یه نرم افزار فان و عجیبی وجود داره که با یه زبان کد نویسی مخصوص خودش به صورت گرافیکی امکان تولید موسیقی های مختلف رو فراهم میکنه!

این ابزار اوپن سورس، به نام ORCA ، زبانی رو ارائه میده که شامل اپراتور های مختلفی مثل حلقه ها، شروط، اعداد رندوم و.. میشه که در نهایت خروجی همشون میشه نوت های موسیقی. مخصوص برنامه نویس ها توسعه داده شده و برای وقتایی که حوصلتون سر رفته خیلی چیز بامزه ایه.

یه ویدیو نمونه از نحوه کار و ساخت موسیقی باهاش رو براتون قرار دادم، در نگاه اول خیلی سخت و عجیب به نظر میرسه، اما وقتی راجبش بخونید میفهمید چیز سختی نیست و فقط نوت های موسیقی ای هستند که با اپراتور های شما به صورت گرافیکی تولید میشن، سپس به حرکت در میان و با برخورد به خروجی های صدا میترکن و باعث ایجاد صدای دلخواه شما میشن 🎵

⚙️ @DevFeed01 | hamidreza01

یه ابزاری که باعث میشه سرعت برنامه نویسیت صد برابر بشه، ابزار Appwrite هستش.

این ابزار، با ارائه طیف بسیار گسترده ای از امکانات از قبل اماده، کار برنامه نویسی بک اند رو براتون به شدت اسون میکنه. از قبل امکانات مختلفی مثل سیستم مدیریت کاربری، دیتابیس، حافظه، فانکشن ها، پیام رسانی، ارتباط بلادرنگ، هاستینگ، مدیریت دسترسی ها و بسیاری موارد دیگه رو پیاده سازی کرده تا توسعه بک اند رو براتون ساده کنه.

این ابزار قدرتمند توسط شرکت های بزرگی مثل تیک تاک، اسپاتیفای و.. هم استفاده میشه و در عمل جوابشو پس داده. با این ابزار تمام مفاهیم از قبل اماده هستن و شما به عنوان توسعه دهنده بک اند فقط نیازه توابعی که لازم دارید رو پیاده سازی کنید. حتما امتحانش کن.

⚙️ @DevFeed01 | Dev’s world.

⚠️⚠️⚠️حمله‌ای بی‌سابقه به اکوسیستم NPM گزارش شده است که به عنوان بزرگ‌ترین حمله زنجیره تأمین نرم‌افزار در تاریخ این بستر شناخته می‌شود:
امروز، سازمان امنیت سایبری Aikido Security اعلام کرده که حساب maintainer شناخته‌شده‌ای به نام qix- در اثر یک حمله فیشینگ به دست مهاجمان افتاده است. مهاجمان موفق شدند ۱۸ بسته‌ی محبوب npm مانند chalk، debug و ansi-styles را دست‌کاری کنند. این بسته‌ها در مجموع بیش از دو میلیارد بار دانلود هفتگی دارند

NPM) مخفف Node Package Manager هست.
این ابزار یکی از اصلی‌ترین بخش‌های اکوسیستم Node.js به حساب میاد.


⚠️کارهایی که نباید انجام بدیم

(وقتی شک داریم سیستم یا پروژه ممکنه آلوده باشه)

تراکنش مالی/کریپتو نزنیم

چون بدافزار می‌تونه آدرس گیرنده رو عوض کنه.

سیستم آلوده رو روشن یا آنلاین نکنیم

روشن کردن = اجرای کد مخرب (post-install noscripts).

آنلاین شدن = اتصال به C2 server و لو رفتن داده‌ها.

به‌روزرسانی خودکار بدون بررسی نزنیم

ممکنه آخرین نسخه‌ی یک پکیج مخرب باشه.


از ریجستری‌های غیررسمی یا پکیج‌های ناشناخته نصب نکنیم

مخصوصاً بسته‌هایی با اسم شبیه

ایمیل یا پیام‌های مشکوک رو باز نکنیم

خیلی از این حملات با فیشینگ شروع می‌شن (مثل ایمیل جعلی npm).

پسوردهای قدیمی رو دوباره استفاده نکنیم چون اگه لو رفته باشه، مهاجم راحت وارد حساب می‌شه.


________________________________________________________________________

❌راهکارهای امنیتی برای کاربرهای عادی (غیر برنامه نویس)

اپ‌های دسکتاپ (Slack, Discord, VS Code …) رو از سورس رسمی بگیر

نه از سایت‌های ناشناس یا لینک تلگرام!

تراکنش‌های کریپتو رو دوبار چک کن

قبل از تأیید، آدرس مقصد رو دستی مقایسه کن.

کیف‌پول سخت‌افزاری (Hardware Wallet) استفاده کن
ولی تراکنش هارو با دقت بررسی کن

سیستم رو به‌روز نگه دار ولی با تأخیر

بذار چند ساعت یا یک روز از انتشار آپدیت بگذره، تا اگه مخرب بود خبرش دربیاد.

موقع شک → سیستم رو روشن نکن یا کلا قطع اینترنت

تا بدافزار نتونه به C2 Server وصل بشهم Node.js به حساب میاد.


⚠️کارهایی
❌برای توسعه‌دهنده‌ها و برنامه نویس ها

مدیریت اکانت

FA (Two-Factor Auth)۲ روی حساب npm و GitHub فعال کن (الزامی هم شده).

پسوردها رو با مدیر پسورد (مثل Bitwarden یا 1Password) نگه دار، نه مرورگر.

از کلید امنیتی سخت‌افزاری برای ورود استفاده کن، مخصوصاً اگر maintainer هستی.

مدیریت Dependency

از package-lock.json یا yarn.lock استفاده کن → مطمئن می‌شه همیشه همون نسخه نصب می‌شه.

به جای ^1.2.3 بنویس 1.2.3 تا آپدیت ناخواسته نیاد.(خلاصه نسخه ی شناور نصب نکن)


محیط امن

npm install رو توی VM یا Docker تست کن قبل از اینکه بیاری توی سیستم اصلی.

اگر پکیج ناشناس هست → سورس کدشو بررسی کن مخصوصاً پوشه‌ی noscripts یا postinstall.

Buildها رو روی CI/CD امن (مثلاً GitHub Actions با secrets محدود) انجام بده.

برای پروژه‌های حساس از سیستم جداگانه یا VM اختصاصی استفاده کن.


⚙️ @DevFeed01 | Aikido Security.

ولی واقعا پلتفرم node.js نیاز به یه اصلاح اساسی توی سیستم مدیریت پکیج هاش داره. NPM به معنای واقعی کلمه خشت اولش کج بنا شده. کلی مشکل امنیتی، پرفورمنسی، کلی پکیج بلااستفاده، زنجیره پکیج های غیرضروری و حجم بالای پکیج های هر پروژه، اپدیت های بدون نظارت، عدم محدودیت های دسترسی برای پکیج ها … از جمله مواردی ان که باید اصلاح بشن.

⚙️ @DevFeed01 | Dev’s world.

تو حساب کن هکر با یه پکیج debug تونسته کدی رو اجرا بکنه که ادرس ولت مقصد در‌ تراکنش های کاربر رو تغییر بده. واقعا احمقانه اس این حجم از دسترسی برای یه پکیج.

و مشکل از جایی شروع میشه که مثلا پکیجی مثل ری اکت، از یه پکیج x ای استفاده میکنه که اون پکیج x از این پکیج debug داخلش استفاده شده. حالا تمام سیستم هایی که پکیج ری اکت روشون نصبه الوده شدن.

⚙️ @DevFeed01 | Dev’s world.

راه حل؟ باید دسترسی ها محدود بشه و توسعه دهنده موقع انتشار پکیج همون ابتدا دسترسی های پکیجش رو مشخص کنه و بعدا این دسترسی ها قابل تغییر نباشه. و خب کسی که میخواد پکیج رو نصب کنه به دسترسی هایی که داره توجه میکنه و با مسئولیت خودش نصبشون میکنه. مثل سیستم Security Manager در جاوا. اخه چرا یه پکیج ساده که تا دیروز زوج و فرد بودن عدد رو مشخص میکرد یهو در اپدیت جدیدش دسترسی به شبکه بگیره، انلاین بشه و شروع کنه کامند اجرا کنه 🏌️

⚙️ @DevFeed01 | Dev’s world.

وقتی میخوای از تسهیلات دولتی برای هوش مصنوعی استفاده کنی و مجبوری سایتت رو بزاری داخل یه ماکت ربات تا قبول کنن هوش مصنوعیه:

⚙️ @DevFeed01 | hamidreza01

نمیدونم در جریان هستید یا نه، چند وقت پیش دولت تصمیم گرفت از پروژه های هوش مصنوعی به شکل تسهیلات و سرمایه گذاری حمایت کنه. و متاسفانه به جای اینکه این سرمایه برای توسعه زیرساخت هوش مصنوعی، توسعه مدل های جدید و.. هزینه بشه، برای یه ماکت که پشتش یه سایتیه که داره از api چت‌جی‌پی‌تی استفاده میکنه هزینه میشه. و کاریش هم نمیشه کرد. چون به متخصصین واقعی فضایی داده نمیشه.

⚙️ @DevFeed01 | hamidreza01

انتظارت از کار فنی مهندسی vs واقعیت

⚙️ @DevFeed01 | Dev’s world.

بازیِ برنامه‌نویسی داره کلاً عوض میشه و اگر حواستون نباشه، ممکنه جا بمونید!
دانشگاه استنفورد یه دوره جدید راه انداخته به اسم «The Modern Software Developer» که حرف حسابش اینه: دورانِ صرفاً «کد زدن» با دست داره تموم میشه. الان دیگه شما باید یاد بگیرید چطوری با AI Agentها کار کنید، چطوری از ابزارهایی مثل Cursor و Warp استفاده کنید و در واقع به جای کدنویس، «معمار» و «مدیر» هوش مصنوعی باشید.

تو این دوره دقیقاً دارن یاد میدن که چطور فرایند توسعه نرم‌افزار داره از «تایپ کردن سینتکس» به «تعامل با AI» برای ساخت سیستم‌های پیچیده تغییر می‌کنه. خلاصه اینکه آینده‌ی شغلی شما دیگه فقط به دونستن الگوریتم نیست، به اینه که چقدر خوب می‌تونید از این ابزارهای جدید کار بکشید.

تمام مطالب اعم از اسلایدها و پروژه ها را هم گذاشتند.
پیشنهاد می‌کنم حتماً یه سر به سرفصل‌هاش بزنید تا ببینید دنیا دست کیه:
https://themodernsoftware.dev


⚙️ @DevFeed01 | Mehdi