Feda /dev/ - No Javascript allowed

Normas
spoiler
Personas non gratas
Memes feda dev




desu

Si una empresa te hace un ataque o hace un mal producto lo dejas de usar.

El culto open source de fperos que se creen que por tener estrellitas en github son los mejores y las guerras de marketshare de las FAANGs con sus proyectos abiertos solo sirven para que el resto de fperos haga codigo de mierda con dependencias de mierda.

Todo el mundo que hace open source contribuye a que el software empresarial sea cada vez de peor calidad.

1 respuesta
Wei-Yu
#54300carracho:

No por ser opensource es más seguro o mejor por defecto... pero es auditable. En el código cerrado ves que pasa una anomalía ¿y que haces? comerte los mocos y llamar al soporte técnico a esperar que te hagan caso y no le den al botón de "next".

Pero eso es un tema completamente distinto de lo que digo (y con el que es difícil estar en desacuerdo a poco que hayas picado cuatro líneas en tu vida imho).

#54300carracho:

Pero vamos, estas cosas ayudan a ubicarse y tener en mente que dependencias usamos y como las usamos.

Tampoco creo que ayude mucho... una cosa es lo que usas tú explícitamente y otra son las dependencias transitivas e implícitas. Sobre lo primero tienes control, sobre lo segundo no. No vale de nada evitar usar una librería X cuando el propio entorno sobre el que despliegas está por debajo usando millones de líneas de código cada una de su padre y de su madre con sus respectivos procesos y modelos de seguridad.

1 respuesta
GaN2

#54298 Este es el comentario mas votado de Meneame:

Yo de verdad que pierdo la fe en el gremio...

#54300 Puedes encontrar bugs o vulnerabilidades en un programa sin tener acceso al codigo, no tienes que llamar al soporte tecnico y esperar a que te hagan caso. De hecho los zero days y demas vulnerabilidades gordas primero se contacta con la empresa en concreto, se le presentan el caso y se le da X dias/meses antes de hacerlo publico para que puedan subsanar el error. No tienes que esperar a que el soporte tecnico te haga casito, los programas que tienen las grandes son lo sufcientemente cuantioso para tener a gente haciendoles el trabajo encontrando este tipo de vulnerabilidades.

Sobre lo del codigo abierto, soy de la opinion de que el codigo de ciertas aplicaciones (navegadores, sistemas operativos, ciertas BBDD, etc) deberia de estar disponible en un repositorio para que fuera auditable y transparente.

1 respuesta
B

#54301 No tiene sentido lo que dices... hablas como si el uso del open-source fuese una imposición o algo. Si una empresa privada, con recursos privados me hace un software opensource ¿es malo por ser opensource? no entiendo que tiene que ver la licencia con la calidad.

#54302 Yo creo que ayuda... se ha visto mucho movimiento, eso siempre es positivo... seguro ahora existen más ojos observando que antes de ayer. Todo siempre tiene su punto positivo.
Pero vamos, que esto que ha pasado no es nuevo... si quizás el como se ha desarrollado... pero al final, hablamos de un proyecto mantenido por una o 5 personas como mucho que es usado por empresas de todo el mundo y no recibe soporte.

2 respuestas
Wei-Yu

#54304 ayuda? pues depende de muchas cosas... la primera que no sean voluntarios. Si justo el ejemplo de lo que ha ocurrido esta semana es de un maintainer desmotivado y quemado, sin tiempo para currar en todo y alguien que o se ha aprovechado de la situación o se convirtió en el eslabón más débil y se penetró por ahí.

No es normal que infra crítica dependa de gente que no cobra y estén las empresas privadas parasitando el trabajo comunitario. Que el código se pueda leer lo veo como algo positivo, ahora que la situación en la que estamos raro es que no se haya liado gordísima aún. Antes de que acabe la década igual nos encontramos con algo de la magnitud del 9/11 por una brecha digital en el ecosistema open source, porque encima este backdoor se encontró por absoluto azar... como mínimo tenemos un indicativo muy claro de que es muy probable que existan cosas así por descubrir desde hace años o lustros.

1 respuesta
GaN2

Por cierto para el que le interese ver la comunicacion original del principal de Microsoft explicando como lo encontro:

https://www.openwall.com/lists/oss-security/2024/03/29/4?trk=public_post_comment-text

2 1 respuesta
desu
#54304carracho:

hablas como si el uso del open-source fuese una imposición o algo.

es un problema cultural que fomentas.

hay gente que programa en java y spring en 2024. si todo el software fuese de pago, ni java ni spring existirían en 2024.

también por suerte, la mitad de los fperos no tendríais trabajo ni habria la burbuja de apps y webs de mierda que hay en occidente.

todos los compiladores deberian ser de pago. si quieres programar en Go paga el compilador.

hace el software abierto y accesible solo ha servido para empeorar la calidad de vida de los ingenieros de verdad. donde antes te venia una empresa y te pagaba 100k por un buen producto, ahora tienes a 5 becarios, copiando codigo de github por 20k cada uno

1 respuesta
Wei-Yu

#54306 viendo el report me inclino más aún a pensar que ha sido el mismo tío que estuvo de colaborador y no ha sido un problema de que le hayan robado la cuenta.

Imagínate ser el maintainer original, currar dos años con alguien y encontrarte este pastel... la culpa que debes de sentir además oof.

B

#54303 No siempre es así eh... algunos programas de bug bounty se dejan fuera aspectos importantes y no te dan nada si reportas según que clase de fallos que ellos consideren "menores"... y algunas veces las lineas no están tan bien dibujadas. Algunos sudan de DoS, otros les da igual una inyección SQL porque cuando lo manejan ellos va bien y en la documentación ya detallan que no se debe hacer de X manera... etc.. etc...
Vamos, no veo la relación código cerrado, código libre de fallos y de trabajadores deshonestos.... tampoco veo muy en la labor de romper estándares y que cada uno implemente la rueda 20000 veces porque su rueda es la suya y es mejor.... es ineficiente y absurdo.

Pero vamos, el quid de la cuestión... siempre será mejor tener acceso al código fuente que no tenerlo. Hacer ingeniería inversa no te da el 100% de seguridad.

EDIT: cambiado 'kit' por 'quid' (lo digo porque se que algunos se ponen irascibles con los edits :B)

#54305 Yo tampoco lo veo normal... deberían ser proyectos con el apoyo que se merecen. Tener capital privado no es incompatible con opensource.

#54307 No te tomo en serio, no pierdas el tiempo.

Dr_Manhattan

Ábrete un git para ver los edits y ya te aprobamos la pr al comment main si eso

JuAn4k4

#54292 Estas en presencial actualmente o en remoto ?

Llegados a un punto donde tu empresa actual la tienes en una zona de confort buena y vas sobrado, casi te recomendaría si estás en remoto te buscases un segundo curro de estos contractors de 6 meses manteniendo el otro como el “estable”, y el otro para pillar pasta.

Te supondrá un reto a nivel emocional, estarás aprendiendo un huevo, y cobrarás ese plus.
Al durar 6 meses puedes dejarlo un tiempo para descansar y buscar el siguiente el año siguiente, incluso planificarte y tener al niñ@ durante el descanso, etc.

En España yo creo que 70-80K€ es el techo de cristal actual para un senior dev.

Si negocias un curro a 30-40€/hora y les facturas el doble de horas, en plan 60hr/semana, siendo extranjera, profit. Si eres senior puedes tirar a 70-80€/hr

1 1 respuesta
GenBe

#54311 donde encontráis esos curros de contractors?

1 respuesta
JuAn4k4

#54312 LinkedIn, y webs random de remote jobs, en pocas se puede filtrar y no hay muchos, hace falta dedicar algo de tiempo para encontrar estas joyas pero te puedes permitir el lujo de buscarlas

1
Soltrac

Volviéndose @desu anti Occidente y conociendo como a la NSA le encantan los zero days para espiar, no entiendo esta alabanza al código cerrado y no auditable xddd.

Bueno sI, que a su nuevo gobierno le encanta tener a todo el mundo bien controlado.

1 respuesta
Sphere

#54292 Yo al final valoro más los billetes que me paguen que lo que aprenda en el trabajo. Si la diferencia entre ambos es pequeña, está claro que elijo un puesto que me vaya a enseñar muchísimo, pero al final trabajo para ahorrar lo máximo posible y poder vivir tranquilo en ese aspecto si vienen curvas.

Actualmente, en mi empresa está el tema de la subida salarial todavía en el aire, sí, en abril, así que me imagino que se van a sacar de la manga una excusa del tipo "es que la economía está regulera, tenemos que remar todos juntos". Cobro bastante bien así que no pasa nada, pero sé que si este es el modus operandi, en unos años tendré que saltar a otra empresa si quiero seguir conservando mi poder adquisitivo. Por otro lado, estoy muy cómodo con los proyectos y tengo el jefe más chill que he tenido en toda mi vida, buen WLB, remoto y flexibilidad horaria sin problemas siempre que vaya cumpliendo las entregas acordadas.

¿Qué hago? Upskilling por mi cuenta en todas las tecnologías que me gustan, mantenerme al día y prepararme certificaciones cloud. Así no me quedo atrás si vienen curvas o decido que ya es el momento de irme a otra empresa. Por mí, me jubilaba en esta empresa, pero ese pequeño detalle de que estén tonteando con no dar subidas me pone alerta, ya que 7 años sin subidas pueden reventarme el salario en un sector que paga muy bien, así que no me puedo dormir en los laureles. Además, es una empresa privada, mañana el CEO decide que hay que liquidar parte de la plantilla y más me vale tener un plan B si estoy en su lista de recortes.

2 1 respuesta
JuAn4k4

#54315 Como que la economía está mal ? Si hay inflación y tipos altos, deberían subirte el salario si o si, sino en realidad te están bajando como mínimo el 3% que subió el IPC, si tampoco te subieron en el 2022 ahí fue del 5%, y este año va por el 3% también. Es decir, si estabas en 55K€ en 2022 ahora deberías estar en 62K€ para estar cobrando “lo mismo”, pero tienes más experiencia así que deberías estar en torno a 65K€.

2 respuestas
Kaledros
#54316JuAn4k4:

Como que la economía está mal

Se decía en 2004 que la economía iba mal, figúrate. La economía es como el campo, que nadie nunca ha dicho ni oído la frase "qué buen año para el campo".

1 1 respuesta
Sphere

#54316 Lo sé, si hasta tengo mi Excel para controlar el salario que debería cobrar con la inflación anual y a cuánto disminuye a efectos prácticos al no recibir subida. Afortunadamente negocié un salario alto al entrar a la empresa y eso me da ventaja, pero por otro lado queda claro que a largo plazo tendré que saltar. Por lo tanto, tengo que seguir engordando mi CV y potenciando mi tech stack para mantenerme competitivo. Pero bueno, este sector es así.

#54317 Las empresas suelen ser bastante ratas a la hora de aumentar los salarios de sus trabajadores y de ahí el job hopping. Dudo que pierdan mucho dinero dando subidas salariales acordes a la inflación considerando que aplican esa misma medida actualizando su tabla de precios casa año, pero se ve que les sale más a cuenta porque la gente aguanta. Eso si, luego los perfiles potentes saltan porque no tienen necesidad ni aspiración de estancarse y lloran porque son muy Job hoppers. Quizá el Job hopping es una señal de que hay algo mal en el sector, específicamente en la retención de empleados, y no un problema de estos ni una “falta de compromiso”.

1 respuesta
Kaledros
#54318Sphere:

Quizá el Job hopping es una señal de que hay algo mal en el sector, específicamente en la retención de empleado

El job hopping implica varios problemas del lado de la empresa.

Por un lado, vivir en un pasado apolillado en el que tienes que dar gracias al empresario porque te da trabajo en lugar de darle la vuelta y pensar que él no te paga, que el empresario lo que hace es quedarse con el 90% de lo que le generas mientras te da las migajas, por mucho que cobres. Ese cambio de paradigma, en el que el trabajador se ha dado cuenta de que es el que genera valor (y aquí meto a regañadientes a gente de marketing, de producto y demás) y no la empresa la que le hace un favor. Y esto es igual en Consultora Manolo que en Apple, ojo.

Lo que pasa es que las empresas toleran el job hopping porque no invierten apenas en formar a un dev. Cuando entramos en una empresa, a partir de cierta seniority, necesitamos una semana para aprender el 5% de particularidades de ese proyecto en concreto y ya, ya podemos ser productivos. Por eso una empresa no se plantea subir el sueldo, porque pagando lo mismo o un poco más tienes a otro tío que te hace el trabajo del que se acaba de ir. Si en vez de formarnos en una FP, carrera o bootcamp tuviese que ser la empresa la que nos formara, como si fuera un taller de ebanistería del siglo XVII, ya veríamos si le parecería igual de bien que un tío que ha estado ahí tres años sin dar un euro se pira en cuanto puede.

El job hopping no es más que la manifestación física de que en este sector, en este momento y en esta coyuntura, mandamos nosotros. Y que si no te mola tengo 20 empresas ahí fuera a las que sí les va a molar.

1 1 respuesta
desu
#54319Kaledros:

a partir de cierta seniority, necesitamos una semana para aprender el 5% de particularidades de ese proyecto en concreto y ya

dime que no eres senior sin decirme que no eres senior ni lo seras en tu miserable vida

HAHAHAHAHAH

cuanto mas seniority mas tiempo necesitas, minimo 6 meses de on-boarding

HAHAHAHAHAH

entras en una code base de veinte proyectos, millones de lineas de codigo e infra, pero eh, en 3 dias el calvito de spiderman te domina la codebase al toque

HAHAHAHAHAH

2 1 respuesta
desu

#54314 yo no tengo gobierno, soy ingobernable

Kaledros
#54320desu:

en 3 dias el calvito de spiderman te domina la codebase al toque

¿Tú no? Qué chasco.

1 respuesta
desu

#54322 cuando tu trabajo es algo mas serio e importante que alinear un div o hacer un crud en spring no.

si tardas 3 dias en entender la codebase de spring podrias arreglar todos los problemas de event loop y asincronia que tienen? cientos de millones de fperos como tu te lo agradeceran. ps: yo he arreglado un par

1 respuesta
Kaledros

#54323

desu

https://www.amazingcto.com/goals-are-a-spectrum-not-a-number/

With these three numbers, it’s much easier to evaluate goal performance.

- Above 50%: Astonishing, everyone is very, very happy. This is happening once a year and needs to be celebrated. The DRI will be promoted.
- Above 45%: Exceed, this is great. If a DRI produces several “Exceeds” in a year, the person will get a salary increase and bonus.
- Between 40% and 45%: Ok, no one gets promoted, no salary increase, but you’re also not going to be fired.
- Below 40%: Fail. If the DRI has several Fails in a year, the person needs to look for another job,they are not the right person for this job.

Asi piensa un "CTO" HAHAHAHAHAHAH

No eres una persona, eres un DRI.

1
laZAr0

¿Alguna manera de conectar un iPhone a un servidor Linux para sincronizar las fotos del móvil sin tirar de cable y sin pagar una pasta en iCloud?

He montado un home server en Ubuntu y he sincronizado sin problemas todos mis dispositivos con Syncthing, pero al llegar al iPhone de mi novia, he topado con la inquisición.

Ni si quiera necesito sincronización real, solo quiero que suba las fotos en una dirección por tener una copia en caso de que se pierda el iPhone, ni si quiera hace falta que sea automática o trabaje en segundo plano.

Estaba haciéndolo con nextcloud, pero por alguna razón, el cliente de iPhone no hace "chunking" y me salta el límite de 100mb de cloudflare cuando subo videos. Por eso quería ver si hay alguna alternativa.

¿Alguna idea?

1 respuesta
Eustakiooo

#54326 Que te las pase a ti y tú las subes xdd

desu

https://a16z.com/the-techno-optimist-manifesto/

Ayer hablaba con @D4rk_FuRy de tecno positivismo y negativismo. Justo he visto este flotar hoy en HN.

Siempre es bueno leer los pensamientos de quienes controlan el planeta.

Dr_Manhattan

Hoy 2 de abril, es el día mundial del autismo, felicidades a todo el subforo!

3
Wei-Yu

parece que la gente no aprendió nada de los parsers XML que se fuman cosas, lo que estaba usando como validador de json resulta que usa el "extended spec" de hjson

así que ahora en vez de un error en un sitio tengo cosas que potencialmente pueden fallar a veces... cuándo entenderá la gente que es mejor tener un spec malo que 5 reguleros

1 respuesta