筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

(圖片來源:https://global.rakuten.com/corp/sustainability/employees/diversity/)

Hi 大家好,我是 Jayden ,前一篇文章,提到了我寫這個系列文的由來,也說明了在跨國軟體開發中,「準備期間」有哪些重要原則必須留意,如果有興趣的話,可以先從第一篇開始閱讀:

本篇將討論在跨國軟體開發中「執行期間」以及「日常準備」中有什麼眉眉角角,當然,我相信部分原則是有普世性的,同樣可以參考用於其他軟體開發專案,一起來看看吧!

▍執行期間

以下將列出在專案正式開始後,「執行期間」有哪些重要原則。

1. 例會 (Regular Meeting) 雖討厭,但很有用


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

(圖片來源:https://global.rakuten.com/corp/)

『有些知識學校不會教你,而是需要從工作中一點一滴累積。』

跨國軟體開發就是這樣的事。

Hi 大家好,我是 Jayden ,我很幸運在外商待了很多年,遇到很多很好的前輩和主管,經年累月下來,教會了我很多事。這幾天寫完季度報告 (Q2),我的團隊狀況算是很不錯,提早完成了許多目標,照例整理工作筆記,盤點自己團隊有哪些做得好與做不好的地方。

在整理筆記的過程中,我覺得如果這些知識能夠讓多年前的我就提早知道,可以少走很多冤枉路。因此決定寫這篇文章,作為經驗的總結,希望能幫助到有需要的人,也算是對我自己的心得回顧。

所以我決定撰寫系列文,分享跨國軟體開發在「準備期間」「執行期間」「日常準備」這三個時期的重要原則。與其他專案相比,跨國軟體開 …


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

你是否發現 Retro 討論會逐漸流於形式?在每一次 Sprint 後的 Retro 檢討會,大部分團隊用的句型都是:

1. 我們哪裡做得好?(Doing Good)
2. 我們哪裡可以做得更好 ? (Could be better)

但是,有些時候團隊中的問題已經「盤根錯節」或是「隱匿難尋」不是僅僅靠上述的句型和討論就能把團隊「導回正軌」的,此時可以改用 ORID 的方式來開 Retro 檢討會,這也是我過去幾年與團隊時常使用的方法,並且收到很好的效果。以下將分享這個方法,以及實際的執行方式。

本篇內容:
✔ ORID 討論法怎麼做?
✔ ORID 討論法的優點與挑戰
✔ 小結

▍ORID 討論法怎麼做?

ORID 是一套國際知名且簡單易用的提問方法論,能夠幫助使用者


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

(圖片來源:https://www.metageek.com/blog/scrum/)

衡量軟體工作進度向來不是一件容易的事情,想像一下 ,在聽工作進度的時候,你更喜歡聽到哪一種報告方式:

(1) 我已經完成了模組的70%, 明天會完成90%(2) 我先做了A功能,已經給業務先測過了,目前少B和C功能,明天會先完成B功能

想必大家都會選擇後者,然而這兩者的差別又在哪裡呢?

先說結論,我認為是後者採用了「可用的軟體 」(Working Software) 作爲衡量進度的標準,而前者沒有。以管理者的角度來說,透過「可用的軟體」能夠讓我們更有效的來控管進度,讓每一次「進度」等於產品「價值增加」

Working software is the primary measure of progress

— Agile Manifesto

敏捷宣言(A …


筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

電玩大廠「美商藝電」 (Electronic Arts, EA) 日前遭到駭客入侵,盜走約 780G 的遊戲程式碼在網路上販賣, 其中包含「 FIFA 21 」以及「戰地風雲 (Battlefield)」系列所使用的遊戲引擎 Frostbite 都被偷走,可以說是損失慘重最令人驚訝的是,雖然是入侵電玩大廠,駭客使用的手法並不複雜,可以說幾乎是靠「人」進行「詐騙」。

大部分的網路上的內容只說明單一案件駭客攻擊的方式,本篇文章將講解實務上怎麼防禦這類「詐騙」型的攻擊怎麼利用一些「主動」的防禦,來避免人性的弱點,也會分享駭客進行詐騙的技巧(利用好奇心、愧疚感等等手法),讓你有深入的 …


筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

大家旅行的時候喜歡跟團還是自由行呢?或是否有被導遊放生變成自由行的體驗?本篇文章將使用「旅遊」的概念來說明「開放式重定向 Open Redirect 」攻擊手法,便於大家了解這項攻擊手法的嚴重性

這類攻擊最常發生在網站登入流程,因為網站登入後的跳轉如果沒有指定白名單或做驗證,很容易被駭客利用來做「釣魚攻擊」,那麼防禦的重點就在於怎麼正確的「驗證」跳轉的網址了

本篇文章將先說明「開放式重定向 Open Redirect 」的攻擊原理與損害,並先說明「錯誤」的防禦方式,供大家自己的防禦方式是否正確,最後再分享正確的防禦重點事項

本篇內容:
✔ 開放式重定向 Open Redirec …


筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

鴻門宴的故事相信很多人都聽過,其中「項莊舞劍,意在沛公」更是一段著名的橋段,由於「伺服器端請求偽造」的攻擊概念較為複雜,我們將用這個概念來講解「伺服器請求偽造」的攻擊原理,除了幫助大家更易於理解之外,也能增添一些趣味性

「伺服器端請求偽造」英文全名為 Server Side Request Forgery ,簡稱 SSRF ,是較為複雜一些的網站攻擊手段,駭客必須先收集部分的資訊 (例如:內部使用的 API ) 才能達成攻擊但這並不表示這類的攻擊不容易發生,反而隨著許多第三方 Open API 的流行與廣泛於企業內使用 (例如:Google API、Facebook API、AWS …


筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

目錄遍歷 (Path Traversal) 是一種經典的網站攻擊手法,概念很簡單,卻也最容易被大家忽略,即使是有多年開發經驗的工程師,也有可能一不小心而犯錯

許多人對於目錄遍歷的誤解之處在於:以為駭客只會在前端網頁的網址做目錄遍歷,或是以為前端頁面框架的路由(Router) 功能可以保護你,但其實駭客會在你意想不到的地方進行目錄遍歷,例如:API 路由等等。

本篇文章將會介紹目錄遍歷的攻擊原理、提供實際攻擊範例以及說明該防禦的注意事項

本篇內容:
✔ 目錄遍歷的攻擊原理
✔ 實際攻擊範例: 前端網址遍歷 & API 路由遍歷
✔ 防禦的注意事項

▍目錄遍歷的攻擊原理

目錄遍歷 (Path traver …


筆者任職於 Yahoo ,粉絲團:《程式猿吃香蕉🍌

首先感謝主辦單位提供了這麼棒的活動,一連兩天的社群技術議程讓我收穫滿滿,在社群日所分享的主題並不限於 .Net 的技術,對於第一次與會的我感到十分新鮮,在此也要肯定微軟在台灣對技術社群的耕耘。

附帶一提,我目前所在的工作專案上並未使用到 .Net 的技術,會參加此活動實在是因為議程主題太吸引我,尤其是 91 App 主講的幾個主題。在實際參與後,也完全沒讓我失望,不僅滿滿的乾貨,也很啟迪人心。

此外,兩天活動中精心安排的「捕捉大神」活動設計也十分有趣,以集點的概念用 Line Bot 掃描在講者身上的 QR Code (如下圖所示),算是給了許多生性害羞的工程師一個由頭,可以多與講者交流,我自己也借此機會與講者小聊了一下。


筆者任職於 Yahoo ,線上課程:《經典駭客攻擊教程:給每個人的網站安全入門》粉絲團:《程式猿吃香蕉🍌

(圖片來源:https://blog.heroku.com/chrome-changes-samesite-cookie)

兩年前,我有分享過一篇 Same Origin Policy 同源政策 的文章,討論兩種 Same Origin Policy 對於網站安全的影響,今年以來,由於 SameSite 設定的推出,對於 Cookie 是否會送出的「預設條件」出現變化,對於許多網頁應用程式造成影響,也對網路廣告產業造成衝擊,

本篇文章將會先以同源政策說明 Cookie 的送出條件,再分享 SameSite 的設定,也會介紹幾種情境:iframe 與 form 的使用下,SameSite 設定對 Cookie 的影響許多人常忽略其實 SameSite 設定不只對 Cookie 送出有影響,對其寫入也會有影響 …

Jayden Lin

Yahoo 擔任 Lead Engineer,負責廣告系統,帶團隊做跨國開發。也是《程式猿吃香蕉》團隊創辦人,喜歡將實用的軟體知識以簡單生動的方式講給大家聽 😄😄😄

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store