Cosa fa un security engineer in SUSE?
Settimana prossima, vado per la prima volta alla openSUSE conference, a Norimberga, e ci vado come speaker. La scusa è anche quella di incontrare il team di product security, vederci tutti insieme e fare un po’ il punto della situazione.
Cosa faccio di lavoro?
Sono in SUSE ormai dal marzo 2021, anche se mi sembra sia passata solo una settimana. Occuparsi della sicurezza dei nostri prodotti ha avuto un profondo impatto sulla mia visione del software, del mondo opensource e della sicurezza in generale.
In questo momento mi sto occupando degli audit di Leap 15.4, la nostra distribuzione per la community, che è giunta alla fase di Release Candidate e degli audit di SUSE Manager 4.3, anche lui in Release Candidate.
Tutto quello che tocco, ha un impatto sul mondo della community. Anche se SUSE Manager è un prodotto commerciale, venduto ai nostri clienti, tutto quello che viene trovato a livello di sicurezza, le patch, le funzionalità, finiscono anche nella sua controparte opensource, Uyuni.
Fare un audit, complesso richiede un approccio misto tra analisi blackbox, analisi whitebox, fuzzing e qualsiasi altra cosa ti possa venire in mente. Paragonandolo alle attività di mera code review che ho sempre fatto, nella parte della mia carriera italiana, direi che le due cose sono lontane anni luce.
Approccio molto più artigianale, che vuol dire tempi molto più lunghi per le attività di test. Soddisfazioni? Parecchie, soprattutto quando vedi che la patch viene portata nei repository upstream e puoi fare la disclosure.
È facile lavorare da remoto?
Da un anno e mezzo ormai, ho abbandonato anche il concetto di “vita da ufficio”. Ho un piccolo spazio mio dove vado 3 giorni la settimana, dove posso concentrarmi e negli altri 2 giorni lavoro da casa. Ecco, lavorare da remoto è sempre stato un mio sogno ma, ora che ci sono in mezzo non è sempre facile e soprattutto non ha solo risvolti positivi.
Pro
Sei padrone del tuo tempo e, grazie anche alla mentalità molto europea e molto aperta che si respira in SUSE e nel team di product security in particolare, lavoro per obiettivi. Ho i miei audit, il mio capo sa che più o meno completerò le attività in tot. giorni, ma ho autonomia nel gestire il mio tempo. Per la prima volta in 20 anni di lavoro, sono stato ripreso perché una sera ero collegato fino a tardi. Sempre avvenuto il contrario, mentre qui assaporo cosa vuol dire lavorare per obiettivi.
Contro
Sei solo. Sì, a volte è un bene, però alla lunga essere sempre solo è più pesante di quanto potessi aspettarmi all’inizio.
Abbiamo momenti di meeting settimanali, però effettivamente la vita da ufficio ha i suoi vantaggi. L’ideale sarebbe avere un approccio ibrido, tuttavia qui in Italia SUSE non ha un ufficio fisico, quindi dovrò fare di necessità virtù e utilizzare meditazione, YOGA per alleviare lo stress e poi cercare la socializzazione altrove.
Progetti e cose da fare
Lo scorso mese di gennaio, salutavo l’anno nuovo con questo post e con i classici buoni propositi. La newsletter che doveva partire a febbraio naufraga miseramente, ma…
È nato da poco, un nuovo modo di fare informazione in campo “saiber”: Guerre di rete. Sicuramente val la pena essere iscritti lì.
Mentre il VLOG/Podcast o misto, è una cosa che mi stuzzica e definitivamente mi piace sia fare che proporre come forma di condivisione. Durante il 2022 è giù più probabile, magari potrei cominciare con qualche storia sul profilo Instagram di @codiceinsicuro. Voi tenete d’occhio quel profilo e magari anche i miei canali social, non escludo novità all’orizzonte.
Ci vediamo, per chi ci sarà, tra qualche giorno a Norimberga o a settembre a Roma. Per tutti, stay tuned.
Vuoi aiutarmi a portare avanti il progetto Codice Insicuro con una donazione? Fantastico, allora non ti basta che premere il pulsante qui sotto.
Supporta il progetto