В этом году я впервые поучаствовал как спикер на конференции по безопасности OFFZONE. Поводом для доклада стало желание закрыть гештальт: на одной из предыдущих работ мою находку о потенциальной проблеме в Hyperledger Fabric проигнорировал тимлид. И я решил довести её до конца самостоятельно. Этот путь занял практически всё лето. Дедлайн по подаче докладов – до 15 июля. В июне я сделал PoC код, показывающий суть проблемы. Ещё месяц заняла реализация защиты. Это был мой первый open source проект. Пришлось попотеть: хотелось сделать проект понятный для использования другими. Для этого нужно было: написать понятный код, снабдить его комментариями и сделать юнит-тесты. Я не профи программист, код писать не люблю. Пришлось себя перебороть ради достижения этой цели. Я подал заявку на доклад ещё не закончив это дело. В начале августа мой доклад одобрили. Тогда же я предложил своё решение в сообществе Hyperledger Fabric. Некоторые разработчики стали доказывать, что проблемы нет: в тестах не подтверждается + приводили код проекта, где реализованы механизмы защиты. Доклад оказался под угрозой. Я бросился проверять ещё раз. Убедившись в своей правоте создал заявку в HackerOne. Вскоре появилось исправление. Но, разработчики не признали, что это уязвимость. И я самостоятельно занялся присвоением CVE идентификатора. Уже после доклада уязвимости был присвоен CVE. Закрыв гештальт, снова убедился: хороший тимлид направления безопасности с опытом только разработчика – исключение из правила.
Все посты подряд / Информационная безопасность / Хабр