Ежедневно во «ВКонтакте» заходят десятки миллионов человек. Для этого социальная сеть должна соответствовать самым высоким требованиям по качеству и безопасности.
Мы решили узнать, как обстоит дело с багами в системе сайта, сколько платят за обнаружение дыр и как можно попасть в Команду. Для этого «Код Дурова» поговорил с ведущим тестировщиком соцсети Анастасией Семенюк.
- Привет! Расскажи немного про себя. Как ты попала во «ВКонтакте»?
Привет! Я уже пять лет как тестировщик, больше двух лет работаю во «ВКонтакте». Ответ на вопрос, как я сюда попала, довольно банален: отправила заявку на vk.com/jobs, после нескольких собеседований и тестовых заданий меня пригласили работать в команде.
- Скажи, сколько человек сейчас в команде тестировщиков? Есть работа удалённо?
Нас пятеро. Все работают в штабе, работы удалённо нет.
- А что нужно, чтобы попасть в команду?
Если вы о команде тестировщиков, то можно откликнуться на нашу вакансию, либо заявить о себе, участвуя в наших конкурсах по тестированию и открытых бета-тестах; о них мы пишем в vk.com/testers. Победителя конкурса по тестированию мессенджера мы пригласили на стажировку, продолжаем сотрудничать и с другими участниками.
- Расскажи, в чём заключается особенность твоей работы. Какие основные трудности?
Именно во «ВКонтакте» — в масштабах и объёме работы. Мы не можем позволить себе итерации длиной в несколько месяцев, постоянно выпускаем обновления наших продуктов. На сайте это происходит каждый день, мобильные приложения обновляются минимум раз в месяц. При этом количество официальных приложений перевалило за десяток, в самых популярных и приоритетных больше тысячи функциональных возможностей. Тестировщикам в такой среде приходится нелегко, ведь нам надо покрыть максимально возможное количество кейсов; зато очень интересно. Пожалуй, такого поля для нашей деятельности больше нет нигде.
- Все хотят знать про bug-bounty! Как работает система премиальных за обнаружение багов? Что должно заставить пользователей, которые находят серьезные уязвимости, участвовать в bug-bounty программе, а не использовать уязвимости для извлечения выгоды?
Каждую сданную уязвимость мы оцениваем по неким критериям, определяющим её серьёзность. Чем серьёзнее уязвимость, тем большая награда выплачивается пользователю. Все выплаты производятся через HackerOne. На сегодняшний день мы выплатили $113350 участникам программы.
Пользователи бывают разные. Бывают те, кто репортят уязвимости из спортивного интереса, деньги для них лишь приятный бонус. Некоторых исследователей мы приглашали присоединиться к нашей команде. Бывают пользователи, которые не сообщают нам об уязвимости и начинают её эксплуатировать. В этом случае мы довольно быстро локализуем проблему, закрываем её и откатываем всё, что было затронуто. И деньги не получены, и время зря потрачено.
- Как часто проводятся тестирования и что нового будет в последующих тестированиях?
Не очень поняла вопрос. Если вы про бета-тестирование, то мы отдаем крупные фичи бета-тестировщикам примерно раз в два месяца, но часто бета-тестирование не требуется или невозможно. А процесс альфа-тестирования бесконечен, его можно остановить только волевым решением. Мы давно не занимаемся просто чекингом, а фактически заняты исследовательской деятельностью, ориентируясь на приоритеты фич, кейсов, комбинаций, но ограничены сроками запуска. Так как используем контекстно-ориентированный подход, то ответ на вопрос «что будет нового» зависит от наших фич, а этого я вам пока не расскажу.
- Наши подписчики спрашивают, почему во «ВКонтакте» нет дизлайков? И введут ли их?
Их нет, потому что не видим в этом необходимости.
- Будет ли ранжирование групп и публичных страниц по группам, для удобства просмотра, как аудиозаписей и друзей?
Передала вашу идею нашим дизайнерам. Если им понравится, то добавим. Вообще, подобные вещи можно смело предлагать в vk.com/vkdesigners, ребята регулярно их просматривают.
- Будут ли отображаться «Истории» на десктопе, а не только в мобильной версии?
Будут. Тем не менее, считаем этот сервис в первую очередь мобильным, поэтому речь только о просмотре и возможности поделиться.
- Будет ли реализована возможность сохранять музыку в кэш телефона на устройствах iOS?
Кэша в нашем приложении для iOS нет по требованию Apple, в ближайшее время ситуация вряд ли изменится. Но мы продолжим развивать наш музыкальный раздел на всех платформах, в том числе и на iOS.
- Что, если баг сливается в сеть? Несколько месяцев назад туда чуть не утекли телефон Дурова и Медведева. Какие ваши действия в этом случае?
Если баг сливается в сеть и мы можем однозначно сказать, что это делает тот, кто отправил нам репорт (или репорт отправляется после публикации), то мы не выплачиваем награду ни в каком виде, таковы правила. Их, кстати, можно прочесть тут: hackerone.com/vkcom. Естественно, что уязвимость мы закрываем очень и очень быстро.
- В контекстном меню сейчас можно открыть лишь картинку в новой вкладке, кликая ПКМ по аватарке юзера в листе диалогов. Но меню должно позволить ссылаться именно на страницу пользователя. Так задумано?
Так как сообщения были переписаны с нуля, об этой мелкой фиче попросту забыли. Ссылка на страницу пользователя там была логичной, так что добавим и в редизайне.
- Некоторые подписчики жалуются, что баги рассматриваются по 2–3 месяца. С чем это связано?
С большим количеством репортов и занятостью разработчиков. В последнее время скорость обработки существенно увеличилась, так как команда выросла.
- И, наконец, что бы ты пожелала нашим подписчикам?