Содержание

GIDROLOCK ITALY | Система защиты от протечек воды

Принцип работы системы GIDROLOCK

При попадании влаги на датчик воды система защиты от протечек GIDROLOCK даст сигнал об аварии и автоматически перекроет подачу воды с помощью шаровых электроприводов.

Возобновление подачи произойдет только после устранения аварии.

Защита от протечек воды GIDROLOCK, это система предотвращения протечек, которую можно устанавливать в квартирах и загородных домах, общественных и административных зданиях, промышленных и складских помещениях, котельных и локальных тепловых пунктах, станциях водоочистки, в системах водоснабжения и отопления, там, где возможна утечка воды.

Система защиты от протечек (система предотвращения протечек воды) состоит из трех основных элементов: датчиков протечки воды, блока управления и шаровых электроприводов, предназначенных для экстренного отключения воды.

Блок управления предназначен для формирования напряжения питания всех подключенных к нему датчиков, управления шаровыми электроприводами и выдачи звукового оповещения об аварии. Звуковой сигнал включается, когда система зафиксирует протечку воды. В нормальном состоянии звуковой сигнал выключен.

Датчики воды устанавливаются в местах вероятного ее появления: под ванной, мойкой, рядом с унитазом или раковиной, под стиральной и посудомоечной машиной, батареей или котлом отопления, бойлером и т.д. Система может контролировать до 20 помещений, где существует риск появления воды. Благодаря небольшим размерам (высота датчика воды всего 8 мм) датчики протечки воды можно разместить в любых местах.

Кран шаровой с электроприводом предназначен для перекрытия водоснабжения (отопления) в случае возникновения протечки. Шаровой электропривод состоит из шарового крана и электропривода, предназначенного для дистанционного управления шаровым краном. Шаровые электроприводы устанавливаются на стояках горячей и холодной воды (или системе отопления) после ручных вентилей в местах, удобных для монтажа и обслуживания.

В зависимости от назначения системы шаровые электроприводы бывают разных размеров. Шаровой электропривод диаметром 1/2 дюйма применяется, как правило, для разводки горячей и холодной воды по дому; 3/4 дюйма — для систем отопления; от 1 до 2 дюймов — в системах централизованного водоснабжения или в котлах.

Монтаж системы утечки воды не требует серьезного вмешательства в работу систем водоснабжения. Система может быть установлена как в процессе ремонтных работ, так и по их окончании. Но если вы делаете ремонт сейчас, то лучше установить систему обнаружения утечки воды не откладывая.

Система гидролок

Защита от протечек Гидролок – это инженерная система, предназначенная для автоматического отключения подачи воды при авариях в системах водоснабжения и отопления.
Часто подобные аварии превращаются в настоящее стихийное бедствие. Каждый знает сколько нервов, времени и денег приходится потратить на устранение последствий протечек воды. Как свидетельствует статистика, ущерб имуществу, наносимый авариями в водопроводных и отопительных сетях, в 3 раза превышает потери от квартирных краж!
Защита от протечек воды ГИДРОЛОК – это набор специальных компонентов: датчиков, кранов, приводов и т.п., которые можно устанавливать в квартирах и загородных домах, общественных и административных зданиях, промышленных и складских помещениях, котельных и локальных тепловых пунктах, станциях водоочистки, в системах водоснабжения и отопления – везде, где возможна утечка воды. Монтаж системы контроля утечки воды не требует серьезного вмешательства в работу систем водоснабжения, она может быть установлена как в процессе ремонтных работ, так и по их окончании.

Внимание! В продаже шаровые краны BONOMI

Шаровые краны от знаменитой итальянской компании по производству сантехнического оборудования BONOMI (Idrosanitaria Bonomi). Пожизненная гарантия производителя! Подробнее о преимуществах кранов BONOMI в этой статье

Подробнее о преимуществах системы Гидролок по сравнению с конкурентами можно прочитать в этой статье

Про отличия Gidrolock ULTIMATE, PROFESSIONAL и WINNER можно прочитать в этой статье

 

Область применения системы GIDROLOCK:

● Квартиры в многоэтажных домах.
● Загородные дома.
● Общественные и административные здания.
● Промышленные помещения и здания.
● Складские помещения и комплексы.
● Системы диспетчеризации зданий и объектов.
● Котельные и локальные тепловые пункты.
● Станции водоочистки.
● Другие помещения и здания где существует вероятность аварии в системах водоснабжения и отопления.

Готовые комплекты для установки в квартирах и загородных домах

Для установки системы защиты от протечек ГИДРОЛОК в квартирах и загородных домах компания предлагает различные готовые комплекты, которые отличаются друг от друга размером проходного сечения и материалом шаровых кранов, а также типом применяемых в них электроприводов. Можно дополнительно доукомплектовать выбранный комплект необходимым количеством проводных и радио-датчиков, которые можно приобрести отдельно. Возможны самые разнообразные конфигурации комплектов, согласно Вашим требованиям и особенностям системы водоснабжения или отопления.

Принцип работы системы GIDROLOCK

При попадании влаги на датчик воды система защиты от протечек ГИДРОЛОК даст сигнал об аварии и автоматически перекроет подачу воды с помощью шаровых электроприводов. Возобновление подачи произойдет только после устранения причин аварии.
Система предотвращения протечек воды состоит из трех основных элементов: датчиков протечки воды, блока управления и шаровых электроприводов для экстренного отключения.

 
Блок управления предназначен для формирования напряжения питания всех подключенных к нему датчиков, управления шаровыми электроприводами и выдачи звукового оповещения об аварии. Звуковой сигнал включается, когда система зафиксирует протечку воды. В нормальном состоянии звуковой сигнал выключен.

Датчики воды устанавливаются в местах вероятного ее появления: под ванной, мойкой, рядом с унитазом или раковиной, под стиральной и посудомоечной машиной, батареей или котлом отопления, бойлером и т.д. Система может контролировать до 20 помещений, где существует риск появления воды. Благодаря небольшим размерам (высота датчика воды всего 8 мм) датчики протечки воды можно разместить в любых доступных местах.

Кран шаровой с электроприводом предназначен для перекрытия водоснабжения (отопления) в случае возникновения протечки. Шаровой электропривод состоит из шарового крана и электропривода, предназначенного для дистанционного управления шаровым краном. Шаровые электроприводы устанавливаются на стояках горячей и холодной воды (или системе отопления) после ручных вентилей в местах, удобных для монтажа и обслуживания.

В зависимости от назначения системы шаровые электроприводы выпускаются различных размеров:
1/2 дюйма применяется, как правило, для разводки горячей и холодной воды по дому;
3/4 дюйма — для систем отопления;
от 1 до 2 дюймов — в системах централизованного водоснабжения или в котлах.

Преимущества системы GIDROLOCK

Автономная работа. Полностью автономная работа шарового электропривода GIDROLOCK WINNER без подключения к сети 220 вольт. Расчетное время работы шарового электропривода на 4 встроенных батарейках тип AA (1300 ma) в дежурном режиме 10 лет (С учетом “проворота” шарового крана два раза в месяц и любого количества подключенных к приводу проводных датчиков WSP).
4 года – гарантийный срок на оборудование ГИДРОЛОК

24 года – срок работы радиодатчика WSR от одной батарейки CR2450

Простота монтажа шарового электропривода.
● Уникальная функция быстрого отсоединения электропривода GIDROLOCK WINNER от шарового крана. Теперь можно устанавливать шаровые электроприводы вместо ручных кранов на вводе воды в квартиру или дом, что снижает расходы и экономит место в сантехническом шкафу.
● Шаровой электропривод может иметь любое положение при монтаже.
● При монтаже электропривод может быть отсоединен от шарового крана, что упрощает монтаж, а главное позволяет установить шаровой электропривод в труднодоступных местах.

Универсальность системы.
● Функция контроля состояния датчиков протечки воды по восьми зонам.
● Функция контроля обрыва цепи датчиков протечки воды по восьми зонам.
К блоку управления системы GIDROLOCK PREMIUM можно подключить:
● до 200 проводных датчиков протечки воды WSP;
● до 20 шаровых электроприводов;

● до 100 радио-датчиков WSR;
● GSM сигнализацию. При возникновении аварии вы получите тревожное SMS сообщение;
● дополнительную световую и звуковую сигнализацию.

Надежность.
● В системе ГИДРОЛОК применяются шаровые краны с электроприводом. Шаровые краны обеспечивают высокую надежность и отличные потребительские характеристики. Шаровые электроприводы GIDROLOCK не создают гидравлических ударов, не зависят от давления воды и качества её очистки.
● Корпус шарового крана выполнен из высококачественной нержавеющей стали 304 (производства HGSS), или горяче-кованной латуни производства компании BUGATTI (Италия) и выдерживает давление до 64 атмосфер.
● Для управления шаровым краном применяется мощный и надежный электродвигатель с усилием на валу свыше 70 кг*см (привод серии GIDROLOCK ULTIMATE) и до 450 кг*см (привод серии GIDROLOCK INDUSTRIAL).
● Редуктор электродвигателя изготовлен полностью из металла.
● В электроприводах GIDROLOCK реализовано новое техническое решение по управлению шаровыми кранами. Электропривод осуществляет вращение шарового крана при закрытии и открытии в одну сторону. Благодаря этому снижена нагрузка на редуктор электропривода, и поэтому минимальный ресурс электропривода GIDROLOCK выше чем у аналогичных приводов других производителей.

● На испытаниях GIDROLOCK ULTIMATE превысил 700000 циклов открытие/закрытие

Безопасность в эксплуатации. Безопасное напряжение питания 12 вольт подается на шаровой электропривод в течение 60 секунд и только в момент открытия или закрытия. Остальное время шаровой электропривод полностью обесточен! Напряжение питания датчиков протечки воды 5 вольт, что является абсолютно безопасным для человека.

Функция ручного закрытия/открытия подачи воды.
● Система имеет функцию дистанционного закрытия/открытия подачи воды. Теперь уходя из квартиры, вы можете дистанционно перекрыть (открыть) подачу воды с помощью обычного выключателя, расположенного, например в коридоре.

● Ручное управление положением шарового крана. Для этого нужно просто снять металлический фиксатор и поворотом корпуса электропривода GIDROLOCK WINNER закрыть или открыть шаровой кран.

Низкое энергопотребление.
● Потребление электроэнергии шаровыми электроприводами происходит только в момент закрытия/открытия подачи воды. При закрытии (открытии) шарового электропривода потребляется всего 0.002 а*час, что соответствует всего 0.15% от емкости аккумуляторной батареи 1,3 А*час!
● 24 месяца – срок работы радиодатчика WSR от одной батарейки CR2450.

Функция самоочистки. При долгой эксплуатации оборудования часто возникают проблемы с отложением на трубах и исполнительном механизме солей и грязи так называемое «закисание». Один раз в неделю главный блок подает команду на кратковременное закрытие и открытие шарового электропривода.

Энергонезависимое питание.

Система GIDROLOCK снабжена источником бесперебойного питания. При отключении электропитания система работает на аккумуляторной батарее. При включении напряжения питания аккумуляторная батарея находится в режиме подзарядки.

Функция автоматического контроля уровня заряда аккумуляторной батареи. Периодически система производит контроль уровня заряда аккумуляторной батареи. При снижении напряжения аккумуляторной батареи ниже определенного уровня включается звуковая сигнализация. В системе GIDROLOCK реализован метод трех уровневого контроля заряда аккумуляторной батареи (на холостом ходу, под нагрузкой и под нагрузкой по истечении заданного времени). Только метод измерения заряда аккумуляторной батареи под нагрузкой дает правильный результат.

Герметичный корпус электропривода. Электрооборудование системы ГИДРОЛОК находится в защищенном герметичном корпусе IP64.

Покрытие электродов датчика. Специальное антикоррозийное покрытие электродов датчика протечки воды. Электроды датчика покрыты золотом для защиты их от окисления.

Функция защиты электродов датчика. Встроенная функция защиты электродов датчика от разрушения при возникновении «гальванической пары», и как следствие большой срок эксплуатации.

Нет регулировки чувствительности датчика. Внутри датчика находится электронная схема определения наличия воды на электродах. Измерение происходит непосредственно в самом месте протечки. Благодаря этому вероятность ложного срабатывания сведена к нулю.

Простота в эксплуатации. Система работает полностью автоматически и не требует постоянного внимания и обслуживания. Установить систему GIDROLOCK можно как во время ремонта, так и после.

Гарантия 4 года на оборудование GIDROLOCK.

Качественные комплектующие. В системе ГИДРОЛОК используются электронные компоненты известных мировых производителей: HAHN, MICROCHIP, KingBright, PHILIPS, ON Semiconductor, SGN-THOMSON microelectronics, NATIONAL Semiconductor, Casil. Использование современных технологий и высококачественных материалов позволяет компании Гидроресурс выпускать надежную и конкурентоспособную продукцию.

Косяки системы защиты от протечек гидролок | Необычные проблемы и их решение.

Хотел сначала дополнить запись

Но потом подумав, решил создать новую запись., чтобы не затерялась.

История такова: Решили люди поставить себе систему защиты от протечек гидролок. Квартира была самая обычная, туалет и ванная были раздельными и предполагалось подключить на эти помещения 6 датчиков протечек. Три датчика расположить в туалете, и два в ванной. А поскольку жил с ними в одной квартире достаточно зловредный кот, то с учетом этого фактора решили они что надо подстраховаться и поставить на каждую группу датчиков один датчик с контролем обрыва цепи. Тем более, что эта опция, судя по инструкции к системе гидролок в системе уже предусмотрена. 

 

Беру я в рукии инструкцию и читаю:

 

Вроде все нормально, все достаточно понятно написано, русским языком: “Для правильной работы функции контроля обрыва цепи необходимо, чтобы в цепи выбранной зоны был только один конечный датчик WSP+” выделил эту фразу еще раз, чтобы обратить на нее внимание. Итак, согласно этому пункту инструкции, в ЦЕПИ одной зоны может быть только один КОНЕЧНЫЙ датчик. Логично предположить, что в цепи где есть  КОНЕЧНЫЙ датчик, должен быть или по крайней мере может быть еще и первый датчик, а может и группа начальных датчиков цепи.

Хорошо, это усвоили – не больше одного датчика wsp+ на группу.

Читаем дальше:

Читайте также

Видим что все датчики подключаются к клеммам параллельно. Уже некое противоречие предыдущему пункту,  но можно предположить, что этот пункт относится к обычным датчикам, а предыдущий написан для варианта с установкой датчика с функцией обрыва цепи.

Подключаем датчики. Берем два датчика – один обычный, другой с функцией контроля. Подключаем последовательно. Ведь и ежику понятно, что при параллельном подключении будет контролироваться только один датчик, тот, который с функцией контроля. Тестируем датчики водой. Система не срабатывает. Звоним продавцу, объясняем ситуацию. Продавец говорит: “должно работать, Попробуйте подключить один  датчик.” Подключаю один – действительно работает. Подключаю параллельно – работает, последовательно – не работает. Звоню продавцу, тот признается, что не знает, поскольку на его практике такие датчики покупали только один раз. Мой случай второй после 7 летнего перерыва. Завтра обещает связаться с производителем. На следующий день мне предлагают поговорить с представителем “завода изготовителя”  Объясняю ситуацию. Прошу предоставить графическую схему подключения датчика с функцией контроля.  Представитель говорит: “Схемы не существует, но Вы не правильно читаете”. Я в ответ цитирую ему их же инструкцию. Анализируем пункт первый и он соглашается, что раз есть последний в цепи датчик, то может быть и первый.  Но, говорит, что этот датчик не подключается последовательно, так как может контролировать только себя. Забавно, зачем тогда мне такой датчик и почему инструкция предлагает его как контролирующий другие датчики? На вопрос как они уже не один десяток лет продают эти датчики с ТАКОЙ инструкцией, ответа нет. Спасибо говорят за обратную связь, я обязательно все куда-то передам  

Вот такая ботва

 Не верьте всему что пишут на заборах  

Надо видимо пристальнее приглядеться к китайскому варианту. Возможно в нем что-то есть  

 

О недавних утечках кода из экземпляров SonarQube

27 июля 2020 года мы узнали из освещения в СМИ, что Тилль Коттманн (@deletescape) смог получить доступ к неоткрытому исходному коду от различных компаний с помощью нескольких инструментов DevOps, включая SonarQube. Мы сразу отреагировали и попытались понять, что произошло. После обмена напрямую с Тиллем Коттманном мы получили подтверждение нашей первоначальной интуиции: был возможен доступ к исходному коду из-за способа настройки этих конкретных экземпляров SonarQube, а не из-за уязвимости в самом продукте SonarQube .

Хотелось бы уточнить это подробнее. SonarQube – это локальный продукт для анализа качества кода и безопасности кода. Таким образом, он разработан, чтобы находиться за брандмауэром в частных средах компаний. Компании, конечно, могут решить раскрыть его за пределами своего брандмауэра, и в этом случае для этого потребуется особая конфигурация. Затронутые экземпляры SonarQube – это те, которые доступны в Интернете и не выполнили дополнительную настройку для предотвращения доступа без аутентификации. Это то, что позволило Тиллю Коттманну получить доступ к этим экземплярам, ​​а затем собрать моментальные снимки кода, не являющегося открытым исходным кодом.

Тилль Коттманн также подтвердил это на своем канале в Twitter: https://twitter.com/deletescape/status/1288874392668299264

Наши команды в SonarSource полностью осознают, что затронутые компании, тем не менее, были застигнуты врасплох, и мы воспринимаем это как ответственность за предоставление четких указаний по обеспечению безопасности экземпляра SonarQube (особенно, если он не защищен частной сетью / брандмауэром):

  • наша документация по безопасности установки, в которой содержится информация о настройке «Принудительная проверка подлинности пользователя», ключевой конфигурации если вы решите предоставить свой экземпляр общедоступному веб-сайту.Это важное соображение в случае, если экземпляры открыты в Интернете и разрешают анонимный доступ.
  • также актуальна (хотя и не связана напрямую) будет нашей документацией о делегировании аутентификации, типичной корпоративной настройке, которая помогает лучше управлять доступом к внутренним инструментам более централизованным образом

Хотя мы подтвердили с Тиллем Коттманном, что нет уязвимость программного обеспечения, которую необходимо исправить в самом SonarQube, мы по-прежнему будем рассматривать возможные улучшения продукта, чтобы лучше направлять наших пользователей через указанные выше настройки при настройке и внедрении своей установки SonarQube.

Мы благодарим вас за неизменное доверие к нашей продукции и хотели бы поблагодарить Тилля Коттманна за его сотрудничество в установлении первопричин этого инцидента.

Обновление : ФБР недавно выпустило предупреждение об этой же проблеме неправильной конфигурации. Хотя это не является недостатком самого SonarQube, мы, тем не менее, внесли изменения, начиная с SonarQube 8.6, в конфигурацию по умолчанию. Использование учетных данных администратора / администратора по умолчанию теперь ограничено, и в новых экземплярах по умолчанию используется аутентифицированный доступ.

Прекратить планирование; устраните утечку!

Итак, вот и все: вы наконец решили установить платформу SonarQube и провести несколько анализов своих проектов, но это выявило так много проблем, что ваша команда не знает, с чего начать. Не поддавайтесь соблазну начать исправлять проблемы здесь и там! Это может быть бесконечное усилие, и вы быстро впадете в депрессию от объема оставшейся работы. Вместо этого первое, что вы должны сделать, это убедиться, что ваша команда разработчиков исправляет утечку. Применяйте этот принцип с самого начала, и он гарантирует, что ваш код будет постепенно очищаться по мере обновления и рефакторинга с течением времени.Эта новая парадигма настолько эффективна в управлении качеством кода, что просто делает традиционный подход «плана исправления» устаревшим. Фактически, он настолько устарел, что связанные функции исчезнут в SonarQube 5.5: планы действий и возможность связать проблему со сторонней системой управления задачами.

«Какого черта вы отбрасываете полезные функции? Опять же!? …»

Что ж, мы пытались тестировать и реально использовать эти функции в SonarSource с тех пор, как мы их представили, но так и не смогли.Возможно, наиболее очевидная причина, по которой мы никогда их не использовали, заключается в том, что задолго до концептуализации парадигмы «утечки» мы уже исправляли утечку благодаря соответствующим параметрам качества, установленным в каждом из наших проектов. И при этом никто не чувствовал необходимости полагаться на планы действий или JIRA для решения своих проблем.

На самом деле есть и другие причины, по которым эти функции никогда не использовались. Во-первых, планы действий хранятся только на сервере SonarQube, поэтому они не отображаются в вашей любимой системе управления задачами.Из-за этого есть вероятность, что вы в конечном итоге пропустите соответствующие дедлайны. Вот почему у вас может возникнуть соблазн «связать проблемы» с вашей системой управления задачами. Но эта функция «Ссылка на» ничем не лучше. Допустим, вы используете JIRA в своей компании. Когда вы связываете проблему с JIRA, интеграция SonarQube автоматически создает заявку для этой проблемы. Итак, если вы хотите отслеживать 100 проблем, вы получите 100 билетов JIRA, которые на самом деле не являются действенными (у вас просто есть обратная ссылка на SonarQube, чтобы определить каждую проблему), загрязняя ваш список невыполненных работ.Что еще хуже, когда проблема будет исправлена ​​в коде, она будет закрыта во время следующего анализа SonarQube, но соответствующий тикет в JIRA останется открытым! В любом случае, проблемы на сервере SonarQube и билеты в JIRA просто не имеют одинаковой детализации.

«Тем не менее, бывают случаи, когда я действительно хочу создать план исправления. Как я могу это сделать?»

Как обсуждалось ранее, вам действительно следует избегать определения плана исправления, а вместо этого использовать возможность тратить силы на «устранение утечки».Тем не менее, иногда вы можете быть вынуждены это сделать. Основной случай, о котором мы можем думать, – это когда вы абсолютно хотите исправить критические ошибки или уязвимости, обнаруженные в устаревшем коде, которые могут действительно повлиять на ваш бизнес, если они появятся в производственной среде. В этом сценарии вы действительно можете захотеть создать специальный план исправления, чтобы ваша команда разработчиков избавилась от этого операционного риска.

Хорошо то, что в SonarQube уже есть все необходимое, чтобы четко определить все эти проблемы и спланировать задачу, чтобы убедиться, что они исправлены – какую бы систему управления задачами вы не использовали:

1.В пользовательском интерфейсе SonarQube:
  1. Начните отмечать проблемы, которые вы хотите исправить, с помощью специального и определенного тега, например «must-fix-for-v5.2»
  2. Создайте общедоступный «фильтр проблем», который отображает только проблемы, помеченные с помощью must-fix-for-v5.2 “
2. В вашей системе управления задачами:
  1. Создайте заявку, в которой вы ссылаетесь на URL-адрес фильтра проблем.
  2. Установите срок выполнения или версию
3 .Все готово! У вас есть план исправления, которым вы можете управлять, как и любой другой задачей, и ваша команда не забудет решить эти проблемы.

“Тогда мне больше ничего не нужно?”

Ну нет. Такой способ определения планов исправления дает лучшее из обоих миров: определение проблем, которые необходимо исправить в пользовательском интерфейсе SonarQube, и планирование соответствующих усилий в вашей любимой системе управления задачами.

И еще раз, помните, что если ваша команда исправит утечку, скорее всего, вам больше не нужно будет создавать план исправления. Так что да, даже если я тот, кто изначально разработал планы действий и функции «Ссылка на» давным-давно, я думаю, что действительно пора попрощаться…

Устранение утечки воды

Представьте, что вы однажды пришли домой и обнаружили лужу воды на полу кухни. По мере того как вы смотрите, лужа постепенно становится больше.

Ты тянешься за шваброй? Или вы пытаетесь найти источник и исправить? Выбор очевиден, правда? Вы нашли источник утечки!

Так почему же с качеством кода все по-другому? Когда вы анализируете приложение с помощью SonarQube и понимаете, что у него большой технический долг, реакция коленного рефлекса, как правило, заключается в том, чтобы начать исправление – либо это, либо составление плана исправления.Это все равно, что мыть пол шваброй один раз в день, не обращая внимания на источник воды.

Обычно при таком традиционном подходе непосредственно перед выпуском периодический аудит качества кода приводит к выводам, с которыми разработчики должны действовать перед выпуском. Этот подход может работать в краткосрочной перспективе, особенно при сильной поддержке руководства, но он постоянно терпит неудачу в средне- и долгосрочной перспективе, потому что:

  • Проверка кода выполняется слишком поздно, и ни одна из заинтересованных сторон не заинтересована в исправлении проблем; все хотят, чтобы вышла новая версия.
  • Разработчики обычно отвергают рекомендации, сделанные внешней командой, которая не знает контекста проекта. И, кстати, рассматриваемый код уже устарел.
  • При таком подходе очевидно отсутствие ответственности за качество кода. Кому принадлежит качество? Никто!
  • Проверяется все приложение перед тем, как оно поступит в производство, и, очевидно, невозможно применить одни и те же критерии ко всем приложениям. По каждому проекту будут проводиться переговоры, которые лишат всякое доверие процесса

Вместо этого, почему бы не применить ту же простую логику, которую вы используете дома, для управления качеством кода? Устранение утечки означает сосредоточение внимания на «новом» коде, т.е.е. код, который был добавлен или изменен с момента последнего выпуска. Тогда все станет намного проще:

  • «Ворота качества» можно запускать каждый день, и пройти его можно. Во время релиза нет никаких сюрпризов.
  • Разработчикам довольно сложно отказаться от проблем, которые они представили накануне. Вместо этого они обычно счастливы исправить проблемы, пока код еще свежий.
  • Есть четкое владение кодом качества
  • Критерии «годен / не годен» единообразны для всех приложений и разделяются между командами.Действительно, новый код – это новый код, независимо от того, в каком приложении он выполняется в
  • .
  • Стоимость незначительна, так как это часть процесса разработки

В качестве бонуса код, который изменяется больше всего, имеет самую высокую ремонтопригодность, а код, который не изменяется, имеет самую низкую, что имеет большой смысл. Из-за природы программного обеспечения и того факта, что мы продолжаем вносить в него изменения, долг будет уменьшен естественным образом. Там, где его нет, не должно быть.

SonarQube предлагает два основных инструмента, которые помогут вам найти утечки:
  • Метрики нового кода показывают разницу в ваших показателях между текущим кодом и определенной точкой, выбранной вами в его истории, обычно previous_version
  • Новый код в первую очередь обнаруживается на основе данных SCM «виноват», начиная с первого анализа в течение периода нового кода (ранее «Период утечки»), с использованием резервных механизмов, когда это необходимо. См. Дополнительные сведения в разделе «Интеграция SCM».
  • Quality Gates позволяет вам устанавливать логические пороги, по которым измеряется ваш код.Используйте их с дифференциальными метриками, чтобы гарантировать, что качество вашего кода со временем движется в правильном направлении.

Производитель SonarQube защищает безопасность продукта DevOps после утечки исходного кода, виной которой являются плохие конфигурации • The Register

SonarQube, продукт с открытым исходным кодом от SonarSource, который утверждает, что является «вашим товарищем по команде по обеспечению качества и безопасности кода», недавно стал объектом негативной огласки, когда компьютерный консультант решил опубликовать в Интернете проприетарный исходный код от известных компаний – утверждая, что это было в основном получено с помощью плохо настроенных установок SonarQube.

Утечка кода произошла от швейцарского консультанта по компьютерам Тилли Коттманн, которая хвастается, что «вероятно, утекает ваш код прямо сейчас» в своем профиле Twitter, где также есть прикрепленный твит, приглашающий любого, у кого есть «доступ к любой конфиденциальной информации, документам, двоичным файлам или исходному коду, который, по вашему мнению, следует сделать общедоступным “для связи с Коттманном”, чтобы мы могли обсудить его безопасное распространение “.

Коттманн опубликовал код в собственном репозитории GitLab и через канал обмена сообщениями Telegram, включая исходники от Adobe, Microsoft, Lenovo, Fintech компании iLendx, Gate Gourmet, Motorola, Qualcommm, Mediatek и других, хотя The Register понимает многое из этого малоинтересно.

Сообщалось, что папка Microsoft содержала не стандартные блоки Windows или SQL Server, а нечто древнее под названием Playready Trustedapp (для платформы Amlogic) , и нам сказали, что папка Adobe содержит код для Behance, продукта для управления портфолио изображений.

Инцидент действительно вызвал некоторую тревогу, отчасти потому, что Коттманн утверждал, что они обнаружили экземпляры жестко закодированных учетных данных, хотя они «в основном были удалены в версиях из соображений максимальной эффективности».Коттманн, по-видимому, не следовал обычным рекомендациям по обеспечению безопасности, сообщая компаниям об уязвимости перед публикацией кода, но удалил код по запросу.

Почему утечки? Было ли это сделано для того, чтобы компании не небрежно относились к защите своего кода? «Это определенно часть этого, – сказал нам Коттманн, – но мне самому очень любопытно, как и многим другим. Я нахожу понимание того, как (часто, к сожалению,) создается проприетарное программное обеспечение. И я думаю, по крайней мере, некоторые из моих релизов, вероятно, также имеют намек на политическую мотивацию, хотя до сих пор это не привело к отмене капитализма, а в основном только заставило компании повысить свою безопасность.«

Коттманн утверждал, что большая часть кода была обнаружена в плохо защищенных репозиториях, утечка многих из которых произошла через SonarQube. Коттманн сказал The Register , что, хотя SonarQube имеет встроенную аутентификацию, не все заботятся о ее настройке и что «ее просто неправильно настроить, и я думаю, что многие компании не понимают, что люди могут просто загрузить исходный код оттуда. если у них нет авторизации.«

Он сказал, что небезопасные репозитории легко найти с помощью поиска в Интернете. SonarSource сообщил нам, что SonarQube используется от 150 000 до 200 000 компаний.

Генеральный директор

SonarSource Оливье Годен сообщил об утечках, подчеркнув, что доступ был обусловлен «способом настройки этих конкретных экземпляров SonarQube, а не уязвимостью в самом продукте SonarQube». Он отметил, что SonarQube «спроектирован так, чтобы находиться за брандмауэром», но затронутые экземпляры «являются теми, которые доступны в сети и не выполняли дополнительную настройку для предотвращения доступа без аутентификации».Поэтому SonarSource подразумевает, что исправлять нечего, хотя он рассмотрит «улучшения продукта, чтобы лучше направлять наших пользователей».

Довод о том, что приложения, находящиеся за брандмауэром, не нуждаются в защите, является спорным. Саймон Мейпл из Snyk, специалиста по безопасности с открытым исходным кодом, недавно сказал нам, что «хакеры любят этих разработчиков», потому что «как только они преодолеют этот брандмауэр, наступит время вечеринки».

Годен сказал нам, что пройти SonarQube не так просто, как предполагал Коттманн.«То, что сделала Тилли, не совсем однозначно», – сказал он.

Он добавил, что предоставление относительно свободного доступа к исходному коду внутри брандмауэра часто согласуется с политикой. «В большинстве компаний, когда они используют SonarQube, они хотят сделать код полностью прозрачным. Люди имеют доступ только для чтения ко всему исходному коду», хотя это «не во всех компаниях». Вот почему настройки по умолчанию позволяют пользователям просматривать код анонимно. «Это становится проблемой, когда вы кладете его за пределы брандмауэра», – сказал он.

Будет ли изменено значение по умолчанию? «Мы обсуждали это», – сказал нам Годен. «Это компромисс между внедрением и безопасностью. Мы можем закончить демонстрационным режимом и производственным режимом, где производственный режим по умолчанию является частным, а демонстрационный режим является общедоступным, потому что вам не нужно никаких трений при испытании продукта».

Ценность исходного кода для хакеров непостоянна. Во многих случаях это ничего не стоит, поскольку все еще защищено авторским правом. Можно провести аналогию с тем, что владение книгой не дает вам права получать прибыль от ее переиздания.Но доступ к исходному коду все еще может помочь преступникам найти способы взломать коммерческое программное обеспечение или обойти защиту от несанкционированного использования. Годен сказал: «Промышленность ожидает, что вы сможете защитить свой исходный код».

Существует давняя проблема с секретами, такими как логины для входа в базу данных и пароли, жестко закодированные в исходном коде. Многие разработчики, похоже, до сих пор борются с этим. Например, выполнение автоматических тестов является частью цепочки DevOps, и включение учетных данных в исходный код – простой способ заставить их работать.

На каждого человека, подобного Коттманну, который находит и сливает исходный код, могут быть другие, более сдержанные и менее доброжелательные.

Adobe сообщила нам: «Нам известно о сайте, и мы работали с соответствующими сторонами над удалением содержимого. У нас нет доказательств того, что какие-либо системы или клиенты Adobe были скомпрометированы из-за этой проблемы». ®

Утечка исходного кода

– что мы узнали и как защитить свой IP

На этой неделе мы узнали об утечке исходного кода от 50 известных компаний, сообщенной швейцарским ИТ-консультантом.Это произошло после очередной недавней утечки исходного кода от Nintendo, побудившей нас прокомментировать проблему защиты IP и безопасных конвейеров разработки.

Последняя утечка, по-видимому, связана в первую очередь с неправильной конфигурацией SonarQube, инструмента с открытым исходным кодом для статического анализа кода, который позволяет разработчикам проверять свой код на наличие ошибок и уязвимостей перед развертыванием.

Наша собственная оценка показала, что SonarQube обменивается данными через порт 9000, который, вероятно, был неправильно настроен для доступа к Интернету для взломанных компаний, что позволило исследователям получить доступ и обнаружить данные, которые теперь раскрыты в утечке.

Поиск SonarQube в популярной поисковой системе Интернета вещей Shodan позволяет любому обнаруживать порты, используемые распространенным программным обеспечением, таким как это. Поскольку эта информация настолько легкодоступна, порты, непреднамеренно оставленные открытыми, могут стать причиной целого ряда попыток вторжения.

Несколько репозиториев исходного кода также содержали жестко закодированные учетные данные, которые открывают дверь для доступа к другим ресурсам и расширения взлома. Лучше всего никогда не фиксировать код с жестко закодированными / незашифрованными учетными данными в ваших репозиториях.

Как защитить свой IP

Ошибки, такие как неправильная конфигурация и случайное раскрытие учетных данных, будут происходить в процессе разработки, и именно здесь группы InfoSec должны вмешаться. Аудит кода инфраструктуры как перед развертыванием, так и непрерывно в производственной среде имеет важное значение для компаний, практикующих DevOps и CI / CD.

Нашим решением этой проблемы является MVISION Cloud, мультиоблачная платформа безопасности для предприятий, позволяющая защищать свои данные, предотвращать угрозы и поддерживать безопасное развертывание своих облачных приложений.

Аудит облачных учетных записей на предмет неправильной конфигурации

С помощью MVISION Cloud группы InfoSec могут отслеживать учетные записи общедоступного облака своей компании, такие как AWS, Azure или GCP, на предмет ошибок конфигурации, которые могут привести к раскрытию конфиденциальных данных. В приведенном ниже примере MVISION Cloud обнаружило, что ресурс в AWS EC2 был настроен с неограниченным доступом к портам, отличным от 80/443, что открывает потенциальные сценарии взлома, как мы видели с утечкой исходного кода.

Сканировать код приложения на наличие уязвимостей

Компаниям с активным развертыванием контейнеров следует сделать еще один шаг вперед, проводя аудит не только на предмет неправильной конфигурации, но и на наличие CVE в своих образах контейнеров.В приведенном ниже примере MVISION Cloud обнаружило, что один образ контейнера содержит 219 уязвимостей кода, многие из которых могут быть использованы при атаке.

Сканировать репозитории на предмет жестко закодированных учетных данных и секретных ключей

Чтобы снизить риск раскрытия учетных данных или секретного ключа, в MVISION Cloud вы можете легко сканировать свои репозитории на предмет определенных типов данных и предпринимать несколько уровней действий. Ниже мы настроили политику для сканирования Bitbucket и Github с помощью наших идентификаторов данных Data Loss Prevention (DLP) для ключей и паролей AWS.С паролями мы используем проверку ключевых слов, что означает, что мы инициируем инцидент, только если рядом находится ключевое слово, такое как pwd, p или пароль. Здесь мы выбрали наименее разрушительное действие – уведомление конечного пользователя о необходимости исправить себя, однако также доступна возможность удаления данных.

Скорость DevOps позволяет компаниям быстро внедрять инновации, но без встроенных в конвейер аудитов безопасности неправильная конфигурация и уязвимый код могут остаться незамеченными и раскрыть данные при взломе.Мы настоятельно рекомендуем переход от DevOps к DevSecOps, встраивая этот процесс аудита в стандартную практику разработки приложений.

Чтобы узнать, как MVISION Cloud может помочь вам реализовать практику DevSecOps, свяжитесь с нами сегодня.

Обнаружение утечек воды с помощью оптических технологий гидролокатора – OpenGov Asia

Совет по инвестициям (BOI) недавно одобрил заявку одной из компаний-разработчиков программного обеспечения Digital Health Solutions в качестве нового разработчика программного обеспечения в рамках платформы Innovation Drivers – Community Health Information Tracking System (CHITS).

Компания, занимающаяся разработкой цифровых решений для здравоохранения, является дочерней компанией Филиппинского университета в Маниле, разработавшей технологию системы отслеживания информации о состоянии здоровья населения (CHITS). Компания планирует инвестировать 26 миллионов песо в свой объект в Барангае Мунуолк, Паранак-Сити, чтобы коммерциализировать технологию CHITS. Коммерческая деятельность уже началась в апреле 2021 года, и на полную мощность будет занято около 48 человек.

Система отслеживания медицинской информации сообщества (CHITS), одна из шести сертифицированных Philhealth систем электронных медицинских карт (EMR), используемых на уровне регионального отделения здравоохранения (RHU), сводит к минимуму время ожидания пациентов и улучшает мониторинг ухода за пациентами за счет эффективного кодирования и записи данных поиск.Посредством соответствующей стратегии информации и коммуникации технология стремится внести свой вклад в эффективное и действенное предоставление медицинских услуг, а также помочь в принятии решений в области здравоохранения на местном уровне. При использовании CHITS поиск в картах пациента можно выполнить всего через несколько секунд после поступления, а лабораторные запросы, результаты и отчеты могут быть созданы автоматически.

Вся система предназначена для имитации рабочего процесса учреждений первичной медико-санитарной помощи, включая процесс записи на бумажных носителях, чтобы помочь в оцифровке медицинской информации.Такая настройка упростит медицинскому персоналу или пользователям изучение и использование системы с минимальным контролем.

Поддерживаемое компанией биомедицинское устройство, способное измерять температуру пациента, артериальное давление, частоту сердечных сокращений, сатурацию кислорода, сокращения матки и показания ЭКГ, является одним из двух EMR, которые могут легко связываться и взаимодействовать с CHITS. Также было продемонстрировано, что он взаимодействует с международным ИТ-стандартом здравоохранения уровня 7-Fast Healthcare Interoperability Resources (HL7 FHIR), который используется для передачи данных между различными поставщиками медицинских услуг.

CHITS уже получил защиту авторских прав. Инициатор должен продолжать создавать, поддерживать, улучшать и продавать программное обеспечение «CHITS» в качестве единственного лицензиата и эксклюзивного дистрибьютора.

«Использование EMR позволит медицинским учреждениям, как частным, так и государственным, предоставлять более быстрые и качественные медицинские услуги, особенно сейчас, когда каждый филиппинец имеет право на них в соответствии с Законом о всеобщем здравоохранении (UHC). Системы EMR полезны для выявления тенденций и потенциальных случаев COVID-19 с целью ограничения распространения вируса путем измерения количества используемых коек », – сказал заместитель министра торговли и промышленности и управляющий глава BOI Сеферино Родольфо.

Пациенты, врачи, клиники и больницы будут связаны через комплексную платформу здравоохранения компании. Благодаря расширяющейся платформе организация в настоящее время сотрудничает с Министерством здравоохранения и PhilHealth в разработке универсальной системы здравоохранения для филиппинцев.

Кроме того, цифровая медицинская компания и онлайн-система записи на прием к врачу и / или стоматологу объединились, чтобы предоставить решения для цифрового здравоохранения. Альянс намерен разработать интегрированную систему телемедицины на основе электронных медицинских записей, которая предоставит всем филиппинцам безопасные, надежные и доступные медицинские услуги.

Когда CHITS связан с системой онлайн-бронирования медицинских услуг, врачи и медицинские учреждения могут проходить обучение, которое включает в себя сертификаты по телемедицине и подразделения CPD. Согласно BOI, больше специалистов в области здравоохранения будут хорошо оснащены, чтобы предоставлять и предлагать лечение, которое потребуется их пациентам в будущем, независимо от расстояния.

OpenGov Asia в статье также сообщил, что правительство Филиппин будет продвигать вперед разработку медицинских технологий для страны, сославшись на спрос на фоне пандемии, сообщил чиновник из Министерства науки и технологий (DOST).

Заместитель министра подчеркнул, что региональные и местные поставщики все чаще переходят на более дешевое оборудование. Она отметила, что местный рынок медицинских изделий сильно зависит от импорта: более 100% импортного медицинского оборудования и примерно 50% импортных медицинских устройств.

DOST включает свою программу биомедицинских устройств здравоохранения как одну из своих целей в решении этой проблемы. Это позволит удовлетворить потребность в инновационных исследованиях и местных разработках для поддержки и обработки надежного, безопасного и недорогого биомедицинского оборудования.Учебная программа также повысит навыки и компетенцию в области биомедицинской инженерии и смежных областях.

Исходный код десятков компаний просочился в сеть

Исходный код из открытых репозиториев десятков компаний в различных сферах деятельности (технологии, финансы, розничная торговля, продукты питания, электронная коммерция, производство) общедоступен в результате неправильной конфигурации их инфраструктуры.

Публичный репозиторий утечки кода включает такие известные имена, как Microsoft, Adobe, Lenovo, AMD, Qualcomm, Motorola, Hisilicon (принадлежит Huawei), Mediatek, GE Appliances, Nintendo, Roblox, Disney, Johnson Controls; и список продолжает расти.

Операция «Конфиденциальная и служебная информация»

Утечки были собраны Тилли Коттманн, разработчиком и реверс-инженером, из различных источников и в результате их собственной охоты за неправильно настроенными инструментами DevOps, которые предлагают доступ к исходному коду.

Большое количество этих утечек, которые называются «exconfidential» или более насмешливым ярлыком «Confidential & Proprietary», доступны в общедоступном репозитории на GitLab

.

По данным Bank Security, исследователя банковских угроз и мошенничества, в репозитории опубликован код более 50 компаний.Однако не все папки заполнены, но исследователь говорит, что учетные данные присутствуют в некоторых случаях.

На сервере

Коттманна показан код финтех-компаний (Fiserv, Buczy Payments, Mercury Trade Finance Solutions), банков (Banca Nazionale del Lavoro), разработчиков средств управления идентификацией и доступом (Pirean Access: One) и игр.

Коттманн сказал BleepingComputer, что они находят жестко запрограммированные учетные данные в легко доступных репозиториях кода, которые они пытаются удалить как можно лучше, чтобы предотвратить прямой ущерб и не способствовать каким-либо образом более серьезным нарушениям.

«Я стараюсь изо всех сил предотвращать любые серьезные проблемы, возникающие непосредственно в результате моих релизов», – сказал Коттманн BleepingComputer

.

Разработчик признал, что они не всегда связываются с затронутыми компаниями перед выпуском кода, но они стараются свести к минимуму негативные последствия публикации.

Другие люди участвуют в этом проекте, прямо или косвенно способствуя утечкам или помогая Kottmann лучше понять природу их открытия, когда им это не ясно.

Соответствие правилам удаления

Коттманн также говорит, что они выполняют запросы на удаление и с радостью предоставляют информацию, которая повысит безопасность инфраструктуры компании. Одной утечки от корпорации Daimler AG за брендом Mercedes-Benz в хранилище больше нет. Другая пустая папка имеет в названии Lenovo.

Однако, судя по количеству полученных уведомлений DMCA (по оценкам, до семи) и прямым контактам с юридическими или другими представителями, многие компании могут не знать об утечках.

Некоторые компании, заметившие, что их код становится общедоступным, даже не удаляют его. По крайней мере, в одном случае несколько разработчиков в одной компании просто хотели узнать, как Коттманн получил код, и не просили удалить его, желая «много веселья».

Больше охоты

Проверка части кода, просочившегося на сервер GitLab Коттманна, показала, что некоторые проекты были обнародованы их первоначальным разработчиком или в последний раз обновлялись давно.

Тем не менее, разработчик сообщил нам, что существует больше компаний с неправильно настроенными инструментами DevOps, открывающими исходный код. Кроме того, они изучают серверы, на которых работает SonarQube, платформа с открытым исходным кодом для автоматического аудита кода и статического анализа с целью выявления ошибок и уязвимостей безопасности.

Коттманн считает, что есть тысячи компаний, которые раскрывают собственный код, не обеспечивая надлежащую защиту установок SonarQube.

В канале Telegram разработчик предлагает подробности об утечках от других, включая утечку Nintendo, получившую название Gigaleak, содержащую исходный код, репозитории для разработки (множество графических прототипов) нескольких классических игр (Super Mario World, отмененный римейк Zelda 2, Super Mario 64, Легенда о Зельде: Окарина времени).

Неясно, какая часть кода на сервере Коттманна является проприетарным и должна оставаться конфиденциальной. BleepingComputer обратилась к ряду компаний, перечисленных в коллекции, чтобы узнать, в какой степени они затронуты утечками.

Добавить комментарий

Ваш адрес email не будет опубликован.