources
financières
pour
maximiser
l'utilisation
de leur infrastructure.
La
majorité
de la
cost
de la
infrastructure
est
d'énergie
et donc
il y a
d'incentif

donc
de la
cloud
est
plus
bas
que
les services
dans un centre de date
typiquement
si vous pensez
sur l'environnement
de la

il y a
toutes les choses
différentes
qui sont
dans les services
mais
les gens
sont plus
dans les
jours
il y a
un cycle
d'utiliser
tout le cloud
et
il y a
d'autres
choses
qui sont
très
difficiles
pour
les
codes
pour les
impacts
le
niveau de
granularité
pour
la
observabilité
n'est pas
souvent
il n'y a pas
de link
entre
l'impact
d'énergie
et
sur
la
base
on
utilise
la software
pour
l'encoder
et
sur les computers
il va
convertir
le video
dans
la version encoded
pour
l'entraînement
et

codes
sur le computer
et ce sera
directement
pour les usages
alors que
nous

on
on
on
on
on
on
on
on
on
tu as
fears


putain
mais
bref
c'est

bouchon
c'est

on est en train de compter sur la météo.
Il n'y a pas de lien, c'est pas directement proportionnel.
Parce que la météo est prévisionnée pour la capacité maximale.
Et il utilise la même manière que d'autre.
Donc, c'était le...
l'operaire sur crypto et maintenant la génération de l'image AI.
C'est juste une bête de rage.
Avec le crypto, c'est un peu différent.
C'est utilisé en météo, c'est un peu plus proche de travail.
Donc, la CPU doit faire du travail.
Donc, ça utilise l'énergie.
Et ça a une grande énergie de consommation.
Mais quand ils changent l'algorithme,
vous pouvez voir sur les graffes de la consommation de l'énergie.
C'est-à-dire qu'il a été à 0,
quand il a prouvé la steak.
La consommation de l'énergie a presque été à 0.
C'est avec Ethereum.
Bitcoin est toujours prouvé de travail.
Et ça a toujours un footprint de l'énergie relative.
Mais la plupart des activités se sont réalisés sur Ethereum
avec toutes les différentes blocs et les tokens
qui sont construits sur le top de Ethereum.
Et donc, ça se transforme en possible.
Donc, vous devez vraiment se séparer
les différents types d'impact environnementaux.
Si vous pensez à un processus,
ça est directement proportionnel à l'usage.
Le réseau n'est pas...
Et ce sont les deux différents components
que les gens pensent.
Mais il y a d'autres impacts,
comme construire un laptop,
et manufacturer.
La plupart des gens ont l'usage de leur équipement,
presque tous leurs footprint de carbone
dans l'usage de la manufacturing de l'impact.
Et donc, le plus grand que quelqu'un peut faire
pour réduire l'impact environnemental
de l'impact de la compétition
est de acheter des choses à l'aéroport
et ne pas avoir un nouveau laptop
chaque année pour le temps de vie
de l'équipement,
4 ou 5 ans.
Surtout avec le nouveau Apple Silicon,
si on utilise un MacBook,
comme le laptop que j'ai
depuis l'arrivée de la MacBook Air,
Apple Silicon,
c'est encore très rapide.
Et vous pouvez l'utiliser pour 5 ou 6 ans.

Avant de vous en avoir besoin de le remplacer.
Alors, on va commencer par le transition
et parler de l'artjet.
Alors,
qu'est-ce que l'artjet est?
L'artjet est un SDK
que les développeurs installent
dans l'application
qui aide à construire la sécurité.
Nous avons donc les choses
comme la protection de la porte,
la validation d'émail,
et la détection d'attaque.
Et la idée est que vous le construis
comme développeur dans votre code.
Vous pouvez définir les règles
dans le code qui protège.
Et ça vous donne la réponse
pour changer la logique de votre application.
Et les développeurs peuvent le construire
en de l'un de l'autre,
ou ils peuvent ajouter
pour une application existante.
Et vous pouvez
les construire en bout de la porte
pour les features de la sécurité
de l'application,
comme vous l'avez
dans d'autres libraries.
Je vous ai dit
beaucoup sur ce podcast.
Je suis un développeur
et je ne sais pas trop
trop bien sur la sécurité.
ArcGit
me protège de beaucoup de choses,
mais
que sont-ils les choses
qui me protègent
dans le contexte de Shield?
Shield est un component WAF
et un WAF
est un application web
où on analyse
chaque requête
et regarde la activité suspicious.
La chose typique
que vous pensez
est la injection de la secréditation
ou l'attaque de la scripting.
Le component Shield
peut détecter ça.
Mais, comme tout autre WAF,
il ne bloque tout de suite.
Les deux attaques
ne sont pas les premières.
C'est normal
que quand vous vous approchez
d'une application,
vous allez prendre un peu de temps,
vous envisagez un réquest,
vous verrez ce que c'est en faisant,
vous verrez comment ça répond.
Et puis, en temps,
vous pouvez voir
si il y a des vulnerabilities
où elles sont.
Et ce processus
d'approcher
d'une application
est ce que nous détectons.
Donc,
cela aide
à réduire
le nombre de positives falses
parce que la dernière chose
que vous voulez
c'est d'avoir quelque chose
que vous pensez être suspicious
et que vous vous bloquez
quelqu'un qui est en train
de acheter un produit
sur un site web
ou de vous aborder.
Donc,
nous avons utilisé
le profil
de la réquestion
dans un temps
pour décider
si nous pensons que les réquestions
sont suspiciouses.
Et puis,
nous retournons le résultat
pour vous.
Comme développeur,
vous pouvez juste
accepter ce résultat
et ça peut être
bloquer les réquestions.
Mais,
plus souvent,
vous voulez probablement
prendre des actions customes.
Donc,
si les utilisateurs sont
déjà authentiqués,
il peut être flagré
et vous décidez
que c'est possible
d'avoir des réauthentifier.
Est-ce que vous pouvez prouver
qui vous êtes?
Ou vous voulez
protéger votre API
d'abus,
des sujets
de réquestions
qui vous permettent
d'avoir un user
anonymé
et que vous voulez
appliquer un certain
limiter de rate.
Mais si c'est
votre plus grand
payinge customer,
vous ne voulez probablement
bloquer les réquestions.
Vous voulez juste
décider un alerte
pour votre équipe
pour que vous puissiez
se réacheter
et dire que vous faites
avec votre API.
Est-ce que vous pouvez
changer votre design
ou vous voulez
payer plus
pour vos quotes
ou quelque chose comme ça?
Et l'idée
avec ça,
c'est que vous pouvez
faire ces décisions
très granules
parce qu'on a
le contexte
de la réquestion,
le contexte

où est-ce que vous avez
l'application,
qui est authentiquée,
votre succession.
Qu'est-ce que vous voulez
faire
pour un développeur
plutôt que
quelque chose
qui est generique
et qui s'étend
sur la météo,
qui n'a pas l'air
de votre application,
de votre stack,
de votre building
et de votre bloc
de question
sans vous
savoir
ce qui se passe.
Je veux parler
de l'approche
que vous avez
pris
parce que c'est
un peu différent
que ce que vous avez
vu dans le passé.
Vous avez mentionné
que l'Archjet
est un SDK.
Vous avez
beaucoup d'exemples
sur votre page
de l'intégration
en NGIS
ou Next.js
ou un peu
de différents
frameworks.
Vous avez sorti
de la
l'Archjet SDK.
Vous avez
l'aider.
Vous avez la
l'aider
et des règles
que vous voulez
configurer.
Et puis
à base
sur ce que vous avez
fait,
si vous avez
l'aider
vous pourrez
avoir
une petite
couche
qui est
en train
de
détenir
les réquises
et de
voir
ce que vous avez

Vous avez
envoyé
une trempine
et vous vont
passedes
ce Cast
l'afuse est
spécifique
aujourd'hui
il y a un
moyen
d'être
Colleté
dont vous vous
pouvez
croire
que
c'est



vous
ca
est
tout
Donc, vous voulez commencer par là ?
Oui, nous avons des perspectiveurs de développeurs qui ont probablement essayé de résoudre un problème,
plutôt que de penser en sécurité.
Les exemples communs sont de les signes spam.
Pour résoudre ce problème, vous devez faire des limites de rate,
parce que vous voulez juste faire sure que les gens normalement se soumettent de la forme,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que les gens ne sont pas en train de faire des limites de rate,
et que l'on se rapprochera.
Et puis, si l'on quis faire
les security inquiétudes,
elleiktgro dire,
Florida les gens qui pensent que je parais han imposant les moments
où je Empress qui arrache les choses,






et qui leur donne une他的alle,
Límite des CSS podcast Kong,
il ne donnait vraiment pas de violence,
pursue un workout through Works.
mais ça devient plus difficile quand vous déploiez cela globalement.
Vous devez intégrer un product existant,
et ensuite vous devez construire quelque chose.
Tout cela est différemment.
C'est un petit start-up en particulier,
mais aucun business, en général,
a priorité des fixations et des features de la construction pour les utilisateurs.
La construction de cette sécurité et la fonctionnalité ne différencent pas,
mais c'est un point de paix parce que ça pourrait coûter le monnaie
ou il pourrait avoir hâte de faire un procès de crédit ou quelque chose comme ça.
Nous venons de ce qui est de la perspective de la construction
de tenter de résoudre le problème,
ce qui ne veut pas être aussi facile et facile que possible.
Le moyen que les développeurs normalement font ça
est de se installer une dépendance,
de installer une libraire pour les résoudre à ce problème.
Ils ne veulent pas aussi pouvoir manager l'infrastructure.
Redis n'est pas difficile à manager sur un service single,
mais c'est plus compliqué si vous utilisez un database.
C'est plus difficile, vous avez probablement déjà utilisé ça,
mais est-ce que c'est un set-up pour faire le minimum de la date,
est-ce que c'est le bon place pour la date à la date,
comment vous designz ce genre de choses.
Et donc, la façon dont les produits de sécurité sont fait
est de mettre un agent,
qui vous doit installer quelque part,
ou de mettre le service à la libraire.
Et notre philosophie est qu'on ne veut pas un agent,
parce que c'est autre chose pour les développeurs de manager.
Si c'est une grande company, c'est probablement un autre équipe
qu'ils doivent être approfondés ou manager quelque part.
C'est probablement un autre agent que ils ont installé sur leur service.
Et on ne veut pas les donner à autre chose pour les manager.
Mais aussi, nous voulons les développeurs de pouvoir faire les choses localement.
Vous ne pouvez pas mettre un réseau de firewalls
et le faire localement sur votre environnement de développement.
Et l'idée est qu'il faut que vous puissiez faire l'artjet de sécurité,
que vous puissiez intégrer l'artjet localement,
que vous puissiez tester localement.
Et puis, quand vous vous mettez le stage,
c'est la même chose que vous pouvez tester dans le CI,
et c'est pareil quand vous allez dans la production.
La personne que j'ai rencontrée qui a un nouveau product de sécurité,
c'est seulement dans la production,
ils le tournent et tout de suite, tout le monde s'arrête
parce que ça change quelque chose dans l'environnement
ou il faut filtrer quelque chose.
Et l'idée avec l'artjet est qu'il faut éviter
la paix de la production de la production
par tester localement.
L'un des gros défis qu'on a vu, c'est que
dans les environnementes de service, il n'y a pas de state de share.
Et donc, la raison pour laquelle vous avez quelque chose
comme Redis en train de se faire autre chose,
c'est parce que vous devez en limiter quelque chose,
vous devez en limiter quelque chose dans le racisme,
vous devez en limiter quelque chose dans quelque part.
Et donc, les places naturelles qui sont en Redis,
parce que quand vous utilisez un environnement de service,
la fonction est de réciter sur
parfois chaque requête,
plus probablement, il va rester warm un peu,
et puis il va s'éteindre,
et puis vous avez le coût de star.
Et puis vous devez distribuer globalement,
selon votre application.
Et donc, c'est un challenge réel
parce que nous voulions avoir
aucun agent, aucun infrastructures,
mais nous devons aussi faire des choses
comme la traquantie des requêtes.
Et donc, la architecture que nous avons voulues
de faire, c'est que le SDK
est un rapeur très légère
autour d'un module de web assemblée.
Et ça fait beaucoup d'annonces,
ça roule localement dans votre environnement,
et nous pouvons faire des choses comme la détection bot,
nous pouvons faire l'émail validation
entièrement localement,
ça juste roule en part du processus de node,
ou du processus de Python,
ou tout ce qui commence.
Mais quand vous configurez une règle
qui requiert de traquant le state
à travers plusieurs requêtes,
ou il faut faire quelque chose comme
un ordinateur appel pour faire un record Mx,
qui peut être bloqué sur votre firewall,
ou peut être très lent,
puis nous avons notre API.
Et donc, nous avons cette réelle temps de décision API
que l'Archette SDK va envoyer la requête
pour obtenir une décision
et puis retourner à l'arrivée du SDK.
Et nous avons fait ce API dans chaque région AWS
pour être le plus près possible de votre application.
Nous avons aussi déployé sur fly.io,
donc nous déployons tous les zones de leur service.
Et le but est que nous voulons
1 à 2 ms de la latencies de notre API.
Et nous donnons aussi
un SLA de 20 ms
pour vous donner une décision
pour être en train d'incliner la réelle.
Ça ajoute un peu de overhead,
mais pas beaucoup,
10 à 20 ms.
Et c'est quand ça doit faire une réquestée
pour l'API.
Et ça a cette logique décision
que ça ne doit pas toujours
aller au API
si on peut faire avec l'assemblée de web.
Et puis si on retourne à une décision dédiée,
ça devient cashé.
Et donc, il y a
une logique compliquée
qui détermine
si ça va au API,
ce qui est en mémoire,
ce qui est cashé,
et si on peut utiliser
ce component de web assemblée.
Le component de web assemblée
semble assez intéressant à moi.
Qu'est-ce quelles sont les propres
de web assemblée
qui ont fait que vous choisissez ça?
Et puis,
c'est juste
tout le logic
pour ce que vous avez écrit
dans une langue
et que vous compiliez
à un module web assemblée.
Comment ça fonctionne?
Exactement, c'est écrit en Rust
et c'est compilé à web assemblée.
Et
notre API est écrit en Go
et ça s'appelle
la même code de web assemblée
parce que, en quelque cas,
vous ne pouvez pas
utiliser web assemblée partout.
Vous pouvez presque
utiliser partout,
ce qui est l'une des raisons
de la raison dont nous avons choisi ça
parce que c'est
complètement indépendant
de l'environnement de l'exécution.
Mais en quelque cas,
web assemblée n'est pas disponible.
Et donc,
dans ces cas,
nous avons retourné
entièrement au notre API.
Mais le challenge
là, c'est que
le SDK est écrit
dans Node.js
pour notre
Node SDK.
Le API est écrit en Go
parce que c'est le meilleur
langage pour les APIs.
Mais ensuite, vous commencez
à avoir des différences
de l'implementation
entre les langues.
Si vous faites un hash,
l'algorithme de hash
peut être imprimé
très légèrement différente
dans Node.js
comme en Go
et vous avez deux valeurs différentes
pour l'input même.
Et nous voulons éviter ça.
Et donc,
nous appelons
notre module web assemblée
en Go
et ça règle
la même code
que si vous vous en avez appelé
dans le SDK.
Il y a d'autres propres
de web assemblée
qui sont vraiment intéressants.
C'est
à l'heure de votre speed
natif.
Donc, il n'y a pas de
overhead.
Nous avons fait un rust
qui n'a pas un collecteur de garbage.
Donc, ça n'aborde pas
le problème
que vous avez
si vous utilisez
Go, pour exemple.
Compiler Go
pour le web assemblée
incluse la collection de garbage.
Et aussi, pour la sécurité,
c'est entièrement sandbox.
Et vous pouvez voir
par inspecter le code
exactement
ce que nous envoyons
dans le component web assemblée
exactement ce qui vient.
Les bindings
montrent ça.
Et il n'y a pas de
l'obligation pour ce component web
assemblée
pour faire tout le monde
sur votre système.
Et c'est une vraiment
belle sécurité.
C'est plus
un truc de marketing.
C'est vraiment
mais ça nous donne
des bénéfices de sécurité.
Donc, c'est bien de
pouvoir dire
que c'est exécuté
complètement
dans le sandbox.
Donc, une des questions
que j'ai
eu
c'est
qu'on a un component API
qui, j'espère,
vous voulez
parler
comme peu
possible
pour faire sure
que
un requiert de customisation
est possible
en tant que
possible.
Qu'est-ce qui
arrive
si vous expérimente
un outage
ou un temps de détail?
Et il y a
je pense
parce que vous avez dit
que vous êtes déployé
à tant de
codes
donc
chaque région
AWS
et chaque région
de flight.io
il semble
que vous pourrez
avoir
un outage localisé
où un code
est en train
de s'y faire
et puis vous pouvez
avoir
peut-être un outage
ou quelque chose.
Vous pouvez parler
par ce qui arrive
dans ces scenarios?
Oui,
donc nous avons pensé
que les scenarios
de faillite
soient possible.
Comme vous l'avez dit,
nous essayons de faire
autant de choses
que vous pouvez
localement
en utilisant le WebAssembly
et où
le WebAssembly
peut faire une décision,
il juste
rapporte
ça
en bas
sur un
synchronisation.
Donc,
il ne bloque
le requiert.
Mais
quand nous devons
tracer
un limiter de la route,
nous
blockons le requiert
et c'est pourquoi
nous avons
cette très
forte SLA.
Donc, nous
allons
dans la région
plus clare
que vous soyez
et nous utilisons
des carres
pour faire ça.
Donc, nous utilisons
le WebAssembly
pour nous
réclamer
le requiert
appropi.
Et donc,
sur
la route
de la route
nativement
ou sur AWS,
nous utilisons
la route latentielle
qui est construite
dans la route 53.
Donc, ça
va déclarer
la région plus
plus clare.
Et puis, nous
déployons
plusieurs zones
de disponibilité
dans la région.
Donc, nous pouvons
survivre
un problème localisé.
La chose intérieure
est que si vous
allez,
si vos applications
sont déployées
à la DL
et que vous allez
à notre API
dans la DL
si vous avez une
outage régionale,
probablement
l'application est
aussi déployée
et notre API
est déployée.
Donc,
nous pouvons
éviter
ce challenge.
Ce n'est plus
que ce qui s'est passé
un peu plus souvent
que ce qui a été
fait dans les derniers années.
Le CST1 a
cette réputation.
C'est leur
plus grand
région.
Et
il y a eu
des challenges
disponibles.
Et vous savez
où c'est
parce qu'il y a
beaucoup de services
qui utilisent
ce région
par défaut.
Mais chaque région
a été
architecte
pour que ce soit
complètement indépendant.
Il n'y a pas
de dépendance
sur d'autres régions.
Et nous pouvons
prendre une région
en ligne
et cela ne
n'affecte
l'application.
Et
le but
de l'API
est de
rétablir
une décision
pour le CST1
en tant que
possible.
Ce qui signifie
que ce n'est pas
même de
des calls database.
Il
s'est posé
en place
pour
récolter
les requises
dans le CliqueHouse,
ce qui est
ce que nous utilisons
pour vous
vous montrer
les requises
sur le dashboard.
Et donc,
il y a beaucoup
de résilience
qui est
en place.
Mais si tout ça
ne faille
ou que
la AZ
est en place
et que vous êtes
dans un autre
car AWS
a beaucoup de

le SDK
est
créé pour
s'ouvrir.
Il y a un
temps
qui est
construit
dans le SDK.
Il y a un
problème.
Il ne
n'y a pas
de réplique.
Nous
pensons que ce
est
le meilleur
défolque
parce que
ça signifie
que l'application
ne se tient
pas.
Il y a un problème
ou un problème
et vous avez
l'option
de flipper ça.

le SDK ne se
prête pas.
Il
va juste
réprimer l'erreur
et vous pouvez
faire
une erreur
dans le code.
Ce qui est
le décision
est
érré.
Et vous pouvez
décider
ce que vous voulez
faire
dans votre code.
Nous
n'avons pas
de défilé
de défilé.

Mais
vous pouvez
avoir la
choice.
Et peut-être
dans certaines
APIs, vous êtes
moins
concerné
sur la
sécurité
pour un
temps

in


d'enfin.
Vous
voulez
faire
une

Vous
pouvez
faire
une

décision
pour
se prêter
des
questions.
À
On a des producteurs qui utilisent des primes de multiple
qui sont configurées dans les moyens recommandés.
Donc, la protection de la forme de signup
utilise des vérifications de protection de la protection de la date
de l'email et de l'email.
Vous pouvez utiliser ça, juste de l'accent et utiliser le code M1GO.
Ou vous pouvez utiliser les primes individuelles et configurer les primes directement.
La idée derrière cela, c'est que
quelque chose que j'ai vu sur le console.dev
est que les développeurs tentent de focusser sur le path happy
du start-up, où vous voulez avoir le développe
et de faire le plus vite possible.
Ils utilisent votre application
de manière très spécifique.
Mais où les outils que j'ai vu
n'ont pas été successifs, ils ne pensent pas
« Comment j'ai fait pour ce path happy ?
Comment je suis devenu un power-user ?
Est-ce que je peux configurer les choses
au-delà de la façon recommandée ?
Ou parce que j'ai un certain
custom qui m'a besoin de faire ?
Nous voulons donc donner aux développeurs
des moyens très simples pour faire un couple de lignes de code
et se solider un problème.
Mais chaque développeur sait que c'est
un peu plus important pour les développeurs.

puissent faire des choses plus compliquées.
Et quand vous avez besoin de les détails,
c'est où beaucoup de produits ne sont pas en place.
C'est pourquoi nous avons un modèle de prématifs
que vous pouvez avoir dans les détails.
Nous avons ces prématifs qui sont
des plus importants que je m'ai mentionné.
Et peut-être que, en ce moment,
ce podcast va avoir un nouveau prématif
qui est « Data Redaction
» et « Personal Information Detection ».
Et c'est vraiment intéressant,
parce que c'est
un modèle d'excuses
dans le module WebAssembly.
Il n'y a pas de component API
pour cela.
Et il y a une raison pour cela,
c'est que nous avons écrit un custom passers
pour faire cela dans WebAssembly.
Mais aussi, « Personal Information Detection »
c'est exactement le truc que vous ne voulez pas
envoyer à un service cloud.
Et chaque produit que je vois,
ça vous demande de envoyer
à leur API. Et puis ils ont fait
le détection, qui est bien
et c'est une façon de le faire.
Mais ensuite, vous devez
entrer dans la partie 3.
Et le rôle que nous avons
avec notre module
c'est que vous pouvez faire
la détection et la redaction
entièrement localement. Et nous aurons
rapporté les offsets dans le string
à notre dashboard, donc vous pouvez
aller en bas et trouver
où l'information est, mais nous ne verrons
jamais de ce que ce soit dans notre API.
Et c'est l'une des choses belles
sur WebAssembly, nous pouvons
l'imprimer localement.
Qu'est-ce que le passers de la
détection, comme les strings
qui peuvent contacter
« Personal Information » ?
C'est le passage de la nature de la langue ?
Vous allez passer ce que vous donnez.
Vous devez regarder le service cloud,
vous pouvez le donner au service cloud,
vous pouvez le donner à quel string,
c'est juste un SDK que vous importez,
et vous pouvez l'utiliser
comme un SDK
indépendant, ou vous pouvez
l'utiliser comme part de la set de la
ruse.
Le premier exemple de la ruse est
une règle à la chaine,
donc quand vous vous appelez
une 3e partie LLM, vous ne vous envisiez
« Personal Information » et nous pouvons détecter
cela avant que ça va au API LLM.
Si vous avez une formule
sur votre site et vous avez un chatbot
qui est apparaît par AI, vous ne voulez pas
que les clients vendent un numéro de crédit
ou d'autres informations,
particulièrement si vous êtes dans un environnement
régulé, où vous avez des informations
de santé, par exemple,
ou si vous n'êtes pas complètement convaincu
que vous avez réussi à redacter les logs,
ou si vous avez des complérences
d'un GDB, où vous devez
pouvoir détecter quelqu'un de l'aider
sur vos requests, vous ne voulez pas
que cela va au cours de votre infrastructure,
donc nous avons un nouveau component
qui va procéder entièrement dans votre environnement
et qui va vous détecter et optionnellement redacter.
Je pense que c'est
un niveau de structure
de la date, comme numéro de crédit,
numéro de film, numéro de socialité,
peut-être des adresses.
Ça se fait plus difficile quand vous faites des noms
parce que ça serait
très lourd.
C'est...
On a eu beaucoup de fun
d'aller dans les formats
de la date et de penser,
comment on doit avoir un database
de tous les noms dans le monde
et c'est assez
difficile, même si on peut faire ça,
avoir un database dans le SDK
ça va causer un peu de salauds
de beaucoup. Donc,
on ne redacte pas les noms,
c'est très difficile de détecter. C'est
un cas de utilisation perfecte pour un LLM,
ou un annon de langue naturelle,
et c'est un des choses que vous voulez
envoyer à un API qui fait
l'analysis pour vous.
Mais on pense que les
compagnons de la compagnon, que vous voulez
vous envoyer, ne se réveillent pas
dans votre infrastructure,
comme un carte de crédit, pour exemple, pour la compagnie PCI,
ça peut être fait localement.
Oui, je pense qu'il y a
des niveaux de sévérité
pour les données
que vous avez à l'aider. Si vous avez
un numéro de socialité, qui, je pense,
tout le monde du U.S. a déjà vu
les niveaux de socialité, donc
peut-être que ça va être un point de moque.
Mais ce n'est pas quelque chose que vous voulez
être légué de votre organisation, alors
c'est quelque chose qui est relativement
bien structuré et facile à l'aider.
C'est un point de moque.
Vous n'avez pas besoin de
ça à l'aider, mais ça a été fait
et les données sont là. Je pense que
les organisations plus déchirées sont
les compagnons privés qui vous ont
à l'aider pour les informations personnelles.
Si quelqu'un a subi quelque chose
d'une email ou
d'autres informations personnelles,
dans votre système, et c'est
passé par votre API, et c'est été logué, peut-être
que c'est un data dog, donc c'est un data dog
pour 15 jours, et puis il s'agit
d'un S3 bucket et vous êtes
en train de
trouver tout ça pour 2 ou 3 ans,
peut-être que le tout est impossible
de trouver tout ça. Et de
montrer que c'est été élevé
est très très difficile. Et donc le
défi est que ça ne se présente pas
dans les loges, n'est pas
dans la structure que ça ne peut pas être
updating, comme un database.
Mais en faisant ce log, juste de redactation
dans les loges, c'est
pas
trivial. Et donc le but de ce
n'est plus la protection
de l'élection, mais c'est
plus que, peut-être que vous compliquez
avec toutes les requirements privés que nous
avons. Donc vous avez mentionné les LLMs
dans ce cas, avez-vous expérimenté
avec d'autres moyens intéressants
de utiliser les LLMs pour faire des choses
de sécurité ? Comme vous vous donnez un request et vous dites
est-ce que c'est mal ? On a fait
des tests et des expériments pour
regarder les caractéristiques à travers
des requêtes. Le challenge que vous avez
en regardant les requêtes c'est juste
le volume de loges et
d'être capable d'understand-les. Et
cela fait le
limiter des tokens de l'élection des LLMs très très
rapidement. Google
1 million de tokens de l'élection
est très très intéressant car ça nous
permet de mettre un nombre de
données, mais ce n'est pas
cher. Et donc
vraiment nous sommes en train de falloir
avoir une question
sur ce que l'on s'appelle machine
learning. Il y a des AI, mais
des compagnons comme Cloudflare
ont fait ça pour un décès.
On a fait la machine learning
sur les requêtes qu'ils
ont été offertes.
Pourquoi ça sera plus intéressant
?
Est-ce que c'est un
différent de la question ?
On est souvent dans des situations
où les incidents de sécurité sont
et c'est difficile de savoir si c'est un incident ou pas.
Et souvent, vous devez engager les teams de respons des incidents de sécurité
qui ne sont pas vus pour aller dans et faire le tout, l'analysation, les forensiques,
pour comprendre ce qui a été passé.
Je pense que c'est là où l'OMS va devenir plus...
une plus importante en sécurité, c'est la réponse post-breach,
l'analysation, les forensiques, etc.
Deux grands volumes de données,
ce qui fait qu'il y a beaucoup de temps humain.
Et vraiment, vous voulez que l'homans soit un peu spécial,
pour interpréter ces résultats et se faire comprendre ce qu'il faut faire.
Mais je pense que le plus intéressant avec l'AI en général
et les RISEVELLA-LAMS, c'est comment ça a changé,
comment les gens devraient penser à l'infrastructure.
Parce que dans le passé, vous pouvez imaginer qu'il y a un costo de 0 marginales
pour l'utilisation d'un autre.
Parce que vous êtes en train de faire l'infrastructure,
vous vous ajoutez un nouveau utilisation pour votre application.
Il y a un extrait de cost, mais c'est tellement petit
que vous ne pourrez pas le faire pour les plus grandes applications.
Mais avec l'AI, il y a maintenant une relation linéaire
entre le nombre d'utilisateurs et le cost de votre application.
Parce que vous ajoutez un autre utilisé
et ils commencent à utiliser votre fonctionnalité de l'AI
et ça va coster vous sur l'infrastructure
ou sur les crédits de l'API, l'API,
ou tout ce qui vous permet de l'utiliser.
Et je pense que les gens n'ont pas vraiment fait ce changement de mindset.
Parce qu'ils sont toujours en train de penser
qu'il y a un changement de l'infrastructure.
Ça ne va pas vraiment coster plus.
Si nous ajoutons 10 000 plus d'utilisateurs,
nous devons ajouter plus de plus de plus de plus de 2 ans
ou augmenter nos limites de concurrence
sur Lambda ou paye le sale un peu plus.
Mais avec l'AI, un extrait de 10 000 utilisateurs
pourrait coster beaucoup de votre argent.
C'est pourquoi nous avons eu beaucoup de demandes
pour, particulièrement, la fonctionnalité de l'API,
les gens qui tentent de faire l'infrastructure.
C'est une question d'interessant
la question que nous commençons à noter.
J'ai une question que j'ai voulu demander.
Vous avez déjà parlé de ça,
mais pour l'interessant sur l'idée.
Archite a beaucoup d'interessants de fonctionnalité.
C'est un problème que l'utiliseur a.
C'est un type de targouement.
Un challenge avec le rate-limbing,
en particulier, c'est que si vous faites ça en process,
si vous faites ça en partage de votre application,
vous pouvez avoir un dénail de surface-attaque,
et le rate-living, qui peut vous aider,
ne vous aide pas nécessairement si vous êtes en process.
Je suis curieux de voir
comment vous pensez à ça.
C'est clair que vous avez fait un trade-off
pour le développeur et les usages
et des cas de utilisation très spécifiques.
Je suis curieux de voir
comment vous pensez à ça.
Si ça fait partie de l'intérêt de la construction.
Volumetric DDoS Protection est quelque chose
qu'on ne veut pas essayer de faire,
car c'est la première fois que nous avons été
offerts par toutes les plateformes,
par les providers de cloud.
10 ans plus tard, c'était pas le cas.
C'est là que Cloudflare a vraiment fait leur nom.
Ils sont les meilleures protection d'DDoS
dans le monde.
Ils ont aussi la CDN et la 3DNS,
ce qui est génial.
Ils ont fait beaucoup de leur argent
et continuent à faire du mal
pour protéger les volumétriques suffisocataires d'AdDoS.
La différence est graduellement érogée,
avec toutes les plateformes à cet end.
Vous verrez les likes de Google
et d'AWS,
les blogs de la plus grande dDoS
qui ont mitigé.
Vous vous notez que c'est AWS qui parle de ça.
Ils ont fait ça en partant de leurs clients,
et non de leurs clients l'ont appris.
C'est leur but.
Ils veulent donner la construction
et ils sont responsables de la sécurité de la chaine.
Et avoir des volumétriques
de la trafic qui va être solvée
dans votre chaine,
et de l'adaptation de votre appui.
Vous pouvez payer plus,
comme AdDoS a un service avancé
où ils disent
qu'il faut installer la WAF
et que vous devez installer
les limites de la date
et que vous devez être architecte
dans le correct de l'accompagnement
de l'accompagnement global.
Vous devez utiliser les cloutons,
les différents compagnons,
et ça commence à se faire plus près de votre application.
Vous devez payer un bon nombre
de dollars avant qu'ils vous aillent
avec cette protection.
C'est là que nous commençons
à s'améliorer.
Parce que dès que vous commencez
à configurer les limites de la date
ne vous en déclenche pas un certain nombre
de services IP, ASNs,
et puis vous vous inquiétez
sur les questions
de la application.
Quels réputés de l'appui
ont besoin de la configuration?
Est-ce que vous pouvez retourner
dans une générique 503
d'air?
Ou vous devez retourner
dans la respiration JSON
avec les détails de l'air?
Parce que tout le monde
utilise l'end point d'explication
d'explication JSON, pas sur la page HTML
qui peut-être se réclencher.
Nous fâchons
de la construction
mais vous devez aussi la construction
de développement.
Historiquement, nous avons eu des développeurs
qui nous ont été concentrés sur l'application
et nous avons donné ça à quelqu'un d'autre
pour faire des choses avec l'infrastructure
ou les développeurs qui ont été dédiés
et qu'il y a un équipe séparé
pour la sécurité.
Mais la sécurité de l'appui
doit ensuite être utilisée pour les développeurs
pour les fixer et les changer
et les réplications.
Les réplications sont différentes.
Les développeurs doivent construire
la sécurité des gens.
Ils tentent de faire des fixations
et il y a souvent une tension
parce que les développeurs doivent construire
les choses. Ils ne sont pas incentivés
par les réplications de la sécurité.
C'est pourquoi nous avons focussé sur ces choses
qui nécessitent vraiment l'application
et nous pensons que, en temps,
les plateformes de client sont juste
à la tâche de dédosser et nous pouvons
focusser sur les choses dont vous avez besoin
d'une compétition de l'application.
Qu'est-ce que vous pensez que l'industrie de l'application
a été faible pour la sécurité?
Je pense que le challenge
a toujours été pour les développeurs
que l'on pense comme quelqu'un d'autre.
Le travail.
Quand il s'agit de la code de la compétition
il y a été une révolution
dans les tools qui vous permettent de faire
une compétition plus sécuritaire.
Dependabot est probablement celui que les développeurs
sont très familiales avec, en ouvrant des updates

C'est souvent très bruyant,
selon les dépendances que vous avez.
Sneak fait un bon travail.
Il y a des tools de l'analyse stadique
comme SamGrap
qui est très bon.
Vous pouvez aussi penser à l'intention
et la formatation de la code.
Ce sont les mêmes choses qui se sont détenues
comme la code de la compétition.
Vous avez des détections secrets
et la scénarisation de la code
qui se fait quand vous ouvrez la code
et que vous avez les features de sécurité.
Toutes ces choses qui ont été
un bon travail et un bon travail
en temps, c'est votre code de la compétition.
Mais ensuite vous vous mettez
votre code en production.
Et puis c'est quelqu'un d'autre qui a un problème
de sécurité.
Ou vous vous mettez Cloudflare en front
et vous délegez-le à une troisième partie.
Mais souvent ça vient
au bout de l'enveloppement.
Il n'y a pas de manière qu'on teste Cloudflare localement.
Vous ne pouvez pas le faire en stage.
Vous ne pouvez pas faire des tests automatis
pour faire sure que vos règles de sécurité sont correctement travaillées.
Les développeurs se sont créés
en building l'application et en les appuyant.
Ils vous mettent dans la production.
Ils mettent un load de problèmes.
Les problèmes viennent un peu de mois en bas.
Quand ils commencent à avoir de la trafication
et une réelle traction, ils doivent
aller en revanche
et faire des changements.
C'est ce qu'on a dit
dans ce travail.
Donc, je pense que
nous avons besoin de plus de tooling
sur le côté de la production pour
les développeurs dans le mindset de sécurité.
Et c'est juste que
le manque de tooling n'a pas été construit pour les développeurs.
C'est comme en expérimentant 3,5 ans
sur le console.
C'est l'une des choses qui m'a fait me commencer.
Le manque de tooling de sécurité
a été construit pour les développeurs
pour les développeurs en production.
C'est tout de suite un produit de sécurité.
C'est un produit de sécurité.
J'ai eu de la chance de
faire des problèmes de production
en une forme ou en une autre.
C'est généralement
un travail de manière manuel
qui est un fraude
ou
un travail de manière manuel
ou quelque chose d'autre.
C'est vraiment cool de voir ce travail.
Et je pense
que c'est
bien timé
que vous êtes en train de
résoudre le cas de
le service,
qui est un cas de plus en plus
d'une grande utilisation
où les gens sont construits en métroframme et en déployant
un Proto, un cloudflare,
AWS Lambda,
un pliqour de choses.
Il y a quelque chose qui va être dit
d'avoir
une structure de sécurité
qui fonctionne dans ces environnements
comme ça, avec un
environnement régulier.
Avec tout ça,
qu'est-ce que vous avez pour notre projet ?
Quelle est votre 1.0 ?
Les développeurs ne déployent pas un seul site
et ils ont des apps déployés
tout au long de la place.
Vous avez votre primeur de structure
AWS, mais vous déployez un site marketing
pour Vercel, peut-être vous déployez
un API pour Fly.io,
et c'est un challenge
pour les teams de sécurité. C'est un challenge
pour les développeurs, si ils ont
eu le plaisir de construire
une nouvelle plateforme.
Mais il n'y a pas de système qui fonctionne
par lesquels ils sont pour la sécurité.
Et particulièrement par les langues et les frameworks.
Vous avez juste mentionné
les choses amusantes de Vercel
et les plateformes, vous vous en prenez
et votre code est déployé globalement
et est disponible pour tout le monde
avec un limité scale,
par votre carte de crédit,
par votre budget C.
C'est juste la vitesse de déployer
ces applications qui ont changé
les choses pour les développeurs et les teams de sécurité.
Nous avons commencé
avec le JavaScript SDK
parce que c'est la plus populaire
language pour les applications web.
Mais comme nous avons parlé de la règle
la grande chose sur la règle web est que nous pouvons
le faire à n'importe où.
Nous allons donc construire plus de langues SDKs
pour que nous puissions
supporter si vous avez écrit une application
de rails ou que vous utilisez
Laravel ou Django.
Nous voulons avoir la même API
pour que vous puissiez utiliser les mêmes
règles ou les mêmes règles sur vos applications.
Mais vous pouvez aussi déployer
les règles à n'importe quel environnement.
Vous n'avez pas besoin de savoir comment configurer AWS
et puis comment sortir de la sécurité
sur fly.io
qui est une nouvelle plateforme
comparé à AWS.
Vous avez aussi un site sur Vasell
et c'est un système différent.
Les développeurs ne veulent pas
faire des différents plateformes.
Nous voulons mettre les règles de sécurité
plus près de la code pour que les développeurs
puissent construire un,
un autre en partant le normal flow.
Et puis, si vous avez un langues,
un framework, un plateforme,
vous avez déployé deux, c'est la même la sécurité.
Merci d'avoir regardé ce épisode.
Merci d'avoir regardé, David.
C'était un look très intéressant
dans le monde de sécurité et comment vous
vous en solvez avec AWS.
C'est quelque chose que nous avons créé de l'amour
sur ce podcast. Merci d'avoir regardé.
Merci beaucoup.
Oui, David, je suis très excité
de votre produit.
C'était un truc très fun.
Je pense que c'est vraiment bien.
Je suis excité de voir où on va.
C'est génial.