Drama 'Delve': Bóc phốt cú lừa mang tên 'Compliance as a Service' đang vặt lông giới Tech

21 tháng 3, 20263 phút đọc

Bóc trần sự thật về các dịch vụ tự động hóa SOC2/ISO. Dev thì è cổ làm trò mèo, startup thì mất tiền ngu chỉ để lấy cái mác bảo mật phông bạt lùa gà.

Chia sẻ bài viết:

pencil, note, time, writing, page, office, business, notepad, notebook, note, time, time, time, time, time, writing, writing

Nguồn gốc: https://coding4food.com/post/drama-delve-boc-phot-fake-compliance-as-a-service. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/drama-delve-boc-phot-fake-compliance-as-a-service. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/drama-delve-boc-phot-fake-compliance-as-a-serviceNguồn gốc: https://coding4food.com/post/drama-delve-boc-phot-fake-compliance-as-a-service. Nội dung thuộc bản quyền Coding4Food. Original source: https://coding4food.com/post/drama-delve-boc-phot-fake-compliance-as-a-service. Content is property of Coding4Food. This content was scraped without permission from https://coding4food.com/post/drama-delve-boc-phot-fake-compliance-as-a-service

Chia sẻ bài viết:

Bình luận

Bài viết liên quan

ai generated, data centre, computer, server, rack, technology, digital, processor, server, server, server, server, server

Drama IT AI & Automation

Drama r/LocalLLaMA: Dev Frontend gáy bẩn bị tế sống vì chê anh em chơi AI nghèo

Chuyện kể về một anh Youtuber đi gáy bẩn mảng AI, chê anh em chơi local model là khố rách áo ôm và cái kết bị cả sub Reddit đè ra tế.

11 thg 33 phút đọc

Đọc tiếp →

upset, overwhelmed, stress, tired, frustrated, stressed, person, work, young, business, frustration, female, unhappy, exhausted, problem, sad girl, expression, job, worker, office, woman, sad, professional, depression, face, depressed, headache, busy, worried, girl, executive, migraine

Drama IT Chuyện Nghề

Thực Hư Chuyện Nông Dân Trung Cổ Nghỉ Phép Nhiều Hơn Dev Thời Nay?

Nửa đêm lướt Reddit thấy giang cư mận đang combat nảy lửa vụ dân cày thời xưa nhàn hơn dân văn phòng. Thực hư thế nào, anh em dev vào hóng drama nhé!

19 thg 34 phút đọc

Đọc tiếp →

server, space, the server room, dark, led, shining, mystical, template, artificially, neon, gray, basement, cellar, fog, flash, hardware, computer, data, to process, coloured, garish, tube, cold, light, seem to be, work, processing, satellite, connection, clever, nerd, professional, cabinets, server cabinets, it, information, technology, server, server, server, server, server, data

Drama IT Chuyện Nghề

Bị đánh trượt vì dám dùng WebSocket: Khi 'Trẻ trâu' đụng độ thầy giáo 'Cổ mộ'

Drama nổ não trên Reddit: Cậu em 18 tuổi bị thầy giáo đánh tạch bài kiểm tra vì xài WebSocket. Thầy phán xanh rờn: App chat phải xài IRC, React là rác, chỉ có PHP là chân ái!

20 thg 34 phút đọc

Đọc tiếp →

munich, architecture, court of justice, the federal constitutional court, bavaria, district court, facade, flag, building, city, historic center, munich, munich, munich, munich, munich

Drama IT Công nghệ

Pha úp sọt sập server của cảnh sát và cú lật kèo bằng log camera từ pháp sư rap Afroman

Cảnh sát ập vào khám nhà, đ*o tìm thấy gì xong bị rapper Afroman lấy video camera làm MV châm biếm. Bị kiện ngược thì tòa tuyên trắng án. Bài học về Data Log cực gắt!

20 thg 34 phút đọc

Đọc tiếp →

casino, gamble, betting, bet, gambling, game, dice, casino, gamble, gamble, gamble, gamble, gamble, betting

Drama IT Công nghệ

Phốt cực căng: Nhà báo bị 'con bạc' Polymarket doạ giết đòi sửa bài để ăn kèo

Chuyện thật như đùa, một nhà báo ăn ngay đòn doạ giết từ các pháp sư chơi bet trên Polymarket chỉ vì bài viết làm kèo của họ bị tính là thua. Hóng ngay!

17 thg 34 phút đọc

Đọc tiếp →

cardboard boxes, cardboard, packaging, packing material, box, cardboard boxes, cardboard boxes, cardboard boxes, cardboard, packaging, packaging, packaging, packaging, packaging, box, box, box, box, box

Drama IT Công nghệ

Meta 'tế sống' 20% nhân sự để cúng cụ AI: Traditional Dev ra chuồng gà?

Mark Xoăn rục rịch sa thải 20% nhân sự Meta để dồn tiền đập vào AI. Dev truyền thống đang rén, năng suất AI tăng hay do dev cày bục mặt vì sợ đuổi?

15 thg 34 phút đọc

Đọc tiếp →

Anh em dev chắc chả lạ gì cái cảnh đang code mượt mà thì bị giật cùi chỏ bắt đi điền mấy cái form compliance (tuân thủ bảo mật) vớ vẩn. Vừa nãy lướt Hacker News thấy bài Delve – Fake Compliance as a Service bay lên top với hơn 500 upvote, đọc mà thấy hả dạ vãi chưởng.

Tóm cái váy lại: Rốt cuộc trò hề này là sao?

Bài viết đập thẳng mặt cái ngành công nghiệp 'Compliance as a Service' (kiểu mấy tool như Vanta, Drata...). Start-up mua mấy cái tool này về, hy vọng có cái mác SOC2 hay ISO27001 để dễ bề chém gió với khách hàng. Nhưng thực tế thì sao?

Văn mẫu vạn năng: Tool tự động nhét cho công ty một đống policy bảo mật gen bằng AI, đọc rỗng tuếch chả ăn nhập mẹ gì với hệ thống thực tế.
Diễn kịch bảo mật (Security Theater): Dev thì bị lùa đi bấm 'I accept' mấy khóa training chống phishing cho qua chuyện.
Lỗ hổng sờ sờ: Hệ thống thì vẫn nát. Anh em cắm cái vps cấu hình default, mở port bừa bãi nhưng trên giấy tờ tích đủ checkbox thì vẫn pass audit như một vị thần.
Mục đích thực sự: Chả phải bảo vệ data gì sất, chỉ là mua cái tick xanh để đội Sales dễ lùa gà khách Enterprise thôi.

Giang cư mận Hacker News chia phe combat

Topic này gãi đúng chỗ ngứa nên anh em dev vào xả xui ầm ầm. Đọc comment mà thấy toàn những linh hồn đồng điệu:

Phe Dev/Kỹ sư thực dụng: Vỗ đùi đen đét. 'Chuẩn cmnr! Bọn auditor (kiểm toán) toàn hỏi mấy câu ngáo ngơ, chỉ nhăm nhăm đòi screenshot màn hình với file PDF chứ biết đ*o gì về kiến trúc hệ thống.'
Phe Founder/Sales: Thở dài bất lực. 'Thì biết là rác, là diễn kịch, nhưng đ*o có SOC2 thì Enterprise nó cấm cửa, đành cắn răng nộp tô thôi các đạo hữu ạ.'
Phe Security/Infosec chúa: Tuyệt vọng. 'Bọn tao cố xây dựng bảo mật thật, nhưng sếp thà vứt tiền cho mấy cái tool Fake Compliance này để lấy giấy khen còn hơn là cấp budget cho team tao vá lỗi.'

Góc nhìn từ C4F: Bài học sinh tồn chốn giang hồ

Tóm lại, anh em cứ coi cái đống SOC2/ISO này như một loại 'thuế kinh doanh'. Sếp bắt làm thì mình làm, tick bừa vài cái checkbox cho êm chuyện để rảnh tay mà code.

Nhưng tuyệt đối đừng ảo tưởng rằng có chứng nhận là hệ thống bất tử. Khi server bị hack thật, data user bị tuồn lên mạng thì cái tờ A4 chứng nhận đó đ*o cứu được anh em đâu. Auditor nó lấy tiền xong là ủi mất dép rồi. Nên là cứ lo viết code cho tử tế, config cho đàng hoàng nhé các lão quái!

Nguồn: Deep Delver Substack

Tóm cái váy lại: Rốt cuộc trò hề này là sao?

Văn mẫu vạn năng: Tool tự động nhét cho công ty một đống policy bảo mật gen bằng AI, đọc rỗng tuếch chả ăn nhập mẹ gì với hệ thống thực tế.

Diễn kịch bảo mật (Security Theater): Dev thì bị lùa đi bấm 'I accept' mấy khóa training chống phishing cho qua chuyện.

Lỗ hổng sờ sờ: Hệ thống thì vẫn nát. Anh em cắm cái vps cấu hình default, mở port bừa bãi nhưng trên giấy tờ tích đủ checkbox thì vẫn pass audit như một vị thần.

Mục đích thực sự: Chả phải bảo vệ data gì sất, chỉ là mua cái tick xanh để đội Sales dễ lùa gà khách Enterprise thôi.

Giang cư mận Hacker News chia phe combat

Topic này gãi đúng chỗ ngứa nên anh em dev vào xả xui ầm ầm. Đọc comment mà thấy toàn những linh hồn đồng điệu:

Phe Dev/Kỹ sư thực dụng: Vỗ đùi đen đét. 'Chuẩn cmnr! Bọn auditor (kiểm toán) toàn hỏi mấy câu ngáo ngơ, chỉ nhăm nhăm đòi screenshot màn hình với file PDF chứ biết đ*o gì về kiến trúc hệ thống.'

Phe Founder/Sales: Thở dài bất lực. 'Thì biết là rác, là diễn kịch, nhưng đ*o có SOC2 thì Enterprise nó cấm cửa, đành cắn răng nộp tô thôi các đạo hữu ạ.'

Phe Security/Infosec chúa: Tuyệt vọng. 'Bọn tao cố xây dựng bảo mật thật, nhưng sếp thà vứt tiền cho mấy cái tool Fake Compliance này để lấy giấy khen còn hơn là cấp budget cho team tao vá lỗi.'

Góc nhìn từ C4F: Bài học sinh tồn chốn giang hồ