Podcasts about cocoapods

  • 64PODCASTS
  • 122EPISODES
  • 52mAVG DURATION
  • 1MONTHLY NEW EPISODE
  • Apr 3, 2025LATEST

POPULARITY

20172018201920202021202220232024


Best podcasts about cocoapods

Latest podcast episodes about cocoapods

Swift Package Indexing
55: The solution is always to write more tests

Swift Package Indexing

Play Episode Listen Later Apr 3, 2025 46:04


Join us as we chat about enabling parallelising our tests with Swift Testing, what your plan should be for any CocoaPods projects you still work on, more thoughts on open-source funding based on a recently published paper, and of course the usual package picks!NewsMastodon Post: The Value of Open Source SoftwarePaper: The Value of Open Source SoftwareCocoaPods Trunk Read-only PlanPackagesCodable by Andrii ChernenkoThe future of serialisation & deserialisationAestheticText by Kyle BashourRTSanStandaloneSwift by Josip ĆavarTime to Get Real – Introducing RealtimeSanitizer for SwiftClang RealtimeSanitizerswift-file by Jihoon AhnRenderMeThis by AetherGlowGetter by Aether

Cocoa Pods
Maternity Deserts & Ice Skating Through a Broken System: Why Moms Are Still Dying in America

Cocoa Pods

Play Episode Listen Later Feb 8, 2025 22:08 Transcription Available


In this episode of CocoaPods, Dr. Bola Sogade hosts Dr. Julia Interrante from the University of Minnesota to discuss the alarming rise in maternal mortality in the U.S., particularly in rural communities. They examine the consequences of inadequate maternal healthcare access, the role of data in shaping policy, and how technology, such as telemedicine, can support rural healthcare providers. Dr. Interrante highlights the ongoing closure of birth centers and hospitals offering obstetric services, emphasizing that funding and policy changes are essential to prevent further losses. The conversation underscores the need for a systemic shift in healthcare financing and advocacy efforts to ensure safe childbirth for all women, regardless of location or socioeconomic status.Dr. Julia Interrante is a mentee of Dr.Katy Backes Kozhimannil,a Distinguished McKnight University Professor and Co-Director of the University of Minnesota Rural Health Research Center.#CocoaPodsPodcastMaternal Health & Advocacy:#RespectfulMaternityCare#BlackMaternalHealth#MidwiferyMatters#DoulasSaveLives#EndPreventableMaternalDeaths#PregnancyCareForAll#MomsDeserveBetter#ReproductiveJustice#BirthEquityRural & Telemedicine Solutions:#TechForMoms#DigitalHealthSolutions#HealthcareInnovation#VirtualCareForMoms#TelehealthSavesLives#MaternalCareAccessPolicy & Systemic Change:#FixMaternalHealthcare#MedicaidForMoms#ReformMaternityCare#FundBirthCenters#SupportReproductiveRights#MakeBirthSafeGeneral Engagement & Awareness:#EveryMomCounts#HealthyMomsHealthyBabies#NoMoreMaternityDeserts#PregnancyIsNotAPreexistingCondition#SupportLocalBirthCentersSupport the show

Swift Package Indexing
48: It's not just CGPaths all the way down?

Swift Package Indexing

Play Episode Listen Later Aug 29, 2024 40:52


Join us as we talk about the CocoaPods maintenance plans and Swift macro expansions in Visual Studio Code, as well as hear our regular package recommendations.NewsCocoaPods Support & Maintenance PlansExpansion of Swift Macros in Visual Studio CodeConfiguring Emacs for Swift DevelopmentConfiguring Neovim for Swift DevelopmentPackagesSVGPath by Nick LockwoodPaintCodeswift-cloud by Andrew BarbaPhraseKit by Mark BattistellaEditValueView by p-x9UserDefaultsEditor by RyuConfettiKit by Simon B. StøvringRecreating iMessage Confetti

Super Feed
Olá, Mundo - 056: Núcleo Robótico Pelado

Super Feed

Play Episode Listen Later Aug 20, 2024 58:32


Bunn e Rambo mergulham nos perigos do phishing, destrincham o SpringBoard e discutem o CocoaPods, que decidiu tirar um cochilo.

Random but Memorable
Doughnut Panic Sting Operation with Joseph Cox

Random but Memorable

Play Episode Listen Later Jul 23, 2024 66:08


Strap yourselves in for a wild ride, as we kick off a new season with the incredible true story of the largest FBI sting operation ever. Cybersecurity author and journalist, Joseph Cox, unpacks his best-selling book, Dark Wire. Learn how the FBI built its own app to wiretap the world and turn the tide on the criminal underground, with privacy implications for everyone. Trust us, you won't want to miss this one.

Les Cast Codeurs Podcast
LCC 314 - 1000 fois 1000 dépendances

Les Cast Codeurs Podcast

Play Episode Listen Later Jul 16, 2024 83:11


Emmanuel, Guillaume et Arnaud discutent des nouvelles de l'été. JEPs, transactional outbox pattern avec Spring, LLM dans Chrome, faille polyfill.io, TOTP, congés illimités et IDE payant ou pas payant ? Enregistré le 12 juillet 2024 Téléchargement de l'épisode LesCastCodeurs-Episode-314.mp3 News Langages Les fonctionnalités de JDK 23 ont été figées début Juin (release prévue en septembre) https://openjdk.org/projects/jdk/23/ https://www.youtube.com/watch?v=kzjGp7LmW0I JEPs finales: 467: Markdown Documentation Comments 471: Deprecate the Memory-Access Methods in sun.misc.Unsafe for Removal 474: ZGC: Generational Mode by Default JEPs en incubation / preview 455: Primitive Types in Patterns, instanceof, and switch (Preview) 466: Class-File API (Second Preview) 469: Vector API (Eighth Incubator) 473: Stream Gatherers (Second Preview) 476: Module Import Declarations (Preview) 477: Implicitly Declared Classes and Instance Main Methods (Third Preview) 480: Structured Concurrency (Third Preview) 481: Scoped Values (Third Preview) 482: Flexible Constructor Bodies (Second Preview) Librairies Le transactional outbox pattern avec Spring Boot https://www.wimdeblauwe.com/blog/2024/06/25/transactional-outbox-pattern-with-spring-boot/ transactional outbox permet d'éviter des 2PC ou des désynchronisations de resources: typiquement un commit dans une base et un envoie de message dans un bus on ecrit le message dans une table de la base de données, et un process séparé récupère les messages et les envoient dans le bus implémentation utilise Spring Integration dans l'article, la seconde resource est l'envoie d'email montre une approche de tests le flow descrit pas psring integration est pas super trivial a lire quand on est pas familier mais cela poll la table toutes les secondes et envoie email et si succes de l'appel de service, vide le message de la table Deuxieme exemple avec Spring modulith qui a un event bus interne qui peut être persisté décrit les differences avec spring integration et les limites de l'approche modulith (message order, retry etc) Comment tester des valeurs de propriétés différentes dans un test Quarkus https://quarkus.io/blog/overriding-configuration-from-test-code/ on a tendance a ne pas tester les propriétés de config ce blog montre 5 (enfin 4 utiles) façons de le faire avec Quarkus. les profils de test, mocker l'objet de config, les test components (experimental), l'injection dans les constructeurs Quarkus 3.12 https://quarkus.io/blog/quarkus-3-12-0-released/ centralisation des configs TLS support pour le load shedding (reject requests on service overload) événements JFR specific a Quarkus native image agent support Spring Boot 3 (compat layer) Support Kotlin 2 etc Cloud On vous parlait dans un épisode précédent de ce problème de coûts S3 sur des requêtes non autorisées. C'est Graphana Loki qui a mis ce problème sous les projecteurs https://grafana.com/blog/2024/06/27/grafana-security-update-grafana-loki-and-unintended-data-write-attempts-to-amazon-s3-buckets/ le problème venait des valeurs par défaut des buckets déclarés dans le chart helm de Loki, en particulier celui nommé ‘chunks' Data et Intelligence Artificielle Guillaume avait partagé l'information sur la disponibilité prochaine d'un mini modele LLM dans chrome. C'est maintenant une réalité et vous pouvez le tester. https://ai-sdk-chrome-ai.vercel.app/ Nécessite Chrome 127 (version stable à partir de mi-juillet) Utilise le SDK Vercel AI Guillaume nous parle de toutes les nouveautés liées au modèle Gemini de Google dans la dernière release de LangChain4j https://glaforge.dev/posts/2024/07/05/latest-gemini-features-support-in-langchain4j/ Outillage 1% des utilisateurs de Maven Central utilisent 83% de sa bande passante. Installez un repository manager qui fait proxy (et cela pour tous les types de dépendances)!!! https://www.sonatype.com/blog/maven-central-and-the-tragedy-of-the-commons rien n'est réellement gratuit et l'abus d'une minorité peut nuire à l'ensemble. Cela fait maintenant plus de 20 ans que les communautés le répète: installer un gestionnaire de dépendances dans votre infrastructure (nexus, artifactory, CodeArtifact, …). En plus de protéger le bien commun cela vous permet de raffiner le filtrage des dépendances, d'assurer la reproductibilité de vos builds, d'optimiser les performances (et réduire les coûts) en ne téléchargeant que depuis votre propre infrastructure, etc … Maven Central est un commun qui ne coute rien à l'utilisteur mais qui est indispensable à tous 1000 milliards de téléchargements l'année dernière 83% de la bande passante consommé par 1% des IPs Beaucoup des ces IP viennent des companies les plus larges proxy pour réduire charge sur central, réduire couts ingress/egress ils vont implementer un mécanisme de throttling question est-ce que la concentration des IPs veut juste dire que c'est le dernier noeud mais que cacher n'est pas effectif pour eux et qu'il y a des milliers de clients derrière une IP? le trotting ferait mal et le proxy ne marche plus dans un monde ou le dev est dans le cloud et distribue géographiquement Comment mettre en place backstage, ici avec un projet Spring Boot utilisant CircleCi, Renovate, SonarCloud… https://piotrminkowski.com/2024/06/13/getting-started-with-backstage/ Cet article explique comment utiliser backstage pour fournir à vos équipes un template d'une application spring-boot. Elle est automatiquement crée sous forme d'un repository git(hub) avec les integrations classiques pour gérer la CI (via CircleCI), la qualité (via SonarCloud), la mise à jour de dépendances (via Renovate) et bien sur son référencement sur le portail backstage. tutoriel tres complet tres facilement remplacable pour un project avec votre technologie preferee (pas specifique a Spring Boot, ou Java) Architecture Que se passe t'il quand vous faites un push sur GitHub? https://github.blog/2024-06-11-how-we-improved-push-processing-on-github/ GitHub explique comment ils ont amélioré leur architecture, notamment en mettant en place Kafka pour distribuer les actions qui découlent d'un push sur GitHub. paralelisation des taches (avant sequentiel) limitation des dependances entre etapes effectuées lors d'un push plus de taches peuvent faire un retry un classique de decoupling via un EDA Sécurité Attaque du CDN polyfill.io https://sansec.io/research/polyfill-supply-chain-attack polyfill c'est un support de nouvelles fonctionalites dans les ancien navigateurs servi par cdn notamment une societe chinoise a achete le domaine et le github et injecte du malware qui pointe sur des serveurs qui servent le malware selectivement (device, admin ou pas, heure de la journée) Fastly et Cloudflare on des deploiements alternatiuve Une faille de sécurité, de type Remote Code Execution, vieille de 10ans, dans CocoaPods, un gestionnaire de dépendances très utilisé dans le monde Apple (macOS et iOS) https://securityboulevard.com/2024/07/cocoapods-apple-vulns-richixbw/ https://cocoapods.org/ / https://cocoapods.org/ est un gestionnaire de dépendances pour les projets Xcode. Les dependances (Pods) sont publiées sous forme de Specs qui sont référencées dans un Specs Repo (une sorte de Maven central mais seulement avec des metadonnées) CVE-2024-38366 est une vulnérabilité de type remote code execution avec un score CVSS de 10 La faille existait depuis 10 ans et a été corrigée en Sept 2023. Elle permettait d'avoir un accès root sur trunk.cocoapods.org qui stock les Specs. Elles auraient donc pu être modifiées sans que les auteurs ne s'en apperçoivent. Pas de preuve pour l'instant que la faille ait été exploitée Mieux comprendre la double authentification avec TOTP https://hendrik-erz.de/post/understanding-totp-two-factor-authentication-eli5 Cet article revient sur le fonctionnement de TOTP et comment l'implementer avec des exemples en python the QR code est une URL qui contient: le secret en base 32. le nom du totp, qui a fournit le TOTP, combien de chiffres et la durée de vie du TOTP pour generer les chiffres, prends le secret, le temps et hash le tout, prendre 4 bytes et les convertir le chiffres typiquement le serveur genere les deux d'avant, les deux d'apres et le courant pour comparer Loi, société et organisation L'équipe Apache Maven gagne le troisième prix BlueHats https://nlnet.nl/bluehatsprize/2024/3.html le projet remporte un gain de 10000€. Ce prix est organisé par le gouvernement français afin de récompenser les projets open sources les plus impactants. La clause de congés illimités en Europe https://www.osborneclarke.com/insights/why-your-unlimited-vacation-policy-may-be-of-limited-use-in-europe Les politiques de congés illimités, populaires aux États-Unis, ne sont pas aussi avantageuses en Europe. En Europe, les employeurs doivent suivre les congés pris pour respecter les minima légaux de quatre semaines par an donc ils ne peuvent pas economiser sur le faire de ne plus les gérer. Les congés illimités permettent aux US de ne plus à devoir les payer au départ de l'employé. En Europe les employeurs doivent payer les congés non utilisés lors de la fin du contrat. Les employés européens pourraient prendre davantage de congés, car ils sont mieux protégés contre le licenciement. Les jours de maladie sont plus cadrés en europe. Un employé qui souffre d'une maladie longue pourrait utiliser les congés illimités mais ce ne sont pas les même règles qui s'appliquent OpenDNS n'est plus disponible en France et au Portugal https://support.opendns.com/hc/en-us/articles/27951404269204-OpenDNS-Service-Not-Available-To-Users-In-France-and-Portugal A priori Cisco qui opère openDNS en a marre des demandes de restrictions spécifiques à nos pays et préfère donc retirer entièrement l'accès au service plutôt que de se conformer à la nième demande de restrictions qui faisait suite à la plainte du groupe Canal+ portant sur l'accès à des sites illicites de streaming pour du sport Ask Me Anything Salut ! Êtes-vous plutôt IDE payants (ex : IJ Ultimate, ou des plugins payants), ou ne jurez-vous que par des outils gratuits ? Un peu des deux ? Si adaptes du payant, ça ne vous déprime pas qu'un nombre considérable d'employeurs rechignent à nous payer nos outils ? Que “de toute façon VSCode c'est gratuit” (à prononcer avec une voix méprisante) ? Quid du confort, ou de la productivité et/ou qualité accrue quand on maîtrise de tels outils ? Merci ! Conférences La liste des conférences provenant de Developers Conferences Agenda/List par Aurélie Vache et contributeurs : 6 septembre 2024 : JUG Summer Camp - La Rochelle (France) 6-7 septembre 2024 : Agile Pays Basque - Bidart (France) 17 septembre 2024 : We Love Speed - Nantes (France) 17-18 septembre 2024 : Agile en Seine 2024 - Issy-les-Moulineaux (France) 19-20 septembre 2024 : API Platform Conference - Lille (France) & Online 25-26 septembre 2024 : PyData Paris - Paris (France) 26 septembre 2024 : Agile Tour Sophia-Antipolis 2024 - Biot (France) 2-4 octobre 2024 : Devoxx Morocco - Marrakech (Morocco) 7-11 octobre 2024 : Devoxx Belgium - Antwerp (Belgium) 8 octobre 2024 : Red Hat Summit: Connect 2024 - Paris (France) 10 octobre 2024 : Cloud Nord - Lille (France) 10-11 octobre 2024 : Volcamp - Clermont-Ferrand (France) 10-11 octobre 2024 : Forum PHP - Marne-la-Vallée (France) 11-12 octobre 2024 : SecSea2k24 - La Ciotat (France) 16 octobre 2024 : DotPy - Paris (France) 16-17 octobre 2024 : NoCode Summit 2024 - Paris (France) 17-18 octobre 2024 : DevFest Nantes - Nantes (France) 17-18 octobre 2024 : DotAI - Paris (France) 30-31 octobre 2024 : Agile Tour Nantais 2024 - Nantes (France) 30-31 octobre 2024 : Agile Tour Bordeaux 2024 - Bordeaux (France) 31 octobre 2024-3 novembre 2024 : PyCon.FR - Strasbourg (France) 6 novembre 2024 : Master Dev De France - Paris (France) 7 novembre 2024 : DevFest Toulouse - Toulouse (France) 8 novembre 2024 : BDX I/O - Bordeaux (France) 13-14 novembre 2024 : Agile Tour Rennes 2024 - Rennes (France) 20-22 novembre 2024 : Agile Grenoble 2024 - Grenoble (France) 21 novembre 2024 : DevFest Strasbourg - Strasbourg (France) 21 novembre 2024 : Codeurs en Seine - Rouen (France) 27-28 novembre 2024 : Cloud Expo Europe - Paris (France) 28 novembre 2024 : Who Run The Tech ? - Rennes (France) 3-5 décembre 2024 : APIdays Paris - Paris (France) 4-5 décembre 2024 : DevOpsRex - Paris (France) 4-5 décembre 2024 : Open Source Experience - Paris (France) 6 décembre 2024 : DevFest Dijon - Dijon (France) 22-25 janvier 2025 : SnowCamp 2025 - Grenoble (France) 16-18 avril 2025 : Devoxx France - Paris (France) Nous contacter Pour réagir à cet épisode, venez discuter sur le groupe Google https://groups.google.com/group/lescastcodeurs Contactez-nous via twitter https://twitter.com/lescastcodeurs Faire un crowdcast ou une crowdquestion Soutenez Les Cast Codeurs sur Patreon https://www.patreon.com/LesCastCodeurs Tous les épisodes et toutes les infos sur https://lescastcodeurs.com/

Open Source Security Podcast
Episode 437 - CocoPods and proper funding for open source

Open Source Security Podcast

Play Episode Listen Later Jul 15, 2024 36:50


Josh and Kurt talk about a pretty big bug found in CocoPods ownership. We also touch on a paper that discusses the technical debt that open source should have. We discuss what the long term sustainability of open source. There aren't any good solutions for open source today, but talking about these problems is important, we have to start to understand what's going on before we can plausibly discuss solutions. If you're an open source project that needs to put things on pause, or even walk way, that's OK. Show Notes CocoaPods Vulnerabilities Could Hit Apple, Microsoft, Facebook, TikTok, Snap and More The Expense of Unprotected Free Software Long-term maintenance of PCRE2 #426

Paul's Security Weekly
State Of Application Security 2024 - Sandy Carielli, Janet Worthington - ASW #290

Paul's Security Weekly

Play Episode Listen Later Jul 9, 2024 72:41


Sandy Carielli and Janet Worthington, authors of the State Of Application Security 2024 report, join us to discuss their findings on trends this year! Old vulns, more bots, and more targeted supply chain attacks -- we should be better at this by now. We talk about where secure design fits into all this why appsec needs to accelerate to ludicrous speed. Segment resources https://www.forrester.com/blogs/ludicrous-speed-because-light-speed-is-too-slow-to-secure-your-apps/ They're also conducting a survey on how orgs use Top 10 lists. Provide your response at https://forrester.co1.qualtrics.com/jfe/form/SV_9Z7ARUQjuzNQf0q Polyfill loses trust after CDN misuse, an OpenSSH flaw reappears, how to talk about secure design from some old CocoaPods vulns, using LLMs to find bugs, Burp Proxy gets more investment, and more! Visit https://www.securityweekly.com/asw for all the latest episodes! Show Notes: https://securityweekly.com/asw-290

Paul's Security Weekly TV
Polyfill Empties Trust, regreSSHion, CocoaPods Vulns & Secure Design, LLM Bughunters - ASW #290

Paul's Security Weekly TV

Play Episode Listen Later Jul 9, 2024 34:30


Polyfill loses trust after CDN misuse, an OpenSSH flaw reappears, how to talk about secure design from some old CocoaPods vulns, using LLMs to find bugs, Burp Proxy gets more investment, and more! Show Notes: https://securityweekly.com/asw-290

Application Security Weekly (Audio)
State Of Application Security 2024 - Sandy Carielli, Janet Worthington - ASW #290

Application Security Weekly (Audio)

Play Episode Listen Later Jul 9, 2024 72:41


Sandy Carielli and Janet Worthington, authors of the State Of Application Security 2024 report, join us to discuss their findings on trends this year! Old vulns, more bots, and more targeted supply chain attacks -- we should be better at this by now. We talk about where secure design fits into all this why appsec needs to accelerate to ludicrous speed. Segment resources https://www.forrester.com/blogs/ludicrous-speed-because-light-speed-is-too-slow-to-secure-your-apps/ They're also conducting a survey on how orgs use Top 10 lists. Provide your response at https://forrester.co1.qualtrics.com/jfe/form/SV_9Z7ARUQjuzNQf0q Polyfill loses trust after CDN misuse, an OpenSSH flaw reappears, how to talk about secure design from some old CocoaPods vulns, using LLMs to find bugs, Burp Proxy gets more investment, and more! Visit https://www.securityweekly.com/asw for all the latest episodes! Show Notes: https://securityweekly.com/asw-290

Absolute AppSec
Episode 251 - Passive Scanning, Chrome Extensions, CocoaPods, NVD

Absolute AppSec

Play Episode Listen Later Jul 9, 2024


Seth and Ken are back with Episode 251, continuing on with their ranting over all things application security. This starts with a discussion of Mozilla's HTTP Observatory that scans sites for security-relevant headers and leads to a discussion of so-called "passive" scanning of internet sets for risk analysis purposes. This is followed by a walkthrough of the recent exploit of Chrome extensions for remote code execution on client browsers. Compromise of the Apple-focused CocoaPods package repository. Finally, a discussion about recent problems and headaches at the National Vulnerability Database (NVD).

枫言枫语
Vol. 122 科技快乐星球27: 苹果欧盟又掐架,Vision Pro中国上市

枫言枫语

Play Episode Listen Later Jul 9, 2024 80:21


又快又欢乐的科技快乐星球时间,首先欧盟又对苹果出手啦,缘起上次苹果同意欧盟判决,愿意在欧洲支持第三方市场side load,但又给出了没啥诚意的方案,同时宣布将延期Apple Intelligent等新功能在欧洲上市时间,这下可好,双方是真的掐上了。 另一边,苹果的Vision Pro倒是顺利在中国上市,定价29999元,数字长得有点数不过来,不晓得对财报能否有正向影响。 如果说苹果在欧盟被搞还难说是谁的问题大一些,那么FTC控告Adobe的霸王取消订阅惩罚费违法,则可以说是大快人心呀,借苹果广告一言,真可谓是“大快所有人心的大好事”呀。 时间轴 00:00:00 开场 00:00:16 欧盟苹果又掐架啦 00:12:21 Apple ID可能将改名Apple Account 00:15:52 Apple Vision Pro在中国上市 00:20:55 Phil或将出席OpenAI董事会观察员职位 00:22:43 macOS Beta推出iPhone镜像功能 00:32:23 苹果将iPhone X, HomePod, AirPods列为过时产品 00:34:46 Adobe的取消订阅惩罚费,被FTC控告为违法行为 00:53:13 全球首款支持GTT-4o的智能眼镜Solos Air Go Vision发布 00:56:05 国产AI大模型高考成绩出炉 01:06:11 ChatTTS堪称最强自然人语音模型 01:12:16 CocoaPods平台漏洞披露,请开发者们尽快升级 01:14:20 艾尔登法环,黄金树幽影DLC赢麻了 01:16:33 黑神话悟空发售在即 相关信息 主播: 枫影 Justin Yan 主播: 自力 hzlzh 后期: 枫影 Justin Yan 微信听友群:加fyfyFM进群 听众反馈: hi@fyfy.fm 节目收听方式 推荐使用苹果Podcast, 小宇宙等播客客户端搜索“枫言枫语”来订阅收听本节目。 荔枝FM,喜马拉雅,蜻蜓FM等平台亦有同步。 小宇宙 - 枫言枫语 直接订阅 Feed URL Apple iTunes Podcast - 枫言枫语 The post Vol. 122 科技快乐星球27: 苹果欧盟又掐架,Vision Pro中国上市 first appeared on 枫言枫语.

Application Security Weekly (Video)
Polyfill Empties Trust, regreSSHion, CocoaPods Vulns & Secure Design, LLM Bughunters - ASW #290

Application Security Weekly (Video)

Play Episode Listen Later Jul 9, 2024 34:30


Polyfill loses trust after CDN misuse, an OpenSSH flaw reappears, how to talk about secure design from some old CocoaPods vulns, using LLMs to find bugs, Burp Proxy gets more investment, and more! Show Notes: https://securityweekly.com/asw-290

Intego Mac Podcast
Episode 351: New iPhone Chips, macOS Sequoia Features, and the regreSSHion Vulnerability

Intego Mac Podcast

Play Episode Listen Later Jul 4, 2024 28:43


Further observations on using the new iPad Pro. Which iPhone models will be able to use Apple Intelligence and why? An Apple leak provides answers. What is the regreSSHion vulnerability and how could it impact your Mac? And the number of features coming in macOS Sequoia that Intel Macs won't support may surprise you. Show Notes: Apple's Phil Schiller to Serve as OpenAI Board Observer as Part of iOS 18 AI Agreement Apple Leak Confirms Four iPhone 16 Models With Same A18 Chip Apple Boosts A18 Chip Orders in Anticipation of High iPhone 16 Demand Here Are the macOS Sequoia Features Intel Macs Won't Support macOS Sequoia Supports HDMI Passthrough for Dolby Atmos Content New Intel CPU Vulnerability 'Indirector' Exposes Sensitive Data CPUSetter 'Almost every Apple device' vulnerable to CocoaPods supply chain attack 3 million iOS and macOS apps were exposed to potent supply-chain attacks WA man set up fake free wifi at Australian airports and on flights to steal people's data, police allege Intego Privacy Protection Intego Mac Premium Bundle X9 is the ultimate protection and utility suite for your Mac. Download a free trial now at intego.com, and use this link for a special discount when you're ready to buy.

MacBreak Weekly (Audio)
MBW 928: Hey, At Least They're Reading - EU Commissioner, CocoaPods, Apple TV+

MacBreak Weekly (Audio)

Play Episode Listen Later Jul 2, 2024 123:38


The European Competition Commissioner says that Apple is showing anticompetitive behavior by withholding the release of its AI system in Europe. iOS and macOS Apps are exposed to supply chain attacks through critical flaws in CocoaPods. Happy Repair Independence Day! And Apple TV+ is growing in the US, overtaking Paramount+. EU Competition Commissioner says Apple's decision to pull AI from EU shows anticompetitive behavior. Apple has sent a mysterious request for materials relating to the development of OLED+CF Displays for future headsets to Samsung & LG. Apple to begin mass production of AirPods with cameras by 2026. Critical flaws in CocoaPods expose iOS and macOS apps to supply chain attacks. Apple may want to monetize advanced Apple Intelligence features in the future. Apple's "Longevity, by Design" whitepaper argues its huge scale affects its repair policies. Today, twenty percent of the US has the right to repair electronics. Happy Repair Independence Day! Apple TV+ continues to grow in the US, overtaking Paramount+. The mute button gets a welcome, no-brainer upgrade in iOS 18 and tvOS 18. Picks of the Week: Alex's Pick: Central Control Andy's Pick: Swish Window Manager Jason's Pick: Unshaky Hosts: Leo Laporte, Alex Lindsay, Andy Ihnatko, and Jason Snell Download or subscribe to this show at https://twit.tv/shows/macbreak-weekly. Get episodes ad-free with Club TWiT at https://twit.tv/clubtwit Sponsor: cachefly.com/twit

All TWiT.tv Shows (MP3)
MacBreak Weekly 928: Hey, At Least They're Reading

All TWiT.tv Shows (MP3)

Play Episode Listen Later Jul 2, 2024 123:38


The European Competition Commissioner says that Apple is showing anticompetitive behavior by withholding the release of its AI system in Europe. iOS and macOS Apps are exposed to supply chain attacks through critical flaws in CocoaPods. Happy Repair Independence Day! And Apple TV+ is growing in the US, overtaking Paramount+. EU Competition Commissioner says Apple's decision to pull AI from EU shows anticompetitive behavior. Apple has sent a mysterious request for materials relating to the development of OLED+CF Displays for future headsets to Samsung & LG. Apple to begin mass production of AirPods with cameras by 2026. Critical flaws in CocoaPods expose iOS and macOS apps to supply chain attacks. Apple may want to monetize advanced Apple Intelligence features in the future. Apple's "Longevity, by Design" whitepaper argues its huge scale affects its repair policies. Today, twenty percent of the US has the right to repair electronics. Happy Repair Independence Day! Apple TV+ continues to grow in the US, overtaking Paramount+. The mute button gets a welcome, no-brainer upgrade in iOS 18 and tvOS 18. Picks of the Week: Alex's Pick: Central Control Andy's Pick: Swish Window Manager Jason's Pick: Unshaky Hosts: Leo Laporte, Alex Lindsay, Andy Ihnatko, and Jason Snell Download or subscribe to this show at https://twit.tv/shows/macbreak-weekly. Get episodes ad-free with Club TWiT at https://twit.tv/clubtwit Sponsor: cachefly.com/twit

MacBreak Weekly (Video HI)
MBW 928: Hey, At Least They're Reading - EU Commissioner, CocoaPods, Apple TV+

MacBreak Weekly (Video HI)

Play Episode Listen Later Jul 2, 2024 123:38


The European Competition Commissioner says that Apple is showing anticompetitive behavior by withholding the release of its AI system in Europe. iOS and macOS Apps are exposed to supply chain attacks through critical flaws in CocoaPods. Happy Repair Independence Day! And Apple TV+ is growing in the US, overtaking Paramount+. EU Competition Commissioner says Apple's decision to pull AI from EU shows anticompetitive behavior. Apple has sent a mysterious request for materials relating to the development of OLED+CF Displays for future headsets to Samsung & LG. Apple to begin mass production of AirPods with cameras by 2026. Critical flaws in CocoaPods expose iOS and macOS apps to supply chain attacks. Apple may want to monetize advanced Apple Intelligence features in the future. Apple's "Longevity, by Design" whitepaper argues its huge scale affects its repair policies. Today, twenty percent of the US has the right to repair electronics. Happy Repair Independence Day! Apple TV+ continues to grow in the US, overtaking Paramount+. The mute button gets a welcome, no-brainer upgrade in iOS 18 and tvOS 18. Picks of the Week: Alex's Pick: Central Control Andy's Pick: Swish Window Manager Jason's Pick: Unshaky Hosts: Leo Laporte, Alex Lindsay, Andy Ihnatko, and Jason Snell Download or subscribe to this show at https://twit.tv/shows/macbreak-weekly. Get episodes ad-free with Club TWiT at https://twit.tv/clubtwit Sponsor: cachefly.com/twit

Radio Leo (Audio)
MacBreak Weekly 928: Hey, At Least They're Reading

Radio Leo (Audio)

Play Episode Listen Later Jul 2, 2024 123:38


The European Competition Commissioner says that Apple is showing anticompetitive behavior by withholding the release of its AI system in Europe. iOS and macOS Apps are exposed to supply chain attacks through critical flaws in CocoaPods. Happy Repair Independence Day! And Apple TV+ is growing in the US, overtaking Paramount+. EU Competition Commissioner says Apple's decision to pull AI from EU shows anticompetitive behavior. Apple has sent a mysterious request for materials relating to the development of OLED+CF Displays for future headsets to Samsung & LG. Apple to begin mass production of AirPods with cameras by 2026. Critical flaws in CocoaPods expose iOS and macOS apps to supply chain attacks. Apple may want to monetize advanced Apple Intelligence features in the future. Apple's "Longevity, by Design" whitepaper argues its huge scale affects its repair policies. Today, twenty percent of the US has the right to repair electronics. Happy Repair Independence Day! Apple TV+ continues to grow in the US, overtaking Paramount+. The mute button gets a welcome, no-brainer upgrade in iOS 18 and tvOS 18. Picks of the Week: Alex's Pick: Central Control Andy's Pick: Swish Window Manager Jason's Pick: Unshaky Hosts: Leo Laporte, Alex Lindsay, Andy Ihnatko, and Jason Snell Download or subscribe to this show at https://twit.tv/shows/macbreak-weekly. Get episodes ad-free with Club TWiT at https://twit.tv/clubtwit Sponsor: cachefly.com/twit

All TWiT.tv Shows (Video LO)
MacBreak Weekly 928: Hey, At Least They're Reading

All TWiT.tv Shows (Video LO)

Play Episode Listen Later Jul 2, 2024 123:38


The European Competition Commissioner says that Apple is showing anticompetitive behavior by withholding the release of its AI system in Europe. iOS and macOS Apps are exposed to supply chain attacks through critical flaws in CocoaPods. Happy Repair Independence Day! And Apple TV+ is growing in the US, overtaking Paramount+. EU Competition Commissioner says Apple's decision to pull AI from EU shows anticompetitive behavior. Apple has sent a mysterious request for materials relating to the development of OLED+CF Displays for future headsets to Samsung & LG. Apple to begin mass production of AirPods with cameras by 2026. Critical flaws in CocoaPods expose iOS and macOS apps to supply chain attacks. Apple may want to monetize advanced Apple Intelligence features in the future. Apple's "Longevity, by Design" whitepaper argues its huge scale affects its repair policies. Today, twenty percent of the US has the right to repair electronics. Happy Repair Independence Day! Apple TV+ continues to grow in the US, overtaking Paramount+. The mute button gets a welcome, no-brainer upgrade in iOS 18 and tvOS 18. Picks of the Week: Alex's Pick: Central Control Andy's Pick: Swish Window Manager Jason's Pick: Unshaky Hosts: Leo Laporte, Alex Lindsay, Andy Ihnatko, and Jason Snell Download or subscribe to this show at https://twit.tv/shows/macbreak-weekly. Get episodes ad-free with Club TWiT at https://twit.tv/clubtwit Sponsor: cachefly.com/twit

Radio Leo (Video HD)
MacBreak Weekly 928: Hey, At Least They're Reading

Radio Leo (Video HD)

Play Episode Listen Later Jul 2, 2024 123:38


The European Competition Commissioner says that Apple is showing anticompetitive behavior by withholding the release of its AI system in Europe. iOS and macOS Apps are exposed to supply chain attacks through critical flaws in CocoaPods. Happy Repair Independence Day! And Apple TV+ is growing in the US, overtaking Paramount+. EU Competition Commissioner says Apple's decision to pull AI from EU shows anticompetitive behavior. Apple has sent a mysterious request for materials relating to the development of OLED+CF Displays for future headsets to Samsung & LG. Apple to begin mass production of AirPods with cameras by 2026. Critical flaws in CocoaPods expose iOS and macOS apps to supply chain attacks. Apple may want to monetize advanced Apple Intelligence features in the future. Apple's "Longevity, by Design" whitepaper argues its huge scale affects its repair policies. Today, twenty percent of the US has the right to repair electronics. Happy Repair Independence Day! Apple TV+ continues to grow in the US, overtaking Paramount+. The mute button gets a welcome, no-brainer upgrade in iOS 18 and tvOS 18. Picks of the Week: Alex's Pick: Central Control Andy's Pick: Swish Window Manager Jason's Pick: Unshaky Hosts: Leo Laporte, Alex Lindsay, Andy Ihnatko, and Jason Snell Download or subscribe to this show at https://twit.tv/shows/macbreak-weekly. Get episodes ad-free with Club TWiT at https://twit.tv/clubtwit Sponsor: cachefly.com/twit

Cocoa Pods
The Art of Naturopathy for Vibrant Health

Cocoa Pods

Play Episode Listen Later May 16, 2024 17:19 Transcription Available


Unlock the secrets of naturopathic medicine with Dr. Jessica Patella, whose expertise in homeopathy and exercise physiology shines a light on alternative approaches to health and wellness. Embark on a journey from her formative years at Florida State University to a pivotal meeting with a homeopathic doctor that forever changed her career path. This episode peels back the layers of naturopathic educational rigor, paralleling traditional medical training while fostering a profound connection with natural healing practices. We delve into the world of 'like cures like,' a fundamental homeopathic principle, and discuss the crucial steps naturopathic doctors take to become licensed, ensuring that patients receive care from qualified professionals prepared to treat a variety of conditions with holistic precision.Step into the healing gardens of naturopathy, where nutrition, botanical medicine, and homeopathy converge to craft a preventive lifestyle brimming with vitality. Dr. Patella shares how expectant mothers can find solace in homeopathic remedies for the myriad nuances of pregnancy, easing everything from nausea to labor pains with gentle, natural solutions. Then, stir your curiosity as we explore the ginger root's dual life as a kitchen staple and a potent botanical remedy. By simply steeping slices of this fiery root, discover how you can create a therapeutic elixir that calms your stomach and invigorates your senses. Join us on CocoaPods podcast for an enlightening session that promises to enrich your understanding of how naturopathic medicine seamlessly integrates into daily life, fostering health through the bounty of nature's apothecary.Support the Show.

AppStore Tagebuch
038 - CocoaPods-frei

AppStore Tagebuch

Play Episode Listen Later Feb 5, 2023 108:03


Wir reden über Marketing, Umzüge, Sprachkurse, App-Ideen, $100/Monat für APIs und ein bisschen anderen Kram.

Code Completion
88: CocoaPods Were Just a Bad Dream

Code Completion

Play Episode Listen Later Jun 21, 2022 62:47


Welcome to Code Completion, Episode 88! We are a group of iOS developers and educators hoping to share what we love most about development, Apple technology, and completing your code! Follow us @CodeCompletion (https://twitter.com/CodeCompletion) on Twitter to hear about our upcoming livestreams, videos, and other content. Today, we discuss: - Improvements to Xcode 14: - Xcode 14 Release Notes (https://developer.apple.com/documentation/Xcode-Release-Notes/xcode-14-release-notes) - Hacking with Swift (https://www.hackingwithswift.com/articles/251/whats-new-in-xcode-14) - Commented Out: Relying on Dependencies Your hosts for this week: * Spencer Curtis (https://twitter.com/SpencerCCurtis) * Dimitri Bouniol (https://twitter.com/DimitriBouniol) Be sure to also sign up to our monthly newsletter (https://codecompletion.io/), where we will recap the topics we discussed, reveal the answers to #CompleteTheCode, and share even more things we learned in between episodes. You are what makes this show possible, so please be sure to share this with your friends and family who are also interested in any part of the app development process. Sponsor This week's episode of Code Completion is brought to you by Weekly Swift Exercises. Go to https://twitter.com/swiftexercises today to check it out!

Dev90X: Zero to App in 90 Days
Day 66: Learn to Code 2: Complete! Working with... Firebase, Cocoapods, Harry, Learn to Code, Stanford iOS.

Dev90X: Zero to App in 90 Days

Play Episode Listen Later Oct 11, 2021 8:23


Discussion: Breaking the impossible down into the possible. Progress Update: 14 learn to code 2 challenges (Done!) Trying to implement firebase pods Ran into some roadblocks with pods and M1 Finished watching Stanford Lecture 6 Designed a little path to pro - programmer for myself 1 hour meeting with Harry going over the Miro board dev90x.com

devtools.fm
Orta Therox - CocoaPods, Danger, TypeScript

devtools.fm

Play Episode Listen Later Jun 11, 2021 51:24 Transcription Available


Listen to us chat with Orta Therox, creator and maintainer of a decades worth of open source tooling!

React Native Radio
RNR 187 - TypeScript!

React Native Radio

Play Episode Listen Later Jan 28, 2021 57:21


This episode brought to you by Infinite Red! Infinite Red is a premier React Native design and development agency located in the USA. With five years of React Native experience and deep roots in the React Native community (hosts of Chain React and the React Native Newsletter), Infinite Red is the best choice for your next React Native app.Helpful Links: State of JS 2020: https://survey.stateofjs.com/survey/state-of-js/2020TypeScript: https://www.typescriptlang.org/docs/TS handbook https://www.typescriptlang.org/docs/handbook/intro.htmlNew website and logo: https://devblogs.microsoft.com/typescript/announcing-the-new-typescript-website/Weird bug (UI Kitten ): https://akveo.github.io/react-native-ui-kittenConnect With Us!React Native Radio: @ReactNativeRdioHarris - @nomadicspoonJamon - @jamonholmgrenOrta - @ortaRobin - @robin_heinze  

Reversim Podcast
398 with Danny Grander from Snyk

Reversim Podcast

Play Episode Listen Later Nov 29, 2020


חדש! ביום ראשון 6.12 בשעה 13:00 נקיים ״שאל.י אותי מה שבא לך״ (AMA) עם דני, המרואיין של הפרק בערוץ הדיסקורד הבא https://discord.gg/Nzq4w7hY ההרשמה פשוטה ואין צורך בהתקנה. מוזמנים להצטרף לערוץ ולשאול שאלות (ניתן לשאול בכל עת, דני יהיה שם בשעה הנקובה בלייב)פודקאסט מספר 398 של רברס עם פלטפורמה: כבר הרבה (הרבה) זמן שלא נפגשנו ולא הקלטנו - ובקרוב אנחנו ב-400 . . עוד שניים, אלא אם כן זה בבינארי ואז זה סיפור אחר לגמרי.(אורי) ואנחנו כשבוע לאחר הכנס הוירטואלי הראשון שלנו!(רן) שבוע לאחר הכנס הוירטואלי הראשון - והוידאו כבר יצאו, בניגוד לכנסים אחרים, זה אחד היתרונות של כנסים וירטואליים . . . כמעט ולא פרסמנו את זה פה בפודקאסט כי איכשהו זה יצא, ככה, “אורגני”, לא היה CFP כמו בכל שנה - אבל הכנס התקיים בשבוע שעבר והיה מאוד מוצלח, השתתפו כמה אלפי צופים ומאזינים - והיה כיף.(אורי) וירטואלית, מבחינת השתתפות, יכולנו להגיע לקהל הרבה יותר גדול, כמעט 3,000 איש!(רן) נכוןוהדבר האחרון שלא אמרנו - אנחנו תמיד מקפידים לציין את התאריך, אז היום ה-24 בנובמבר (2020 . . .), והאורח שלנו היום הוא דני מ-Snyk. אמרנו נכון את השם? כן? - מעולה.אז כיף שבאת! יכול להיות שחלק מהמאזינים כבר מכיר - דני דיבר כבר בעבר בכנס שלנו (ב-2018 וב-2019), ואנחנו שמחים לארח שוב - היום נדבר גם על Snyk וגם על כמה ממצאים מעניינים שמצאתם אצלכם.אבל לפני הכל - ספר קצת על עצמך: מניין באת, ואולי גם לאן אתה הולך?(דני) אז דני - אחד ממקימי חברת Snyk, ברקע שלי מגיע מעולמות של מחקר ואבטחת מידע, עוד מהתקופה שלפני הצבא ואח”כ בשירות ב-8200 - ומשם דרך כמה סטארטאפים, שרובם היו סביב מוצרי Security, אבטחת מידע.לפני ההקמה של Snyk ביליתי כ-7 שנים בתפקיד CTO של חברת Gita Technologies - חברת Cyber, סביב מחקר על קריפטוגרפיה ועולמות כאלה.ב-Snyk זה כבר חמש שנים מאז שקמנו - עד לפני מספר חודשים הייתי אחראי על כל תחום ה-Security בחברה, מבחינת המוצר, מבחינת המחקר וכל הצד הזה אז גם ניהלתי את סניף ישראל.לפני שלושה חודשים יצאתי לחופשת לידה - והיום אני חוזר, בפוקוס יותר סביב מחקר וסוג הדברים שגם נדבר עליהם יותר היום.(רן) אז עבור המפתחים שעוד לא יצא להם לפגוש את Snyk - כמה מילים על החברה, מה אתם עושים?(דני) אנחנו חברה שבונה מוצרי Security למפתחיםהתחלנו מעולמות של ה-Security של ה-Open Source, של ספריות קוד פתוח 3rd-party שכולנו צורכים, כשהמוצר הראשון עזר למפתחים לתת איזושהי Visibility על אילו ספריות אנחנו בסוף מושכים לתוך הפרויקט שלנו.בדרך כלל אנחנו מכירים את הספריות המיידיות שאנחנו בוחרים - ה-1st level dependencies - אבל כל ספרייה כזו מושכת עוד, וככה ממשיכים להביא עוד ספריותובסוף יש לנו המון תוכנה שמשכנו לתוך הפרויקט שלנו, והיא הופכת להיות ממש חלק מהאפליקציה שלנו.אז אנחנו בעצם עזרנו ב (א) “להאיר בפנס” את כל העולם הזה ו(ב) בעצם להצביע על חולשות אבטחה ופגיעויות שנמצאות בגרסאות מסויימות - חולשות ידועות בדר”כ, מוכרות, שיש להן את ה-CVE, המזהה של החולשה, שנמצאות באחת הספריות שבסוף נכנסו לתוך פרויקט התוכנה.ודבר אחרון, אחד הדברים המשמעותיים ששונים ב-Snyk לעומת מוצרים אחרים זה שגם עזרנו לתקן את זה - ברמה של Pull Requests שנפתחים מול הפרויקט ה-GitHub-י ממש, למשל כדי לעדכן את הספריה לגרסא לא פגיעה.(אורי) מעניין - אתם בדרך כלל עושים את זה אקטיבית? פרו-אקטיבית? או שהפרויקטים באים אליכם ומבקשים “תסרקו לנו ותגידו לנו מה . . .”(דני) כל מה שאמרתי תקף לפרויקט “שלך”, לא לפרויקט של ה-Open Source.אם אתה למשל בונה פרויקט בNode.js, ומשכת ספרייה בשם left-pad, שמשכה ספרייה בשם אחר כלשהו - אז אני סורק בעצם את הפרוייקט שלך, וכשאני פותח Pull-Request ומתקן לך חולשה בגרסת left-pad 3 ומעדכן לגרסת left-pad 5, כי שם אין חולשה - אז זה קורה בפרויקט שלך.לנו יש את ה-Database שבעצם מכיל את כל החולשות של כל הגרסאות, כשיש המון ב-npm או כל Package manager אחר.(אורי) ויש ממש עבודה צמודה גם עם המפתחים של פרויקטי ה-Open Source?(דני) כן, חד-משמעיתזה משהו שהפך להיות ממש פעילות רחבה - כל חולשה שאנחנו מוצאים (שצוות האנליסטים שלנו מוצא), אנחנו לא רק מוסיפים ל-Database שלנו אלא אנחנו ממש גורמים לכך שתיהיה כמה שיותר מודעות לחולשה הזו, בין היתר גם ע”י להצמיד את המזהה CVE לחולשה.אנחנו היום CVE Numbering Authority -יש לנו מעיין “טווח” של Identifiers שאנחנו יכולים לשייך.אנחנו ממש כותבים את התיאור ועובדים גם עם ה-Maintainer - פונים ל-Maintainer, ולפעמים הם אפילו לא מודעים לכך שיש חולשה, כי מישהו פתח issue על הפרויקט ומישהו שלח להם מייל - לפעמים אין להם זמן לתקן את החולשה . . .אז אנחנו בעצם מדברים עם ה-Maintainers ישירות על מנת לעזור להם לעשות איזשהו Process שמקובל בעולם ה-Security, למשל לשייך את ה-Identifier לחולשה, אבל בין היתר גם ממש לעזור להם לתקן, אם הם צריכים איזשהו Expertise של Security ודברים בסגנון הזה.(רן) וכמו שרמזת, נשמע שאתם נמצאים בעולם ה-Node.js - בגדול אם אני מפתח Node.js אז הבנתי, ואם אני מפתח בטכנולוגיות אחרות אז אתם גם?(דני) לחלוטין - אנחנו תומכים היום בכל השפות - התחלנו מ-Node.js אבל מהר מאוד התרחבנו לכל ה-Ecosystem, אנחנו תומכים בכל השפותבעצם אנחנו מסתכלים על Package Managers - אז זה Maven ו-Gradle ובעצם כל ה-Ecosystems הכי גדולים.אבל מעבר למוצר של ה-3rd-party components יש לנו גם מוצרים אחרים - היום אנחנו עושים את אותו הדבר בעצם לעולם ה-Containers, מסתכלים על ה-Container ואילו רכיבים נמשכים לתוכו ומתריאים שם על חולשות, בעצם אותו הרעיון.ה-Container היום הוא הרחבה של האפליקציה, ה-Docker file יושב ב-Git וזה חלק מאותו העולם - והיום גם נכנסים לעולמות של Infrastructure-as-a-Code לא מזמן רכשנו חברה שהיא בעצם נותנת לנו גם את הכניסה לעולמות של הקוד ה-Proprietary שאתה כותב - ה10-20% של הקוד שאתה כותב - אנחנו מסתכלים גם עליהם, מה שנקרא Static Code Analysisאז אנחנו היום כבר מדברים על ארבעה מוצרים, מה שהופך אותנו לפלטפורמה של ממש כל פתרונות ה-Security שהמפתח צריך.(רן) אז אם אני מפתח, ואני כותב קוד ואולי אני חי באשליה שאני משתמש בספריות קוד פתוח אז הכל בסדר ואני יכול לקרוא את הקוד או שמישהו אחר קרא את הקוד והן Secured- אז כנראה שאני באמת חי באשליה וכדאי שאני אשתמש במוצר כמו Snyk, או מוצר דומה לו, שלפחות יעזור לי לדעת שאני בסדר, שלא שגיתי ושאני לא משתמש ב-Dependency שהוא כבר מסוכן.(אורי) אבל האם יש מצב שבו יש סכנה ב-Dependency, אבל הקוד שלי לא מפעיל אותו?(דני) שאלה מצויינת - זה מצב שקורה לא מעט . . .(אורי) אולי אני לא מכיר את האג’נדה לפני . . .(דני) זה באמת מצב שקורה לא מעט - ויש פה כמה דברים:(א) אם אנחנו מאפשרים לך לתקן את הבעיה בקלות, גם אם היא כרגע לא “בעיה” - אתה משתמש בספריה, שיש בה איזושהי חולשה אבל אתה לא משתמש עכשיו בפונקציונאליות הפגיעה - אז מצד אחד אי אפשר לתקוף את האפליקציה, אבל מצד שני אולי מחר מישהו יתחיל להשתמש בפונקציה הבעייתית, אז יש כאן איזשהו אלמנט שאם זה לא עולה לך הרבה אז אתה רוצה להיפטר ממנו ולהוריד גם את הסיכון הקטן הזה.(אורי) במיוחד אם זה בסה”כ שידרוג גרסא . . .(דני) יש מפתחים שכשאתה אומר להם “זה כולו שדרוג גרסא” יענו לך ש”בטח זה שטויות” - ב-npm למשל זה קורה כל הזמן; ב-Java המפתחים בדר”כ קצת יותר רגישים לשדרוג גרסא, אז זה יכול להיות שונה בין ה-Ecosystems - אבל בגדול . . .(רן) זה גם עניין של גיל . . .(דני) זה גם נכון . . .אז באמת מה שאנחנו שואפים אליו זה שתפתור כמה שיותר בעיות שאתה יכול, כל עוד זה קל - וכשאתה באמת צריך בסוף לבחור ואין לך את כל הזמן שבעולם לתקן ולשדרג את הספריות, אז במצב הזה כן יש לנו כל מיני תוספים שאתה יכול לנסותלמשל אנחנו יכולים גם ממש לנתח את הקוד ולהסתכל ב-Run Time מה נקרא ומה לאלמשל עם היכולות החדשות של ניתוח הקוד הסטטי של הקוד שאתה כותב - זה מאפשר לנו גם לעשות את הההצמדה הזו, של מה שאתה באמת משתמש בו ומה שלא.כל הדברים האלה יכולים לעזור, אבל בהחלט יש פה מעניין “משיכת שמיכה” כזו, של כמה אתה מוכן להשקיע ב”הגיינת ה-Security” שלך - וה-Quality בכלל, לאו דווקא Security, כי זה לא רק חולשות: יש גם באגים ודברים שמותקנים בגרסאות - לעומת כמה סיכון אתה יכול לקחת עם לשדרג דברים ולשנות ולהתעסק בזה.(אורי) לעשות Yak Shaving . . . (רפרנס ל Ren & Stimpy?!)(רן) והמוצר עצמו יושב בדר”כ ,טיפוסית, איפה - ב-CI? ב-IDE?(דני) היום האינטגרציות הן לאורך כל הדרך, החל מה-IDE ועד ל Build ,ל-CI - וחלק מהאלמנטים נמצאים גם ב-Run time.השאיפה היא תמיד לשבת כמה שיותר קרוב וכמה שיותר מוקדם - ושם Source code management כמו GitHub או GitLab אלו האיזורים שהם הכי . . . (רן) אז שתי שאלות, לפני שנמשיך - (1) מאיפה השם? (2) מאיפה הלוגו? מה זה בכלל - שועל? כלב?(דני) זה כלב, דוברמן . . .השם? זה התחיל מזה שמצאנו . . .(רן) רק נגיד איך מאייתים את זה - זה S N Y K (בטקסט זה דווקא עובד יותר טוב . . . )(דני) נכון, זה So Now You Know . . .(אורי) Domain פנוי?(דני) אכן Domain פנוי . . . זה התחיל כמובן, כמו כל סטארטאפ טוב, מ-Domain פנוי(רן) סיפור אמיתי, שמתחיל עם שתי בירות . . .(דני) אז זה Domain של ארבע אותיות, אבל מהר מאוד גילינו שזה גם “So Now You Know”, שזה בדיוק . . . אנחנו התחלנו מהמוצר של להראות לך את הספריות שאתה צורך ושאתה לרוב לא יודע שאתה צורך, וכן - משם זה תפס.הלוגו - ניסינו כמה ניסיונות עם לוגואים וכולם היו כושלים, עד שפגשנו איזשהו מעצב, שאמרנו לו שבגדול אנחנו חברת Security אבל אנחנו כלי למפתחים ואנחנו חברת Security לא קלאסית, לא “סייבר-סייבר” והפחדות וכזה, אלא שאנחנו באים באופן קונסטרוקטיבי וטוב לעזור, ושזה צריך להיות כלב עם רצינות אבל גם חמידות - ואני מקווה שזה יצא טוב . . .אבל באמת - הוא ב One shot הצליח לעשות את הלוגו, ומאז לא . . .(רן) זה דווקא אחלה סלוגן - “חברת Security, אבל באים בטוב”, זה יכול לתפוס . . . (דני) שמע, גם אני מגיע מהעולמות האלה - מהסייבר, וזה קצת כזה . . . מכירה בעולמות האלה נראית הרבה פעמים כמו פרוטקשיין - “יש לך עסק יפה, חבל שמשהו יקרה לו . . .”(אורי) “יש לך פנים יפות, חבל . . .”(דני) אז באמת זה מה שהיה שונה אצלנו כבר מ-Day one בגישה - גם מבחינת המוצר וגם מבחינת ה-DNA של החברה, שבאנו לא בהפחדות.אגב - לא היינו באף כנס Security בשלוש השנים הראשונות של החברה, הלכנו רק לכנסים של מפתחים.(רן) מצויין - אז זה אתה וזה Snyk, ועכשיו בוא נדבר על הנושא של הערב: לפני כמה חודשים . . .(דני) כן - אוגוסט . . . פרסמנו באמצע אוגוסט, אבל הפרויקט התחיל חודש אחד לפני - בעצם מצאנו ספריית תוכנה שהייתה זדונית.אז זה אחד האיומים - דיברנו על חולשות ואבטחת מידע - אבל זה לא האיום היחיד שיש בלמשוך קוד מבחוץ: איום נוסף, שממש רואים איך הוא גדל בשנים האחרונות, הוא בעצם קוד זדוני, שמגיע דרך הספריות האלה.(אורי) דרך ספריות קוד פתוח . . .(דני) ספריות קוד פתוח שמשתמשים בהן - ומעניין לראות גם את הגיוון של איך שזה מגיע - לפעמים זה קוד זדוני שממש נכתב כזדוני, שמו אותו ב-Package Manager ופשוט חיכו שמישהו ישתמש בו, ולפעמים זו השתלטות על Account של מפתח של ספריית קוד מאוד פופולארית, למשל השתלטות על Account ב-GitHub, ואז “שותלים” לשם קודלפעמים אלו טכניקות כמו Typo-squatting - נותנים שם דומה לשם הפופולארי - דוגמא קלאסית זה jQuery.js ב-npm, במקום רק jQuery - או פשוט Typo (ומכאן השם Typo squatting), כשאתה משנה איזשהו תו קטן בשם.ואז הרבה אנשים מתקינים את זה - כמו אגב ההתקפה המקורית שהיא Domain Squatting, שבה אתה במקום לכתוב למשל Google עם שני “O” אתה כותב עם אחת וכו’ומה שמצאנו זו ספריית קוד ב-Package Manager שנקרא CocoaPods - זה SDK של חברת פרסום סינית(רן) ל-iOS(דני) ל-iOS ול-Android, לשתי הסביבותובעצם מה שמצאנו שם זה שה-SDK הזה, שנועד לאפשר למפתחים לעשות מוניטיזציה (Monetization) על הפרסומות באפליקציות שלהם - ועל הדרך הוא עשה עוד מלא מלא דברים רעים . . .בהתחלה, המחקר הראשוני העלה רק ממצאים ב-iOS, ומה שמצאנו שם זה שה-SDK התלבש בעצם על כל התקשורת שהאפליקציה עושה עם ה-Backend - והזליג את זה גם חזרה לחברה סינית . . . זה היה דבר אחד.כדי שלא יזהו את זה, הם השתמשו בכמה טכניקות מאוד מעניינות, שממש מזכירות את עולם ה-Malware הקלאסי - בין היתר ניסו לזהות האם המכשיר פרוץ, ואם הוא פרוץ אז לא פעלו; אם יש Proxy שמאזין לדברים אז הם גם לא הפעילו את הפונקציונאליות הזדונית . . .(רן) רגע . . . למה שלא יפעלו על מכשיר פרוץ? מה הסכנה פה? (דני) בעולמות של iOS ואייפונים, מכשיר פרוץ זה ממש סימן למישהו שיודע מה הוא עושה . . . בהרבה פעמים את צריך לפרוץ למכשיר בכדי בכלל להתחיל לנתח שם את הדברים . . .(רן) … אז כדי לא להתגלות, הם אמרו “אוקיי, בוא לא נתעסק עם החבר’ה שמבינים עניין”?(דני) נכון - וככה הם רצו במשך שנה.אגב, מה שהיה חשוד במה שהם עשו - היו הרבה דברים - אבל קודם כל הם עשו אובפוסקציה (Obfuscation) לכל המידע - למשל כשמסתכלים על Strings של Base 64, שנראים Base 64 encoded, ועושים Base 64 Decoding - וזה פשוט יוצא ג’יבריש . . .ואז רואים ששהם עשו איזשהו variant שלהם של Base 64.אז בעצם מה שמצאנו זה שהיה קודם כל את האלמנט הזה של הזלגת מידע - הם פשוט התלבשו על ה - HTTP Request של האפליקציה ושלחו את זה בחזרה אליהם.אבל - הם גם עשו Attribution Froud - בעולמות של פרסום, כש - User צופה או מקליק על פרסומת, נשלח Event ל-MMP, ה - Mobile Measurement Provider, אני חושב שזה הפירוש . . . רן בטח מכיר מ-Appsflyer(רן) כן . . .אז ה- MMP הוא זה שאחראי בסוף להגיד למי “מגיע” ה - Attribution, וכתוצאה מזה גם התגמול הכספי - ובמקרה הזה החברה פשוט שלחה קליק נוסף, מזויף, ל-MMPהם ידעו על הפעילות כי הם מזליגים את ה-HTTP Request ובעצם את כל ה-Events שקורים באפליקציהאז בעצם ה-Event האורגני הראשון נשלח כרגיל, אבל הם מהצד שלהם שולחים עוד אחד - ואיך שזה עובד זה לפי האחרון ששלח, הוא זה שמקבל את ה-Attribution - וככה הם בעצם עשו גם Fraud מול חברות ה - Advertisement.(רן) “חטפו את הקליק”(דני) “חטפו את הקליק”, ואת זה אנחנו רואים מהדאטה - אבל מעבר לזה גם גנבו את כל המידע, ופה זה גם לא כזה ברור האם הם עשו את זה רק כדי לגנוב את הקליק או שהם עשו עוד דברים עם המידע.(רן) עד כמה זה היה נפוץ ה-SDK הזה?(דני) קודם כל, ה-SDK בסך הכל הותקן בכ-1500 אפליקציות iOS ו-2000 אפליקציות Android - שזה מרגיש אולי קצת מספר לא גבוה, אבל כשמסתכלים על מספר ההורדות, אז מדובר בסך הכל על יותר ממיליארד - 1.2 מיליארד הורדות - בחודש. אלו המספרים.(רן) מתחרים ב-Traffic של Netflix . . .(דני) ממש.כל המשחקים, ממש ברמת שני ה-Vendors הכי גדולים של חברות משחקים, השתמשו ב-SDK הזה.שוב - רוב ה-Publishers ורוב האפליקציות שנפגעו מזה הן אפליקציות משחקים, אבל יש גם כמה אפליקציות Dating ואפליקציות Chat ועוד אפליקציות שונות.אבל באמת משחקים זה העניין - כל המשחקים שאתם מכירים מהטלפונים של הילדים (לא אתם, מה פתאום)(רן) אתה, כמפתח, רוצה עכשיו להתקין איזשהו SDK למוניטיזציה (Monetization), מוצא חברה שעושה את זה - לא תגיד “הלכתי ל GitHub ולקחתי איזשהו Package רנדומלי” - הלכת לחברה, הורדת את ה-SDK שלהם, הרשמי - לך תחשוד שיש שם Malware בתוך כל הסיפור הזה . . .(דני) נכון . . . אז החברה, קוראים לה Mintegral, והיא חברת בת של MobVista - זו חברה ציבורית, נסחרת בהונג-קונג, מדובר בחברות רציניות וגדולות.למרות זאת, הן בחרו להתעסק בדברים האלה - ומה שמעניין זה שכשמסתכלים הסטורית, אז זו לא הפעם הראשונה שמוצאים חברה סינית, או איזושהי חברה אחרת, שעושה כל מיני דברים באיזורים האלה.אבל תמיד היה להם א מה שנקרא Plausible deniability - הם יכלו לבוא ולהגיד “טוב, זו ספריה שלקחנו מבחוץ, וזה בכלל לא אנחנו, וזו בכלל טעות של מפתח, והוא בינתיים גם פוטר אז הכל טוב, סליחה”.פה הקוד נמצא ממש אצלם, הם אפילו לא ממש דאגו להסתיר אותו יותר מדי - ברגע שמצאת אותו זה In your face - ומה שמעניין זה שבעצם כשגילינו את זה - ובהתחלה גילינו את זה רק ב-iOS - הסתכלנו ב-Android ולא מצאנו כלום - לא העמקנו יותר מדי, אבל בהתחלה לא מצאנו כלום - אז פרסמנו.ואז קרו שני דברים מעניינים - (א) קיבלנו טוויט ממישהו שאמר שהוא מסתכל ב-Android וגם רואה שם דברים מוזרים, אז התחלנו גם להסתכל שם, ומצאנו שבכל זאת ב-Android יש איזור חבוי ששם לא הסתכלנו קודם, ומה שהם עושים שם זה מנסים לתפוס את ה-Downloads במכשיר - וספציפית Downloads שמגיעים מ-Google - וכשחושבים על זה מבינים שאלו Downloads שמגיעים מ-Google Play, ושככה הם מנסים לתפוס הורדות של משחקים ושוב - לדווח את זה על עצמם וכנראה, פה אנחנו לא יכולנו לוודא ולסגור את המעגל השלם ולראות שהם גם עושים את ה-Fraud.אבל ב-Downloads האלה הם, בטעות או שלא, תפסו גם Downloads של Google Spreadsheets ו-Google Drive ו-Google Docs וכאלה, אז בעצם אם אני שולח היום הודעת WhatsApp או email עם איזה לינק ל-Google Drive או ל-Google Docs - ואיך שזה עובד ב-Android, בגלל שזה גם גלובאלי, האינטנטים (Intents) נשלחים במכשיר, וכל אפליקציה, במקרה הזה ה-SDK, יכול היה להירשם לאינטנטים של הורדות גלובאלית - מספיק שיש לי אפליקציה אחת שהתקנתי ככה לילד שלי (נניח) ולא פתחתי כבר תקופה (נניח) - היא תתפוס את כל ההורדות Google Docs שלי מהמכשיר, זה - בשונה מ-iOS, ששם זה רק בקונטקסט של האפליקציה, כלומר - “רק” ה-Traffic של האפליקציה באמת זלג. עדיין חמור, אבל שונה מ-Google.(ב) דבר נוסף שקרה זה שהחברה, כדי כנראה להציל את ה-Reputation שלהם, שחררו את הקוד כ-Open Source, את ה-SDK - ואמרו ש”אנחנו בעד Transparency, ואנחנו מבקשים מכל התעשייה שככה תעשה את זה” . . .גם כאן(רן) זה היה לפני הגילוי או אחרי?(דני) אחרי . . . (אורי) וכאילו - “אנחנו משחררים אותו כ-Open Source - כדי שתורידו יותר” . . .(דני) כן - תורידו יותר . . אגב, הם לא התייחסו לעובדה שאת ה-Fraud הם עשו ב-Backend, אז זה שהם משחררים את הקוד כ-Open Source זה לא בדיוק פותח את כל הקלפים, אבל עדיין - זה היה צעד מעניין. מה שאנחנו עשינו . . .(רן) רגע, הם שחררו ממש את הגרסא שהכילה את הקוד הזדוני?(דני) לא, הם ניקו, הוציאו גרסא חדשה - ומה שאתה חושב עליו, זה בדיוק מה שעשינו: אמרנו “רגע, בואו נשווה את מה שהם שיחררו, ונשווה את הגרסא החדשה אל מול הישנה”.ראינו שהם באמת העיפו את כל מה שהצבענו עליו - את כל הדברים הרעים.אגב - הם גם פרסמו פוסט שאמר שהם גם ככה תכננו להוריד את הטכנולוגיה הזאת, ושבגדול - “אתם לא מבינים את הטכנולוגיה המדהימה הזאת, כל זה נועד לפרסומות מדהימות ו-Monetization מדהים ובגלל זה אנחנו המובילים בתחום” וכו’ . . .בכל מקרה - הסתכלנו, והם הורידו באמת את כל הפונקציונאליות שאמרנו שהיא זדונית - אבל היה שם עוד איזשהו קטע קוד, שלא היכרנו, וגם הוא ירד . . . שזה באותה נקודה פשוט זעק ”בואו נסתכל על הקוד הזה” . . .(רן) בטח פיספסנו פה משהו . . .(דני) לחלוטין פיספסנו - כי הקוד הזה בעצם היה Backdoor - דלת אחורית להרצת כל קוד על המכשיר, דרך פרסומת . . . צריך רגע לפרק את זה - קודם כל, Mintegral יכלו . . . נניח שאני פיתחתי אפקליציה והכנסתי את ה-SDK הזה לתוך המשחק שלי, עם הצגת פרסומות, הכל טוב ויפה.האפליקציה עברה Review של Apple, ולא אמור להיות שם קוד דינאמי - Apple “חתמו” על הקוד שסיפקתי להם, כולל ה-SDK הזדוני הזה, שלא הסתכלתי עליו בתור מפתח אבל זה המצב.עכשיו, Mintegral יכולים לשלוח קוד JavaScript ככה “מהונדס” ,שבסופו של דבר יריץ קוד Native-י כרצונם על המכשיראנחנו הדגמנו קוד פשוט שגונב את הClippboard, רק לשם המחשה - אבל זה יכול להיות כל קוד שהם רוצים.אבל יותר חמור מזה - כל Publisher וכל מפרסם . . . אנחנו יכולים עכשיו ללכת ולקנות פרסומות, לעשות Bid אפילו על פרופיל מסויים, למשל אנשים בגיל מסויים שגרים באיזור מסויים בעולם, וממש לדלוור (Deliver) איזשהו Exploit שממש יריץ קוד Native על המכשיר . . .(רן) זאת אומרת שלא רק יראו את ה-Image ואת ה-Creative - אלא גם תוכל להזריק לשם קוד, ובקוד הזה תוכל לעשות מה שאתה רוצה.(דני) נכון . . .(אורי) זה מה שקרה לנו בפריצה של . . .(רן) אתה רואה - זו חשיבה על Scale! אנחנו לא מספיק יצרתיים, אז ניתן לצד השלישי להיות יותר יצירתי!(דני) כן - זה ממש Code Execution as a Service . . . ממש.כשמסתכלים על הכמויות של האפליקציות ועל כמה שה-SDK הזה פופלארי, ובסופו של דבר מה הוא פתח באפליקציות האלה - זה די מטורף.(רן) אז מה - בנאדם קם בבוקר, שותה קפה ואומר - “אוקיי, עכשיו אני הולך למצוא Exploit”? כאילו - איך זה קורה?(דני) אז קודם כל, בצוות המחקר אנחנו עשים את זה כבר שנים, כלומר - אנחנו חוקרים את העולמות של ה-Open Source ואנחנו מחפשים חולשותוכשאנחנו מחפשים חולשות, אנחנו לא מחפשים במוצר מסויים, לא קמים בבוקר ואומרים “בוא נחפש חולשה ב - Apache Storm” ככה, כי זה מעניין אותנו, אלא בדרך כלל מסתכלים על ממש חיפוש ב-Scale.האנלוגיה שאני אוהב לתת היא שאנחנו “זורקים רשת אל הים” והרשת היא כזו שאנחנו בונים אותה ככה שתתפוש דברים מסויימים. ובמקרה הזה זרקנו את הרשת לים של CocoaPods, על כל הספריות שיש ב - CocoaPods, וחיפשנו כל דבר שעושה Method swizzlingאז Method swizzling זה ביטוי מעולם ה-iOS ל - Function Hooking, ל-Interception, ל- Instrumentation של פונקציה - כל אפליקציה שבאה “ומתלבשת” על פונקציית מערכת הפעלה ומנסה להיות “באמצע”, בין האפליקציה שקוראת לה לבין מערכת ההפעלה.וזה משהו שקודם כל לא אמור לקרות הרבה - זה באמת קורה לא מעט בעולם הפרסום, לפעמים SDK-ים מנסים לראות אם האוריינציה של המכשיר היא ככה או ככה ולהציג ולהתאים את הדברים, אבל בגדול זה משהו די חריג - ובמקרה הזה זה מה שעשה ה-SDK.וכשאנחנו “מושכים את הרשת מהים”, אז יש שם כל מיני ג’אנק ובקבוקי פלסטיק ודברים מוזרים - אבל לפעמים גם יש דגים, שאנחנו מסתכלים עליהם - במקרה הזה דג זהב ממש.אם אנחנו מסתכלים על ההיסטוריה אז ממש בצורה דומה מצאנו חולשות - אגב ההרצאה שהצגנו ברברסים על Zip Slip, איזושהי חולשה בת 30 שנה שעד היום קיימת בעולם ה-Java, שפשוט לא מצליחים להיפטר ממנה, וגם אז באותה צורה עשינו חיפוש על כל GitHub ומצאנו אלפי חולשות(רן) טוב, נו - מפתחי Java כבר 30 שנה לא משדרגים גרסא, לך תיפטר מזה . . .(רן) אוקיי - אז הרגשתם שיש פה משהו, ראיתם הרבה מופעים כאלו של Method swizzling, אם הצלחתי להגיד את זה נכון (לכתוב יותר קל) - ואז מה? אמרתם “בואו נתפקס”, ועכשיו איך בודקים? מה אתה מוצא שם? אתה מתחיל לקרוא קוד, לעשות Reverse Engineering לקוד? מתחילים להריץ? מה?(דני) שאלה מעולה - אז זה לא היה בהרבה מופעים, ממש הרצנו את זה שוב כדי לראות אם מישהו . . . אם Mintegral, כל השינויים שהם עשו עדיין נתפסים אצלנו - והם לא נתפסו וזה אומר שהם באמת הם ניקו.בכל מקרה, היו עשרות תוצאות, שמהר מאוד אנחנו עברנו על רובן - וזה הספציפי באמת התחיל להרגיש כמו משהו חריג.בדיוק סיפרתי על ה - Base 64 המוזר שהם קצת שינו אותובסוף אפילו לא עשינו Reverse Engineering ל - Base 64, פשוט השתמשנו בפונקציה שלהם לזה, היינו עצלנים . . .אבל לשאלתך - באמת הספרייה הזו היא Closed Source - אין לה Open Sourceהם פתחו אותה ל - Open source אחר כך, אבל זה לא היה ככה קודםזו באמת פעם ראשונה ב-Snyk שלי יצא ממש לעשות Reverse Engineering, כי בדר”כ זה Reverse Engineering לקוד, לא יודע אם זה נחשב כ- Reverse Engineering, ואלו דווקא עולמות שעסקתי בהם הרבה לפני.וכן - זה ממש להסתכל על האפליקציה, על קוד ה - iOS ו . . .(רן) זאת אומרת שעשיתם לו דה-קומפילציה (De-compilation) . . .(דני) כן, אז דה-קומפילציה זה אפילו ה - Luxury . . . עושים Diss-Assembly מסתכלים על קוד Assembly, והיום יש De-compliers ממש טובים, שלא מחזירים את זה לקוד מקור אבל בקירוב די . . .(רן) לא צריך לזכור בעל פה את המספרים של הריגיסטרים (Registers) . . .(דני) לא . . . אז עלינו לא מעט דברים מעניינים - כמו שאמרתי, את חלקם לא מצאנו; מצאנו כל מיני חריגות, אבל למשל את ה-Backdoor הזה לא מצאנו, מצאנו רק כעשינו . . .(רן) כמה זמן לוקח מחקר כזה? כמה זמן לקח?(דני) אגב, צריך לציין שגם במהלך המחקר התחלנו להתחבר עם חברות, עבדנו גם עם Appsflyer למשל.צד הדאטה למשל - לא היה לנו Visibility אליו: כל הקליקים, מה קורה בצד ה-MMP? -על כל זה עבדנו עם שחקנים בתעשייה.אבל המחקר שלנו, אם אני מזקק את זה לנטו-עבודה, זה ממש עניין של אולי שבוע.מהרגע שהתחלנו את הפרויקט עד הרגע שפרסמנו לקח חודש - אבל אז, ככה, באו הגלגולים הנוספים של הפרויקט.(אורי) זה כי אתם לפעמים מפרסמים עוד לפני שאתם מבינים את כל התמונה?(דני) לא - אני אישית משתדל לכתוב . . . כשאנחנו מדברים על פרסום אז זה בדרך כלל על לכתוב בלוג-פוסט, וכשזה משהו די גדול אז עושים קצת PR ומדברים עם Outlets וכזה.במקרה הזה, בדרך כלל אנחנו שואפים לכתוב משהו כשאנחנו מרגישים בטוחים לגבי כל הפרטים - אז גם עשינו את זה פה.לצורך העניין, לא שינינו שום דבר ממה שפרסמנו, אז כן - השאיפה היא לתת כמה שיותר מידע מהפרסום הראשון.(רן) בדרך כלל, לפחות כשמדובר לא בקוד זדוני אלא מדובר בבאגים נגיד - הדוגמא הקלאסית של Stack Overflow וכו’ - סליחה - Buffer overflow - אז יש את העניין הזה של “גילוי אחראי”, נכון? אתה לא הולך וישר מפרסם, אלא קודם כל מגיע ליצרן של הקוד ונותן לו איזשהו Heads-up וזמן לתקן את זה - ורק אחרי שהוא הבטיח שהכל מתוקן ויש כבר גרסא חדשה, רק אז אתה מפרסם.פה המקרה שונה - פה, מדובר על יצרן זדוני.אז איך פועלים? מה הפרוטוקול במקרה כזה?(דני) אז באמת ה - Responsible disclosure לא תקף פה . . הוא בעצם תקף, אבל לא על השחקן עצמו, כלומר - לא באנו בשום שלב לחברה . . . זה מעניין, אגב - הם פנו אלינו אחרי שפרסמנו, והציעו לנו . . רצו לקנות את Snyk בתמורה לכך שנעזור להם לטפל באירוע הזה . . .כלומר - לקנות את המוצר של Snyk, לא את החברה.אבל כן ה - Responsible disclosure תקף לשחקניות הגדולות - לGoogle ול-Apple - כי הן בעצם מחזיקות ב-Marketplace, ולהן יש גם את האפשרות לתקן - זה שאנחנו נותנים להן Heads-up - יש להן מה לעשות, וזה מה שעשינו.זה מעניין - ל-Apple בהתחלה, כנראה שהדבר הזה לא בא להם כל כך בטוב, כי אנחנו קצת ה - Bad news Messenger, כאילו . . .(אורי) אתם חושפים גם חולשה שלהם.(דני) זה בדיוק בא - איכשהו בלי שתזמנו את זה ככה - אבל זה בדיוק בא בזמן שהיה את הבלגן עם Epic Games והייתה הרבה ביקורת על כל מה שקורה שם עם ה-30% . . .מלא שיח על זה - ופתאום אנחנו באים ואומרים: “טוב, חבר’ה, כאילו יש פה כמה מאות אפליקציות מה-Top-500 שיש בהן דברים רעים ממש” . . .(אורי) כמה מאות מה-Top-500 . . .(דני) כן, קרוב ל-200 מה-Top-500, זה אחוז מאוד גבוהבכל מקרה - הם בהתחלה ניסו . . . לא היו פעילים מדי, אפילו לא הודיעו למפתחי האפליקציות - אז בחרנו לעשות את זה בעצמנו.מן הסתם זה משהו שיותר קל ל-Apple לעשות, יש להם את האי-מיילים של כולם וכו’.אבל מה שמעניין זה של-Google דווקא הייתה את התגובה ההפוכה - הם פשוט קפצו לשיחה, הביאו את כל האנשים הרלוונטיים - חוקרים ואנשי Legal וכו’, וגם אמרו לנו שהם מכירים את . . לא את המקרה הזה, אבל את ההיסטוריה עם השחקניות האלה, וממש הגיבו מהר.כן צריך לציין שברגע שמצאנו את ה-Backdoor, אז בעצם ל-Apple זה כבר . . . זה לא היה רק עצם בגרון, הם ממש היו צריכים לפעול, כי זה משהו שהוא . . . מקודם הם אמרו ש”זו אחריות של המפתחים”, בגדול הם שמו את האחריות על המפתחים - “הם בחרו את ה-SDK, הם שמו את זה באפליקציה - אז שיתמודדו עם זה”.אבל כשיש ממש המון משתמשים שחשופים עכשיו להרצת קוד, אז פה הם כבר נאלצו לשלוח הוראות . . .(רן) זו “פצצה מתקתקת”, שגם אם הם יכולים איכשהו להכחיש שזו אשמתם, זה עדיין הולך לפגוע להם ב-PR(אורי) זה מעניין, כי גם Apple לוקחת Stand בעולם של Privacy - ואם יש להם Backdoor כזה . . .(דני) נכון - ועדיין אני מרגיש ש . . כלומר, בסוף הם פעלו ואז שלחו לכל המפתחים את הבקשה להוריד את ה-SDK הבעייתי, אבל עדיין - התגובה שלהם, לפחות הראשונית, הייתה די חלשההם בעצם בחרו ככה לשים את האחריות על המפתחים, שזה . . . יש בזה משהו חשוב, במסר - אבל הם עצמם יכלו לפתור את הבעיה בעצמם מיד, ולא לחכות עד שמפתחים יתחילו . . . עד שאנחנו (Snyk) נפנה אליהם קודם כל, וזה לוקח המון זמן, ולהסביר להם מה קורה וכו’אז במקרה הזה באמת ה - Responsible disclosure היה לדבר עם החברות הגדולות.אגב - כן פנינו לעשרת ה-Publishers הכי גדולים בצורה ישירה, פשוט כי הם ממש . . .זה כזה Pareto Distribution - עשרה מה-Publishers שולטים ב-90% מהשוק, אז זה כיסה לנו ממש את רוב ה . . .(רן) איך אתה יודע מי הם עשרת ה-Publishers הגדולים?(דני) אז יש דאטה . . .(רן) אה - הכוונה באופן כללי, לא לאותו ה-SDK, עשרת ה-Publishers הגדולים בעולם?(דני) על זה ספציפית יש גם דאטה על SDK - שירותים שנותנים ממש סטטיסטיקות . . .Apple ו-Google לא מפרסמים את זה בעצמם, אבל יש שירותים שנותנים את המספרים האלה, כולל גם איזה SDK נמצא באיזו אפליקציה.(אוקי) כמו . . . טוב, זה יותר ל-Open Source בכלל אבל WhiteSource וכאלה?(דני) WhiteSource היא מתחרה של Snyk אז . . .(אורי) WhiteSource נכנסת לעולם של Security ספציפית?(דני) בעצם היא התחילה מעולמות של Legal, אבל איפשהו כשאנחנו קמנו, אז הם עשו Shift, ואני חושב שהיום הם רואים את עצמם כחברת Security ומשווקים את עצמם כחברת Security - אגב, ככה עשו גם כל השחקניות האחרות, למשל BlackDuck, שהתחילה מעולמות ה-Legal וה-Complience והפכה לחברת Security, ונמכרה אח”כ כחברת Security.(רן) טוב, אז קודם כל זה היה סיפור מתח בשלוש מערכות . . .(אורי) חשבתי שתביא לנו משהו איראני כזה . . .(דני) כן מדובר בחברה סינית . . .(אורי) תמר רביניאן עובדת אצלכם?(רן) כן . . . אז יש עוד, ככה, אנקדוטות או חומרים עסיסיים שלא פורסמו שאתה יכול לחלוק עם המאזינים שלנו בקשר לסיפור הזה?(דני) אני חושב שבאמת העניין הזה של זה שפנה אלינו בכיר מהחברה . . . הוא כתב מייל מאוד נחמד שבו הוא . . .קודם כל - זאת הייתה הפעם הראשונה ששמענו משהו מהחברה, הוא שלח מייל “אישי”, מייל ארוך, שבו הוא אומר “תודה על העבודה שלכם, מאוד חשוב לנו לתקן את הדברים, ואנחנו עובדים על זה” - ומבקש מאיתנו לעזור להם בזה- בתמורה לזה שכל הקבוצה - לא רק החברה, זו קבוצה גדולה - שתשמח לאמץ את מוצרי Snyk . . .אנחנו סירבנו להצעה אז - אבל מה שגילינו ממש אחרי שבוע, בשיחות עם אחד ה-Publishers, זה שהם ממשיכים ומספרים את הסיפור של “Snyk בעצם כן עוזרת להם”, שהם כבר משתפים איתנו פעולה ושהכל מאחוריהם.אז כן - זה קצת העולם שאנחנו . . .(רן) תבדוק אם הלוגו שלך נמצא שם, באתר שלהם . . .(אורי) סוג של אמינות סינית?(רן) חבל, אם זה לא היה קורונה עכשיו היו שולחים לך כרטיס לסין, לעשות לך קצת Good time ושתשכח מכל הסיפור הזה . . .טוב, אחלה - סיפור מאוד מרתק, ודרך אגב - אני מניח שעד היום יש אפליקציות שרצות עם הפגיעות הזאת, זה לא נעלם ביום . . .(דני) נכון . . .(רן) איך עוקבים אחרי דבר כזה? עכשיו זה כבר תפקיד של Apple?(דני) אני חושב ש-Apple במקרה הזה … יש פה שאלה באמת של אפליקציות ומכשירים שפשוט לא מעדכנים את האפליקציות, אז גם אם יש גרסא חדשה, ומישהו פשוט לא דואג לעדכן . . .יהיה מעניין לראות האם Apple יחליטו פשוט להוריד את זה - יש להם את היכולת להוריד את האפליקציות האלה, גם Remotely, אבל הם עוד לא עשו את זה.אני חושב שאחד הדברים המעניינים לראות מכל האירוע הזה זה באמת העלאת המודעות לתופעות האלה בקהילת ה-Mobile, כי היא קצת שונה מה-Ecosystems האחרים.כשמסתכלים באמת על . . . יש פה שני (סוגים של) קורבנות באירוע הזה - יש את המפתחים עצמם, שפשוט משכו איזשהו SDK ורצו להרוויח על האפליקציה שלהם - ובעצם הכניסו משהו שהם לא ידעו . . . אגב, שה-Terms of Service שם כמובן שלא אמר להם את כל מה שהם עושים, ה-SDK, ו . . .(רן) למה, אתה יודע סינית?(דני) כן, אז היה להם . . .(אורי) זה סינית בשבילו . . . (דני) הם, אגב, עידכנו מיד אחרי הפרסום, יום אחרי הפרסום, את כל ה-Terms of Service שלהם, Heavy edits - והוסיפו את כל מה שהיה חסר שם, כולל HTTP Request interception ודברים כאלה . . .(רן) אז תבדוק את ה-Diff-ים, אולי תגלה עוד משהו . . .(דני) אז באמת אלו המפתחים - והקבוצה השנייה הם בעצם הצרכנים - אנחנו, אלו שיש להם ומי שהתקין את כל האפליקציות האלה.ואני חושב שממש היה יפה לראות, לפחות בקבוצה הראשונה, איך המודעות שם עולה, ואיך מבחינת השיח והעניין להכיר בכלל בבעיה הזאת . . . זה, אני חושב, היה הדבר הכי משמעותי שיצא מהפרסום, כי לצערי עדיין יהיו חברות שיעשו את הדברים הרעים האלה ועדיין יהיו לנו את העולמות האלה של ריגול - אבל אני ממש שמח לראות את המודעות עולה לבעיות האלה.(אורי) אז רגע, יש לי שאלה - היום, כל Vulnerability, פגיעות . . .(דני) חולשה(אורי) . . . חולשה שאתם מגלים - אתם מפרסמים בבלוג-פוסט?(דני) לא, ממש לא . . .(אורי) רק את המעניינות?(דני) כן, אני חושב . . כפי שאמרתי, אנחנו מסתכלים על דברים ב-Scaleלמשל, אם אנחנו מוצאים חולשה שנמצאת באלפי פרויקטים, אני חושב שזה סיפור מעניין, וזה סיפור מעניין לא רק עבור ה-Publicity שלנו - זה סיפור מעניין באמת למודעות בקרב הקהילה.אז אותה דוגמא שקראנו לה Zip Slip, אותה חולשה של 30 שנה, ממש חולשה עתיקהאגב - כזו שאני יכול להסביר במשפט וכל המאזינים יבינואותה חולשה עדיין נמצאת . . .כשמצאנו אותה אז מצאנו אותה באלפי פרוייקטי Open Source, ממש פרויקטים של אלפי Stars ב-GitHub, וזו תופעה שאני חושב שהיא מעניינת לדווח עליה.אבל אנחנו כל יום מוצאים חולשות, וזה מתווסף ל-Database שלנו שם באתר, אבל לא בלוג-פוסט . . .(אורי) אמרת “ה-Database שלנו באתר” - זה נגיש? אתה יכול להכניס מספר גרסא של SDK שאתה משתמש בו, או Open Source . . .?(דני) חד משמעית כן - זה קליק שאתה יכול לעשות באתרקודם כל - המוצר שלנו הוא חינמי ל-Open Source, והוא גם חינמי עד Usage מסוייםאז כן - אתה יכול גם פשוט לסרוק את הפרויקט שלך בפקודה אחת: npm install snyk ו - snyk test וזהו.(רן) מעולה - תודה דני, אחלה סיפור, נשמע כמו מוצר באמת מעניין לכל מי שאכפת לו מ-Security .תודה שבאת, היה מאוד מעניין. תודה.הקובץ נמצא כאן, האזנה נעימה ותודה רבה לעופר פורר על התמלול

The iDeveloper Podcast
261 - It's... Passable

The iDeveloper Podcast

Play Episode Listen Later Jul 10, 2020


John speaks of his rollercoaster of developer emotions this week with some dynamic type within certain cells. And Scotty talks moving MoneyWell from CocoaPods to Swift Package Manager, the pros and cons of Firebase and Swift Package Index. Swift Package Index | The place to find the best Swift packages. James Dempsey & The Breakpoints, WWDC 2020

The iDeveloper Podcast
257 - When You See It, Fix It, Just Fix It

The iDeveloper Podcast

Play Episode Listen Later Jun 5, 2020


This week the boys revisit John's type dilemma and discuss how the modern way of learning programming is changing. John praises some of the more underrated aspects of our favourite fishy friend's metronome software and shares his thoughts on the community based app - Nextdoor. While Scotty talks the use of Cocoapods within MoneyWell and some processes used to ease some of the issues. PolyNome | The Ultimate Practice Tool Nextdoor | The neighbourhood hub for the exchange of helpful information, goods and services. Codeacademy | Learn to Code - for Free Every Day Parisian | How to order a Baguette in French

More Than Just Code podcast - iOS and Swift development, news and advice

We fact check on Bluetooth, the NHS, Denise Crosby and Jodi Whittaker. We dig into the Hype Cycle in the follow up. The iPhone 12 Pro has be leaked in a 3D rendering. Picking apart iPadOS 14 reveals that Xcode may be coming to the iPad this summer. We follow up on Apple's road apples, including the Home Pod. John Gruber doesn't initially like the Magic Keyboard for the iPad Pro but comes around. Rene Ritche does a deep tech dive into the new iPhone SE. Apple had invited select developers to an accessibility webinar. In the main we look at View Communication Patterns in SwiftUI. We also look at the Remote Work Report by GitLab. Picks: JetBrains Academy: Get Ready To Become A Professional, Health Storylines, Adobe's Photoshop and Fresco for iPad are now bundled for $10 a month, adding Dark Mode, code clean up and TestFlight public beta links added to Device Tracker.

Swiftly Speaking
Episode 2: Ellen Shapiro

Swiftly Speaking

Play Episode Listen Later Apr 6, 2020 113:44


In this episode, Paul talks to Ellen Shapiro about her approach to testing, Swift Package Manager, GraphQL, and more. Detailed topics: Productivity in uncertain times Understanding Apollo GraphQL Is GraphQL only a query language or does it refer to an actual database? Killer features of GraphQL: code generation, flexibility, and efficiency How to integrate GraphQL with your app Is it possible to use GraphQL with an existing Core Data stack? How much work is it to migrate a server from REST to GraphQL? Ellen's recommendation on language for backend GraphQL A pragmatic approach to testing UI testing breadth vs execution time How to add the first tests to a project Should you write tests as you go or all at the end? How do you write testable code? What things must be tested? Tips for swaying clients away from 100% test coverage How to keep testing coverage up over time Assertions and preconditions vs guard and fatal errors Using Swift Package Manager and CocoaPods instead of Carthage The SwiftPM team has been working on landing all current adoption blockers Why video is better than text to communicate Opinions on working from home What is Horror Scrolling? Should junior developers work remotely? How to get your first iOS Development job What Ellen expects from this WWDC20

The iDeveloper Podcast
249 - No Pants! The New Business Casual!

The iDeveloper Podcast

Play Episode Listen Later Apr 3, 2020


This week John touches on dealing with WFH, his current work on Dynamic type and other Accessibility technologies. Also his dip into SwiftUI using NSScreencast. Scotty talks the ever evolving MoneyWell and new decisions being made, creating new private CocoaPods and the problems you can run into when updating the deployment target. WebStorm | The Smartest JavaScript IDE by JetBrains CocoaPods | The Dependency Manager for iOS & Mac projects. NSScreencast | Quality videos on iOS development, released each week. The Great Hummus Takeover John Says Happy Birthday

Björeman // Melin
Avsnitt 199: Flikmonster

Björeman // Melin

Play Episode Listen Later Mar 5, 2020 60:22


Fliksnack Jocke testar annan virtualiseringsmotor - precis innan sändning Sista chansen att informera och planera 200! DrZingo väntas till oss dagen efter 200-partyt. Ska hämta skrot, jocke avprylifierar sitt liv ytterligare Fredrik blir uppringd av en störig Telenorsäljare Firefox molntjänst och vilseledande information - Jocke plockar liten gås PodcastChapters - swift, nyheter, mm. (Som att Fredrik klantade sig med domännamnet) Ännu trevligare markdown-editor för Linux: Ghostwriter Logitech K750 - världens trevligaste tangentbord. Byta batteri i en K750 kostar 150-200 kronor(!) USB-3-docka med skärmanslutningar fungerar inte med Linux Let’s Encrypt åkte på en bugg minsann Länkar Dell DRAC Avsnitt 30 var det första i Jockes kök Mighty mouse Enpass Wallabag - Instapaper för din egen server Firefox developer edition Podcast chapters Cocoapods Github pages ID3-metadata Forecast Att ladda ner och installera Mojave från Catalina Ghostwriter Logitech K750 DKIM Let’s encrypt hade en bugg minsann Två nördar - en podcast. Fredrik Björeman och Joacim Melin diskuterar allt som gör livet värt att leva. Fullständig avsnittsinformation finns här: https://www.bjoremanmelin.se/podcast/avsnitt-199-flikmonster.html.

Let Swift Podcast
T1E2: Dependencias

Let Swift Podcast

Play Episode Listen Later Mar 2, 2020 35:34


En este segundo episodio platicamos de Dependencies y Dependency Managers. Veremos:

Devchat.tv Master Feed
iPS 275: Finding Quality Packages using SwiftPM Library with Dave Verwer

Devchat.tv Master Feed

Play Episode Listen Later Oct 15, 2019 57:08


In this episode of The iPhreaks Show the panel interviews Dave Verwer about his new SwiftPM Library. Dave is an iOS developer from the UK, he’s been working with iOS since the beginning. He is mostly known for his weekly email newsletter, iOS Dev Weekly, which is released every Friday afternoon. SwiftPM Library is a site that aims to make it easy for people to find quality packages that support the Swift Package Manager to integrate into their project. It is a repository of all the packages he can find and anyone can contribute packages to it.  The CocoaPods Quality Index was his inspiration for this library. The CocoaPods Quality Index gives a quality score based on a few metrics, Dave wanted to do this but specifically for packages that support SwiftPM. The panel considers what this means for SwiftPM, which unlike most package managers it does not have a library of packages to use.  Dave sees two outcomes for the SwiftPM Library, either it becomes the go-to place for people to discover new packages or Github package registry will come along and kill it. The Github package registry is a multiplatform, multilanguage tool for registering packages. Daves explains the features that SwiftPM Library has that gives it a fighting chance against the Github package registry.  First, the SwiftPM Library was built with speed in mind. The Github package registry piggybacks on Github search which therefore will take longer. Also, Github is likely to list its packages in a way that he take those packages and include them in his library as well, so Github will not have more Swift supporting packages than the SwiftPM Library.  Another thing that sets apart SwiftPM Library is that it is all about Swift. The Github package registry also supports other languages like Ruby and Java. It is doubtful that Github will have very many Swift specific features and metadata on their site, where at the SwiftPM Library Dave already has many of those in place.  The panel asks Dave about SwiftPM and how it compares to CocoaPods and Carthage. He explains that SwiftPM is very similar to using Cocoapods, however, you can create a library using X code and also include other libraries as dependencies. He gives a brief walkthrough of how to replace CocoaPods with SwiftPM in a project.  SwiftPM has a couple of limitations that the SwiftPM team is currently working on. Right now in SwiftPM, it does not support resources, such as zip files and images, in packages. Another major limitation of SwiftPM is that you cannot switch between languages in a Swift package. The panel considers these limitations and shares how they affect whether or not they choose SwiftPM.  Once these problems are solved, Dave hopes that everyone will transition to SwiftPM. SwiftPM is managed by Apple, therefore, is a cleaner and better option even though the transition may be painful. The panel shares the things they like about SwiftPM, including how easy it is to use. It becomes so easy to update packages and dependencies after the transition. Back to the SwiftPM Library, the panel asks Dave more about it works. Dave explains how the quality index works, giving each package a score based on a few quality metrics. The value of a quality index comes from the need to be careful when adding a dependency. The search results on his site are based on the quality score of each package.  The metrics Dave is currently using to measure are: Does it support the latest version of Swift? How many versions of the package have been released? How many stars does it have on its Github repository? Does the license file exist and is it an open source license that is unencumbered? The panel takes a look at what the search results look like. Dave includes everything a developer would need to know in order to choose the best package for their project. The search results highlight the license source. It includes how many libraries and executables are included in the package. The search results show what version of swift and other platforms are supported. Not only does it show you the master branch but also the latest stable version and the latest beta of the package when possible. Dave walks the listeners through how to contribute packages to the library. Dave explains his philosophy when it comes to running the site, his role is not a gatekeeper. He doesn’t want to decide which packages to include and which to exclude. His hope is that the quality indexing will sort the good from the bad. Anyone can add to the library and anyone can request a removal from the library. Any problems with packages should be deferred back to there maintainers.  Panelists Jaim Zuber Abbey Jackson Gui Rambo Andrew Madsen Guest Dave Verwer Sponsors   Sentry– use the code “devchat” for two months free on Sentry’s small plan Adventures in .NET Adventures in Angular CacheFly Links Launching the SwiftPM Library Quality Indexes WWDC 2019 Keynote — Apple Github Package Registry Carthage Elasticsearch https://forums.swift.org/c/development/SwiftPM https://daveverwer.com/ https://twitter.com/daveverwer?lang=en https://www.facebook.com/ReactNativeRadio/ https://twitter.com/R_N_Radio Picks Dave Verwer: Advice for Software Apprentices Jaim Zuber: https://iosdevweekly.com/ Try it using the RSS feed Andrew Madsen: iTerm 2 Gui Rambo: NES Emulator Part #1: Bitwise Basics & Overview NES Emulator Part #2: The CPU (6502 Implementation) NES Emulator Part #3: Buses, RAMs, ROMs & Mappers Abbey Jackson: https://cocoahub.app/

The iPhreaks Show
iPS 275: Finding Quality Packages using SwiftPM Library with Dave Verwer

The iPhreaks Show

Play Episode Listen Later Oct 15, 2019 57:08


In this episode of The iPhreaks Show the panel interviews Dave Verwer about his new SwiftPM Library. Dave is an iOS developer from the UK, he’s been working with iOS since the beginning. He is mostly known for his weekly email newsletter, iOS Dev Weekly, which is released every Friday afternoon. SwiftPM Library is a site that aims to make it easy for people to find quality packages that support the Swift Package Manager to integrate into their project. It is a repository of all the packages he can find and anyone can contribute packages to it.  The CocoaPods Quality Index was his inspiration for this library. The CocoaPods Quality Index gives a quality score based on a few metrics, Dave wanted to do this but specifically for packages that support SwiftPM. The panel considers what this means for SwiftPM, which unlike most package managers it does not have a library of packages to use.  Dave sees two outcomes for the SwiftPM Library, either it becomes the go-to place for people to discover new packages or Github package registry will come along and kill it. The Github package registry is a multiplatform, multilanguage tool for registering packages. Daves explains the features that SwiftPM Library has that gives it a fighting chance against the Github package registry.  First, the SwiftPM Library was built with speed in mind. The Github package registry piggybacks on Github search which therefore will take longer. Also, Github is likely to list its packages in a way that he take those packages and include them in his library as well, so Github will not have more Swift supporting packages than the SwiftPM Library.  Another thing that sets apart SwiftPM Library is that it is all about Swift. The Github package registry also supports other languages like Ruby and Java. It is doubtful that Github will have very many Swift specific features and metadata on their site, where at the SwiftPM Library Dave already has many of those in place.  The panel asks Dave about SwiftPM and how it compares to CocoaPods and Carthage. He explains that SwiftPM is very similar to using Cocoapods, however, you can create a library using X code and also include other libraries as dependencies. He gives a brief walkthrough of how to replace CocoaPods with SwiftPM in a project.  SwiftPM has a couple of limitations that the SwiftPM team is currently working on. Right now in SwiftPM, it does not support resources, such as zip files and images, in packages. Another major limitation of SwiftPM is that you cannot switch between languages in a Swift package. The panel considers these limitations and shares how they affect whether or not they choose SwiftPM.  Once these problems are solved, Dave hopes that everyone will transition to SwiftPM. SwiftPM is managed by Apple, therefore, is a cleaner and better option even though the transition may be painful. The panel shares the things they like about SwiftPM, including how easy it is to use. It becomes so easy to update packages and dependencies after the transition. Back to the SwiftPM Library, the panel asks Dave more about it works. Dave explains how the quality index works, giving each package a score based on a few quality metrics. The value of a quality index comes from the need to be careful when adding a dependency. The search results on his site are based on the quality score of each package.  The metrics Dave is currently using to measure are: Does it support the latest version of Swift? How many versions of the package have been released? How many stars does it have on its Github repository? Does the license file exist and is it an open source license that is unencumbered? The panel takes a look at what the search results look like. Dave includes everything a developer would need to know in order to choose the best package for their project. The search results highlight the license source. It includes how many libraries and executables are included in the package. The search results show what version of swift and other platforms are supported. Not only does it show you the master branch but also the latest stable version and the latest beta of the package when possible. Dave walks the listeners through how to contribute packages to the library. Dave explains his philosophy when it comes to running the site, his role is not a gatekeeper. He doesn’t want to decide which packages to include and which to exclude. His hope is that the quality indexing will sort the good from the bad. Anyone can add to the library and anyone can request a removal from the library. Any problems with packages should be deferred back to there maintainers.  Panelists Jaim Zuber Abbey Jackson Gui Rambo Andrew Madsen Guest Dave Verwer Sponsors   Sentry– use the code “devchat” for two months free on Sentry’s small plan Adventures in .NET Adventures in Angular CacheFly Links Launching the SwiftPM Library Quality Indexes WWDC 2019 Keynote — Apple Github Package Registry Carthage Elasticsearch https://forums.swift.org/c/development/SwiftPM https://daveverwer.com/ https://twitter.com/daveverwer?lang=en https://www.facebook.com/ReactNativeRadio/ https://twitter.com/R_N_Radio Picks Dave Verwer: Advice for Software Apprentices Jaim Zuber: https://iosdevweekly.com/ Try it using the RSS feed Andrew Madsen: iTerm 2 Gui Rambo: NES Emulator Part #1: Bitwise Basics & Overview NES Emulator Part #2: The CPU (6502 Implementation) NES Emulator Part #3: Buses, RAMs, ROMs & Mappers Abbey Jackson: https://cocoahub.app/

Swift Unwrapped
78: Binary Dependencies in Swift Package Manager

Swift Unwrapped

Play Episode Listen Later Sep 2, 2019 29:57


What's one feature missing from the Swift Package Manager that CocoaPods has had for years? Binary dependencies! But how would this work in SPM?

Rebuild
242: Thumbs Down If You Like It (N)

Rebuild

Play Episode Listen Later Jun 26, 2019 184:42


Naoki Hiroshima さんをゲストに迎えて、Swift, DSL, iPad, アクセシビリティなどについて話しました。 Show Notes Intermittent Issues to Mixlr’s Services Aubrey Plaza Nintendo is working on a full sequel to The Legend of Zelda: Breath of the Wild Flutter Jetpack Compose The Apache Groovy programming language fastlane - App automation done right Swift Package Manager Carthage CocoaPods SF Symbols Google was never really serious about tablets how Japanese kill shrimp to eat Google’s login chief doesn’t mind Apple’s new sign-in button Emily Shea - "Perl Out Loud" Slack’s Non-IPO Went Pretty Well 殺人犯の視聴率 The Dirt ドコモ、専用のメール送信ポートを提供する「特定接続サービス」

TechnoPillz
TechnoPillz | Ep. 181 "Hamburger Menu"

TechnoPillz

Play Episode Listen Later Feb 14, 2019 30:20


Alex sta pensando di fare una cosa che non si dovrebbe fare quando si sviluppa un’app per dispositivi mobili, no, scusate, per smartphone.Ci vuole mettere dentro un cazzo di menu!!!È molto probabile che oggi abbiamo parlato di un prodotto qui:https://t.me/technopillzriothttp://www.alexraccuglia.netSostenete Runtime Radio: https://www.spreaker.com/show/3147620

TechnoPillz
TechnoPillz | Ep. 181 "Hamburger Menu"

TechnoPillz

Play Episode Listen Later Feb 13, 2019 30:20


Alex sta pensando di fare una cosa che non si dovrebbe fare quando si sviluppa un’app per dispositivi mobili, no, scusate, per smartphone.Ci vuole mettere dentro un cazzo di menu!!!È molto probabile che oggi abbiamo parlato di un prodotto qui:https://t.me/technopillzriothttp://www.alexraccuglia.netSostenete Runtime Radio: https://www.spreaker.com/show/3147620

The iPhreaks Show
iPS 251: XcodeGen and other Swift Tools with Yonas Kolb

The iPhreaks Show

Play Episode Listen Later Aug 9, 2018 38:36


Panel: Jaim Zuber Special Guest: Yonas Kolb In today’s episode, the iPhreaks panel talks to Yonas Kolb about XcodeGen and other Swift tools. Yonas works on a number of open source projects that Jaim has been working with recently, notably XcodeGen, Mint, and Beak. They talk about what each of these open source tools are and do, use cases for XcodeGen, and the benefits of checking in VS not checking in. They also touch on obscure things you can do with XcodeGen, how he started the project, and more! In particular, we dive pretty deep on: Yonas intro XcodeGen Swift command line tool Why bother? Merge conflicts Use with complicated setups How do you define the files? Point at a directory and it will work itself out What’s the output of the XcodeGen tool? Skeptical at first Benefits of checking in vs not checking in XcodeGen project? What do you use to describe the format? How do I set project configurations? Build setting names New documentation for build settings - Xcode Build Settings Reference Does XcodeGen work with CocoaPods? Obscure things you can do with XcodeGen How did you start the project? Xcake and Struct Swift How is Swift for writing tools? What libraries do you use for writing shell commands? Mint Beak And much, much more! Links: XcodeGen Mint Beak Swift Xcode Build Settings Reference CocoaPods Xcake Struct @yonaskolb Yonas’s GitHub yonaskolb.com Sponsors: FreshBooks Loot Crate Picks: Jaim Rockstar programming language Yonas GitUp Xcode Build Settings Reference

Devchat.tv Master Feed
iPS 251: XcodeGen and other Swift Tools with Yonas Kolb

Devchat.tv Master Feed

Play Episode Listen Later Aug 9, 2018 38:36


Panel: Jaim Zuber Special Guest: Yonas Kolb In today’s episode, the iPhreaks panel talks to Yonas Kolb about XcodeGen and other Swift tools. Yonas works on a number of open source projects that Jaim has been working with recently, notably XcodeGen, Mint, and Beak. They talk about what each of these open source tools are and do, use cases for XcodeGen, and the benefits of checking in VS not checking in. They also touch on obscure things you can do with XcodeGen, how he started the project, and more! In particular, we dive pretty deep on: Yonas intro XcodeGen Swift command line tool Why bother? Merge conflicts Use with complicated setups How do you define the files? Point at a directory and it will work itself out What’s the output of the XcodeGen tool? Skeptical at first Benefits of checking in vs not checking in XcodeGen project? What do you use to describe the format? How do I set project configurations? Build setting names New documentation for build settings - Xcode Build Settings Reference Does XcodeGen work with CocoaPods? Obscure things you can do with XcodeGen How did you start the project? Xcake and Struct Swift How is Swift for writing tools? What libraries do you use for writing shell commands? Mint Beak And much, much more! Links: XcodeGen Mint Beak Swift Xcode Build Settings Reference CocoaPods Xcake Struct @yonaskolb Yonas’s GitHub yonaskolb.com Sponsors: FreshBooks Loot Crate Picks: Jaim Rockstar programming language Yonas GitUp Xcode Build Settings Reference

All JavaScript Podcasts by Devchat.tv

Panel: Charles Max Wood Guest: Orta Therox This week on My JavaScript Story, Charles speaks with Orta Therox. Orta is a native engineer that believes that the right way to build systems is to understand as many systems as possible. He works predominately on iOS programming at a company called Artsy, where they make it easy to buy and sell art on the internet. He first got into programming because he loved playing video games as a child, loved creating his own video games, and worked his way up from there. They talk about his work at Artsy, how he used open source to learn himself how program, how he got into Ruby and then React and React Native, and more! In particular, we dive pretty deep on: JavaScript Jabber Episode 305 Orta intro Artsy iOS programming Hates lack of documentation CocoaPods Trouble with building native apps His move to React and React Native Used to run iOS team at Artsy How did you get into programming? Played video games as a kid Taught himself with books Using open source to learn Open source by default idea Loves giving back through blogging and open source How did you get into Ruby? MacRuby Boundaries are very obvious in React Native How did you get into React and React Native? Native developers building stuff in JavaScript Culture conflicts How they dealt with dependencies in their apps And much, much more! Links: JavaScript Jabber Episode 305 Artsy CocoaPods React React Native MacRuby JavaScript @orta orta.io Orta’s GitHub Artsy Engineering Sponsors: Loot Crate FreshBooks Picks Charles South Pacific Get a Coder Job course Framework Summit Orta Prettier

My JavaScript Story
MJS 072: Orta Therox

My JavaScript Story

Play Episode Listen Later Aug 1, 2018 38:58


Panel: Charles Max Wood Guest: Orta Therox This week on My JavaScript Story, Charles speaks with Orta Therox. Orta is a native engineer that believes that the right way to build systems is to understand as many systems as possible. He works predominately on iOS programming at a company called Artsy, where they make it easy to buy and sell art on the internet. He first got into programming because he loved playing video games as a child, loved creating his own video games, and worked his way up from there. They talk about his work at Artsy, how he used open source to learn himself how program, how he got into Ruby and then React and React Native, and more! In particular, we dive pretty deep on: JavaScript Jabber Episode 305 Orta intro Artsy iOS programming Hates lack of documentation CocoaPods Trouble with building native apps His move to React and React Native Used to run iOS team at Artsy How did you get into programming? Played video games as a kid Taught himself with books Using open source to learn Open source by default idea Loves giving back through blogging and open source How did you get into Ruby? MacRuby Boundaries are very obvious in React Native How did you get into React and React Native? Native developers building stuff in JavaScript Culture conflicts How they dealt with dependencies in their apps And much, much more! Links: JavaScript Jabber Episode 305 Artsy CocoaPods React React Native MacRuby JavaScript @orta orta.io Orta’s GitHub Artsy Engineering Sponsors: Loot Crate FreshBooks Picks Charles South Pacific Get a Coder Job course Framework Summit Orta Prettier

Devchat.tv Master Feed
MJS 072: Orta Therox

Devchat.tv Master Feed

Play Episode Listen Later Aug 1, 2018 38:58


Panel: Charles Max Wood Guest: Orta Therox This week on My JavaScript Story, Charles speaks with Orta Therox. Orta is a native engineer that believes that the right way to build systems is to understand as many systems as possible. He works predominately on iOS programming at a company called Artsy, where they make it easy to buy and sell art on the internet. He first got into programming because he loved playing video games as a child, loved creating his own video games, and worked his way up from there. They talk about his work at Artsy, how he used open source to learn himself how program, how he got into Ruby and then React and React Native, and more! In particular, we dive pretty deep on: JavaScript Jabber Episode 305 Orta intro Artsy iOS programming Hates lack of documentation CocoaPods Trouble with building native apps His move to React and React Native Used to run iOS team at Artsy How did you get into programming? Played video games as a kid Taught himself with books Using open source to learn Open source by default idea Loves giving back through blogging and open source How did you get into Ruby? MacRuby Boundaries are very obvious in React Native How did you get into React and React Native? Native developers building stuff in JavaScript Culture conflicts How they dealt with dependencies in their apps And much, much more! Links: JavaScript Jabber Episode 305 Artsy CocoaPods React React Native MacRuby JavaScript @orta orta.io Orta’s GitHub Artsy Engineering Sponsors: Loot Crate FreshBooks Picks Charles South Pacific Get a Coder Job course Framework Summit Orta Prettier

Under utveckling
27: React native med Erik Larkö

Under utveckling

Play Episode Listen Later Apr 25, 2018 50:09


Fredrik frågar ut Erik Larkö om hur det är att använda React native för att bygga applikationer. React native är en lösning från Facebook som låter en skapa appar för (främst) IOS och Android med tänk från webbramverket React. Erik berättar om hur det är att börja använda som webbutvecklare, men också hur hans kollegor som kommer från Androidvärlden upplevt det. Den största grej Erik saknar för stunden är ett riktigt bra testramverk. Det finns lösningar, men de är inte på den nivå man är van vid i modern webbutveckling. Sist men inte minst får vi ett proffstips om hur du gör build-and-shake. Länkar TimeEdit Erik Larkö React native XKCD - programming is fun again Cordova Phonegap Titanium Bryggan i React native Piérre Reimertz Fabric Webpack Babel Create React app Create React native app Typescript Flow - Javascriptramverk för att kontrollera typer statiskt Material - Googles designformspråk och gränssnitt Flexbox Inversion of control Glamor Styled components Haskell Elm Om Ferrite Artikeln om Ferrites React-inspirerade arkitektur Enzyme - testverktyg för React Jest Golden file ReactXP React native web Gradle Pod-filen hör ihop med Cocoapods - en pakethanterare för Appleutvecklare Electron React-blessed Stephen White - arrangerar React-meetupen i Göteborg React VR Tree style tabs Expo

Fatal Error
44. Grab Bag

Fatal Error

Play Episode Listen Later Sep 25, 2017 42:32


Soroush has a new mic ATR2500-USB Thanks to you, Patreon supporters, for buying us new mics! Chris is making an Alexa Skill FlightAware ADS-B Exchange Cheap ADS-B Aircraft Radar (this isn't Chris's exact setup, but it's similar) What it's like to build an Alexa skill - and how you can do it yourself Build your First Alexa Skill Fact Skill Tutorial: Build an Alexa Skill in 6 Steps AWS Lambda Creating a Deployment Package (Node.js) Speech Synthesis Markup Language (SSML) Reference Chris's ADS-B posts: Monitoring aircraft via ADS-B on OS X Quick ADS-B monitoring on OS X Soroush is using Sourcery Sourcery Sourcery in Practice Kyle Fuller: GitHub @kylef, Twitter @kylefuller Stencil SwiftTemplate Commit from Krunoslav Zaher: “Swift templates proof of concept” Equality.swifttemplate Chris helped a friend who's making a Swift CLI program dyld: Library not loaded: @rpath/libswiftAppKit.dylib Referenced from: /Users/friend/Library/Developer/Xcode/DerivedData/application-gqcotuckdopephaodrgawgaxuzwr/Build/Products/Debug/CSwiftV/CSwiftV.framework/Versions/A/CSwiftV Reason: image not found If my advice turns out to have been helpful, I'll publish it verbatim in a blog post. In the meantime, here are some relevant links I sent this friend: CocoaPods 0.36 - Framework and Swift Support What are Frameworks? Bundle Structures Swift.org - ABI Dashboard Swift.org - Package Manager Building a command line tool using the Swift Package Manager How to build a custom Swift framework and how is it related to the SPM? Getting Started with Swift Package Manager An Introduction to the Swift Package Manager SO question: OSX Command Line Tool with Swift Cocoa Library, Library not loaded SO answer about dynamic frameworks in a CLI tool SO question: Setting up a Framework on macOS Command Line apps - Reason: image not found kylef/Commander README: frameworks and rpath JP Simard on Twitter: “the app's rpath should point to the frameworks' parent locations” realm-cocoa-converter: “A library that provides the ability to import/export Realm files from a variety of data container formats.”

The Manifest
Episode 2: CocoaPods with Orta Therox

The Manifest

Play Episode Listen Later Sep 3, 2017 53:49


Wherein we discuss CocoaPods, a package manager for macOS/iOS development, with lead maintainer Orta Therox. We discuss how he got started contributing to Cocoapods, the arrival of Swift Package Manager and Orta's latest project, Danger. Special Guest: Orta Therox.

danger orta cocoapods macos ios orta therox andrew nesbitt
Fatal Error
34. Promises … in Objective-C

Fatal Error

Play Episode Listen Later Jul 17, 2017 30:44


This week, Chris and Soroush discuss Soroush's latest project, which among other things involves porting his Swift Promises library to Objective-C. Soroush's Swift promise library Gist of Soroush's Objective-C promise library Fucking Block Syntax Episode 4: Promises Episode 15: Not Invented Here BAPromise CocoaPods, Carthage Bitcode Android Support Library Tiny Swift Idioms in Objective-C We didn't discuss this in the episode, but it's relevant: One Weird Trick to Lose Size

Fatal Error
20. Simple Made Easy

Fatal Error

Play Episode Listen Later Mar 6, 2017 31:07


Simple Made Easy by Rich Hickey “Rich Hickey emphasizes simplicity's virtues over easiness', showing that while many choose easiness they may end up with complexity, and the better way is to choose easiness along the simplicity path.” Talk Transcript, with slides Fatal Error episode 7: The Single Responsibility Principle Fatal Error episode 15: Not Invented Here Some examples we mention: Object-Relational Mapping vs Key-value Database CocoaPods vs. Carthage Slides mentioned in this post: Development Speed Simplicity Made Easy

object databases slides carthage fatal error cocoapods rich hickey not invented here single responsibility principle simple made easy