Vulnerability Exploitability eXhange (VEX)
v. Thor Lange, Netic
Vulnerability Exploitability eXchange (VEX) er en form for security advisering, med målet om at kunne kommunikere sårbarheder for komponenter, kendte vulnerabilities i deres brugskontekst. Ofte er det ikke muligt at udnytte en bestemt sårbarhed i den sammenhæng komponenten optræder i. VEX is a critical capability necessary to operationalize SBOM. VEX information er typisk placeret i en SBOM, eller ved siden i en dedikeret VEX BOM.
ARIA
v. facilitator Allan Højgaard
ARIA står for Accessible Rich Internet Applications. ARIA er et set af ting man bør tilføje til sine web applikationer. Det er attributter der tilføjes til HTML elementer som renderes og udgør grundlaget for applikationer. ARIA giver udviklere mulighed for at gøre applikationsfunktionalitet tilgængeligt for brugere med et behov for at anvende Assisterende Tiltag (Assistive Technologies) (AT).
Den famøse Crowdstrike opdatering
v. facilitator Allan Højgaard Jensen
De fleste har hørt om den famøse Crowdstrike opdatering, der ikke gik helt som planlagt. Det blev en meget omtalt begivenhed. Der var mange der stillede spørgsmål til hvordan sådan noget kunne ske. Der var flere ude og sige, at nu skulle der ændres ting, således det ikke kunne ske igen. Men hvad skete der, hvorfor, kunne det ske igen, hvad kunne man gøre for at forhindre det og gør vi nok for at sådan noget ikke sker (igen).
Netværket
v. facilitator Allan Højgaard Jensen + gruppen
Netværk er under pres, fra online communities, fra on-demand erfaringsudveksling, at samle en flok mennesker med et sæt af kompetencer på et sted på samme tid er noget vi bliver mødt af spørgsmål omkring f.eks.: Hvilke ting adskiller denne type netværk fra andre tilbud? Og er vi i vores netværk på rette spor? Hvordan adskiller et fysisk møde og in-person netværksmøder sig fra andre ting - er vi gode nok til at forklare disse forskelle? Hvad kan vi gøre for at gøre vores omgivelser klogere på, hvad sådan et fysisk in-person netværk kan?
Program, Netværksdagen 2024
Keynote: Lever AI op til hypen? v. Marcel Mirzaei-Fard & Henrik Moltke, tech-journalister og podcast-værter, DR Danmarks Radio
Netværkets individuelle program:
De to ”private sessions” der er i løbet af dagen bruges til at drøfte følgende temaer:
What’s Going On form for stand-up
En “stand-up’ish” session, hvor hver deltager har forberedt 1-2 minutter på hvad man arbejder med lige nu, hvilken ting man gerne ville have en dialog med en eller flere andre omkring. Hvis der kommer et generelt emne ud af dette - skal deltager have en 120 sekunders “elevator tale” klar - så andre kan vurdere hvad målet med emnet og dialogen skal være. Når vi har hørt alle, så laver vi en gang hurtig “dot” voting om prioritet og tager emnerne i den rækkefølge.
Assisted Coding
Hvordan er det at kode, når man har en code assistent med til at understøtte dette. Giver dette bedre kode eller giver det mere kode. Hvordan er kvaliteten af den kode der produceres, og hvis det man får sammenlignes med meget af det man finder på nettet dd.
Er det den ny attack vector
Hvordan kan vi gennem f.eks. generativ AI sætte vores lid til det der foreslås, og er der på et tidspunkt mulighed for vi (eller det vi har lært vores model) kommer til at skabe noget, vi ikke havde villet og som får negative konsekvenser for vores virksomheder og os. Hvordan kommer vi til at forstå, hvilke ting vi skal se efter, og hvordan kunne man mitigere denne for attack?
3 korte oplæg på tværs af grupperne
Netværkets individuelle program: se ovenfor
BIAN som model
v. Daniel Andreasen, Santander Consumer Bank
Daniel kommet med et oplæg til, hvordan man kan bruge industrimodeller som Banking Infrastructure Architecture Network (BIAN) i sin praktiske arkitektur.
Mono Repositories og Trunc-based development
oplæg v. Facilitator - alle
På sidste netværksmøde kredsede samtalen omkring repository strukturer og om fordele ulemper ved trunc-based udvikling.
Derfor blev det besluttet at vi skulle prioritere, at vi denne gang skulle behandle dette som et samlet emne.
Dette bliver altså en session om, hvornår er det en god ide at samle flere software artefakter, et samlet repository og hvornår er det ikke den bedste model. Samtidigt er det interessant at se på de problemstillinger dette medfører omkring branching etc. og hvilke muligheder og ulemper der er ift. at udvikle og release fra trunc løbende. Hvad kræver dette at de der indgår i denne model
Logging Policy
v. Facilitator – all
Hvilke politikker har de forskellige deltagere i deres setup, hvilke typer af informationer indeholder disse logs, hvad er formålet med dem, hvilke aspekter er der ift. scope, completeness, privacy, retention, GDPR, osv. Målet er at deltagerne undersøger, hvad I hver især gør, og gerne ser på de ovenstående aspekter, således vi kan få dækket området på bedst mulig vis.
BIAN som model
v. Daniel Andreasen, Santander Consumer Bank
Oplæg om hvordan man kan bruge industrimodeller som Banking Infrastructure Network (BIAN) i sin praktiske arkitektur
Fremtidssikrede formater
v. Torben Vestergaard, Rigsarkivet
Hvilke overvejelser indgår ifm. arbejdet med digitalisering af assets, således de kan læses om mange år.
AI: I virkeligheden
v. Jess Alfredsen, datageneration.ai
AI i virkeligheden handler om de forskellige typer AI, deres praktiske anvendelser i forskellige konkrete eksempler, samt hands-on øvelser med generativ AI. Dyk ned i og forstå kraften og udfordringerne ved AI-genereret indhold
Historien om en friendly overtake af Open Source Framework
Jens Borch fra Nykredit, vil fortælle om overvejelser, erfaringer og oplevelser, ved at overtage et GitHub baseret på open source-projekt, til deres grundlæggende front-end komponent bibliotek.
Not so Open Source
De fleste af os har brugt Open Source, og har kigget licenser etc., for at sikre brugen af dem bedst muligt ift. det. Det viser sig, at dette ikke altid er nok og man kan ende i en situation, hvor det man troede var Open Source, ikke var det – eller ikke længere er det – eller der er sket noget omkring anvendelsen, der betyder at man ikke længere opfylder betingelserne for at det er Open Source eller ”fri til at bruge”.
Forretningsperspektiv – Cloud Native og Kubernetes
v. Facilitator
Cloud Native og Kubernetes er bare teknologi og platform, hvordan kan dette have en betydning for forretningen og hvordan kan anvendelse af den ændre din muligheder for at navigere i eksisterende og nye markeder.
Configuration Management (CMDB)
oplæg v. Facilitator – alle
De fleste større virksomheder har en (eller flere) CMDB’er. Der er erfaringer i at anvende, bruge og arbejde kvalitativt med sådanne, for de mere statiske dele af virksomhederne, men hvordan ser det ud for de mere dynamiske dele? Vi skal se på den eksisterende brug, samt hvilke udfordringer, der kan være med, at få mest muligt ud af det, og så skal vi se på hvilke muligheder og udfordringer det bringer, når de Configuration Items vi gerne vil have registeret, er meget dynamiske.
Release Forbedringer
oplæg v. Facilitator – alle
Hvordan adskiller releases sig fra versioner og hvordan forbedrer vi release situationen. Hvordan finder man frem til hvilke tiltag der er vigtige og hvorledes indføres disse successivt.
DEV Containere
v. Facilitator
Hvad er DEV Containere og hvordan bruges disse bedst muligt.
Verifikation - Due Diligence
v. Lars, Torben, Allen og Morten
Når man køber et standardsystem, hvilken verifikation og dermed due diligence er der behov for. Der er ting der naturligt følger med mange steder allerede, f.eks. leverandør vurderinger, referencer, hvor udbredt er det etc. Sjældnere indgår integrationer ift. platform, opgraderinger, versionering af api’er ift. omgivelser, development- og operations-værktøjer og muligheder. Derfor skal vi tale om nogle eksempler på standardsystemer og se på de erfaringer der er gjort med dem og hvad der evt. kunne have været godt at have vist om systemerne inden og dermed opnå den nødvendige due diligence.
Hvem har brug for køer?
Et “opinionated” oplæg omkring alternativer til køer, mange udviklere og arkitekter vil gerne bruge køer i deres design. Hvilken effekt har køer på dit design og er de et udtryk for et reelt behov eller er det mest en behagelig abstraktion, således man kan gemme noget kompleksitet væk. Og når man kigger efter, kan man så gemme det væk altid? og hvad ville alternativerne være.
Cartographer - CI koreografi
v. Thor Lange – Netic
De fleste byggeværktøjer der anvendes dd. anvender orkestrering, som princip. Dette resulterer ofte i at byggeprocessen, bliver et spejl af afhængigheder som er til stede i det reelle setup. Dette er ikke altid det du ønsker at de bindinger der er i det reelle miljø gentages i dit automatiserede byggesetup.
Modsvaret på dette har været de-couplede pipelines eller pipeline steps, hvor man har noget sværere ved at bygge denne type afhængigheder ind, men må arbejde med mere dekoblede enheder på bygge
tidspunktet. Det nyeste skud på stammen er koreografi. På samme måde som koreografi er nyttigt i mere distribuerede sammenhænge, kan dette måske være løsningen på mindre kobling ift. byg. Vi skal se eksempler på koreograferet bygge-setup med Cartographer.