Vlákno názorů k článku Vedl jsem stovky pohovorů s ajťáky. Čím dál více z nich jsou falešné osoby z podvodných „farem“ z Asie od Uncaught ReferenceError: - To mi připadá až neuvěřitelné, že jsi to...

To mi připadá až neuvěřitelné, že jsi to nezažil. VS Code běží v prohlížeči naprosto nativně, bez problémů a bez velkých rozdílů, lze ho pak mít jako aplikaci, která nevypadá jako prohlížeč a přeci jen běží vzdáleně. Github.dev je také velmi pokročilé pouze webové IDE. Jakmile začneš trochu více pracovat s daty, máš tady jupyter a podobné notebooky, také plně webové. Docker, shell a vše okolo je také dostupné. Nebavím se o garážkovách.

Samozřejmě ona pak je vždy cesta, jak někdo může ukrást kódy, ale ono se to pak daleko lépe audituje a velmi rychle vidíš, kdo si stahuje celou code base.

Nezažil jsem firmu kde by vývojář pracoval ve web IDE... Jedna věc je editace pár řádků kódu, druhá věc je reálné programování. Osobně bych se neobešel (a spoustu vývojářů) bez shellu, rg, dockeru (ok, to je backend specialita), gitu, go, curl, httpie, *q ... a stovky dalších toolů. A pokud někde ve VMku dáte přístup vývojáři k shellu tak už je v celku jedno jestli programuje lokálně nebo vzdáleně (tj. pak vývojář vzdáleně pustí tar | curl a stejně ty zdrojové kódy má).
Druhá věc je že každý aspoň trochu zdatný vývojář by ty kódy v nejhorším získal jednoduše přes trochu skriptování a OCRko...
Všeobecně hodně špatná praxe je přistupovat k něčemu security by obscurity, což nucení práce přes web-ide trochu naznačuje.

Tohle se už děje roky. Čínští zaměstnanci se vracejí do Číny a berou s sebou know how.

Blbě. Od toho by měla být tajná služba, aby dokázala takovéhle lidi najít. Pro zaměstnavatele to může být neidentifikova­telné, zejména pokud se jedná o nějakou spící buňku a funguje jako běžný zaměstnanec se vším všudy.

Každopádně dnes se ale daleko více začíná počítat s útoky ze zevnitř, tzv. Zero trust architektura. Kdy nezáleží na tom, jestli útočník je z firmy nebo není, ale dostane jen to na co má opravdu nárok. Stejně tak daleko více dneska se ani programátoři nepouští ke všemu, pracují ve webových IDE a nemají možnost si na flashce odnést zdrojové kódy. K ideálu to má ale daleko, aspoň všude tam, kde jsem to viděl.

Proti těmto falešným "remote" ajťákům se dá ještě bránit. Ale pokud nějakému nepřátelskému státu půjde skutečně o data, nažene do západních firem armády svých lidí a počká si, až získají důvěru - a pak získají i ta data. Jak se bránit proti tomuhle? Staré dobré reference? V dnešní době najímání cizinců asi neproveditelné.