codecentric

codecentric bezoekt QCon Londen 2017

Zoals bijna elk jaar is codecentric ook dit jaar weer naar QCon Londen geweest, een conferentie voor IT-leiders zoals CTO’s,
architecten en tech-leads. codecentric opereert vaak in deze rollen en daarom biedt deze conferentie de ideale ogelijkheid om met ander IT-leiders over het vakgebied van gedachte te wisselen. Machine learning, software security, distributed architectures en high performance waren onderwerpen die onder andere belicht werden tijdens de conferentie.

De conferentie begon met een ijzersterke keynote van Alasdair Allan over security war stories: the battle for the internet of things. Aan de hand van een aantal voorbeelden werd uitgelegd dat security van connected devices nog in de kinderschoenen staat. Hierbij werd het voorbeeld gebruikt dat een groot botnet was opgebouwd uit beveilingscamera’s waar het standaard wachtwoord niet van was veranderd en uit camera’s die vanuit de fabriek zwakke software hadden meegekregen en sindsdien geen update hadden gehad, omdat bijvoorbeeld de gebruikers niet weten hoe dit moet. In een ander voorbeeld werd verteld hoe in Afrika en Azië bedrijven zijn die componenten uit oude computers recyclen, maar ook de data van deze oude computers ‘recyclen’ om fraude mee te plegen.

Een andere presentatie die echt de moeite waard was, was de presentatie van Claudia Perlich over Predictability In ML Applications. De problematiek van het aanbieden van relevante advertenties binnen bijvoorbeeld 100 milliseconde vereist zeer goede en zeer uitgebreide machine learning. In de presentatie werd verteld hoe machine learning wordt toegepast op 100 miljard events die elke dag binnenkomen en hoe deze dan worden verwerkt naar statistieken die de juiste advertentie kunnen weergeven voor de juiste gebruiker, maar ook hoe fraudelente clicks worden herkend en kunnen worden genegeerd. Het meest indrukwekkendste zijn de hoge performance en de belasting van dit soort advertentiesystemen.

In de talk How to backdoor invulnerable code door Josh Schwartz werden er voorbeelden gegeven van situaties waarbij, hoewel de source code zeer veilig was, er toch manieren werden gevonden om netwerken binnen te dringen. Enerzijds waren er een aantal indrukwekkende voorbeelden van social engineering (van kopiëren van google+ accounts tot het afnemen van interviews waarbij dmv een usb stick malware werd geïnstalleerd). Anderzijds werd er ingegaan op het feit dat een continuous delivery pipeline bijvoorbeeld ook erg gevoelig kan zijn om gehacked te worden. In bepaalde gevallen is het gemakkelijk om via het integratie process bugs toe te voegen, die jou uiteindelijk toegang verlenen tot de applicatie/het netwerk. We zijn gevoeliger voor hacks dan we denken omdat we simpelweg behoorlijk wat afhankelijkheden hebben waar we op vertrouwen: 3rd party libraries, continuous integration software, deployment software, provisioning, etc. Alleen kijken naar onze eigen code is niet genoeg.

In de presentatie Drowning in data, Thirsting for insight van Medhi Daoudi werd verteld dat data driven development is een term die je steeds vaker hoort. En hoewel data driven keuzes in de meeste gevallen pas echt waardevolle inzichten geeft, en zeer effectieve, gebruiksvriendelijke applicaties met een kleine goed te onderhouden codebase, zien we ook de trend om dan maar alles op te slaan (big data). In het geval van applicatie monitoring worden er vaak geen keuzes gemaakt over wat wel en wat niet te monitoren maar gewoon alles op te slaan. Het gevolg is in bepaalde gevallen dat er een loadbalancer voor het monitoring systeem moet komen. Maw: een monitor voor de monitor. We slaan daarnaast statistieken op terwijl er niet eerst in nagedacht over wat we met deze data willen.  Tijdens de talk werden een aantal statistieken getoond die werkelijk geen enkel nut hebben maar wel resources en storage vragen.Fast data, big data, data driven zijn vooral vanuit technisch oogpunt benaderd. Maar net als bij het ontwikkelen van software geldt hiervoor ook dat er eerst gekeken moet worden waarom er gemeten moet worden en vervolgens wat/welke data. Het hoe hebben we nu wel onder de knie :-)

Het is goed om te zien dat codecentric op veel van de onderwerpen, die tijdens QCon aan bod kwamen, een leider is en een goede invulling kan geven bij de vraagstukken die op QCon zijn gepresenteerd.