Ежедневно во «ВКонтакте» заходят десятки миллионов человек. Для этого социальная сеть должна соответствовать самым высоким требованиям по качеству и безопасности.

SV3-9mh5VOw-1

Мы решили узнать, как обстоит дело с багами в системе сайта, сколько платят за обнаружение дыр и как можно попасть в Команду. Для этого «Код Дурова» поговорил с ведущим тестировщиком соцсети Анастасией Семенюк.

- Привет! Расскажи немного про себя. Как ты попала во «ВКонтакте»?

  • Привет! Я уже пять лет как тестировщик, больше двух лет работаю во «ВКонтакте». Ответ на вопрос, как я сюда попала, довольно банален: отправила заявку на vk.com/jobs, после нескольких собеседований и тестовых заданий меня пригласили работать в команде.

- Скажи, сколько человек сейчас в команде тестировщиков? Есть работа удалённо?

  • Нас пятеро. Все работают в штабе, работы удалённо нет.

- А что нужно, чтобы попасть в команду?

  • Если вы о команде тестировщиков, то можно откликнуться на нашу вакансию, либо заявить о себе, участвуя в наших конкурсах по тестированию и открытых бета-тестах; о них мы пишем в vk.com/testers. Победителя конкурса по тестированию мессенджера мы пригласили на стажировку, продолжаем сотрудничать и с другими участниками.

wTaYh665qL8

- Расскажи, в чём заключается особенность твоей работы. Какие основные трудности?

  • Именно во «ВКонтакте» — в масштабах и объёме работы. Мы не можем позволить себе итерации длиной в несколько месяцев, постоянно выпускаем обновления наших продуктов. На сайте это происходит каждый день, мобильные приложения обновляются минимум раз в месяц. При этом количество официальных приложений перевалило за десяток, в самых популярных и приоритетных больше тысячи функциональных возможностей. Тестировщикам в такой среде приходится нелегко, ведь нам надо покрыть максимально возможное количество кейсов; зато очень интересно. Пожалуй, такого поля для нашей деятельности больше нет нигде.

Ukxx3yiUbUk

- Все хотят знать про bug-bounty! Как работает система премиальных за обнаружение багов? Что должно заставить пользователей, которые находят серьезные уязвимости, участвовать в bug-bounty программе, а не использовать уязвимости для извлечения выгоды?

  • Каждую сданную уязвимость мы оцениваем по неким критериям, определяющим её серьёзность. Чем серьёзнее уязвимость, тем большая награда выплачивается пользователю. Все выплаты производятся через HackerOne. На сегодняшний день мы выплатили $113350 участникам программы.

  • Пользователи бывают разные. Бывают те, кто репортят уязвимости из спортивного интереса, деньги для них лишь приятный бонус. Некоторых исследователей мы приглашали присоединиться к нашей команде. Бывают пользователи, которые не сообщают нам об уязвимости и начинают её эксплуатировать. В этом случае мы довольно быстро локализуем проблему, закрываем её и откатываем всё, что было затронуто. И деньги не получены, и время зря потрачено.

- Как часто проводятся тестирования и что нового будет в последующих тестированиях?

  • Не очень поняла вопрос. Если вы про бета-тестирование, то мы отдаем крупные фичи бета-тестировщикам примерно раз в два месяца, но часто бета-тестирование не требуется или невозможно. А процесс альфа-тестирования бесконечен, его можно остановить только волевым решением. Мы давно не занимаемся просто чекингом, а фактически заняты исследовательской деятельностью, ориентируясь на приоритеты фич, кейсов, комбинаций, но ограничены сроками запуска. Так как используем контекстно-ориентированный подход, то ответ на вопрос «что будет нового» зависит от наших фич, а этого я вам пока не расскажу.

- Наши подписчики спрашивают, почему во «ВКонтакте» нет дизлайков? И введут ли их?

  • Их нет, потому что не видим в этом необходимости.

- Будет ли ранжирование групп и публичных страниц по группам, для удобства просмотра, как аудиозаписей и друзей?

  • Передала вашу идею нашим дизайнерам. Если им понравится, то добавим. Вообще, подобные вещи можно смело предлагать в vk.com/vkdesigners, ребята регулярно их просматривают.

- Будут ли отображаться «Истории» на десктопе, а не только в мобильной версии?

  • Будут. Тем не менее, считаем этот сервис в первую очередь мобильным, поэтому речь только о просмотре и возможности поделиться.

Y7Gjq_880YM

- Будет ли реализована возможность сохранять музыку в кэш телефона на устройствах iOS?

  • Кэша в нашем приложении для iOS нет по требованию Apple, в ближайшее время ситуация вряд ли изменится. Но мы продолжим развивать наш музыкальный раздел на всех платформах, в том числе и на iOS.

- Что, если баг сливается в сеть? Несколько месяцев назад туда чуть не утекли телефон Дурова и Медведева. Какие ваши действия в этом случае?

  • Если баг сливается в сеть и мы можем однозначно сказать, что это делает тот, кто отправил нам репорт (или репорт отправляется после публикации), то мы не выплачиваем награду ни в каком виде, таковы правила. Их, кстати, можно прочесть тут: hackerone.com/vkcom. Естественно, что уязвимость мы закрываем очень и очень быстро.

- В контекстном меню сейчас можно открыть лишь картинку в новой вкладке, кликая ПКМ по аватарке юзера в листе диалогов. Но меню должно позволить ссылаться именно на страницу пользователя. Так задумано?

  • Так как сообщения были переписаны с нуля, об этой мелкой фиче попросту забыли. Ссылка на страницу пользователя там была логичной, так что добавим и в редизайне.

- Некоторые подписчики жалуются, что баги рассматриваются по 2–3 месяца. С чем это связано?

  • С большим количеством репортов и занятостью разработчиков. В последнее время скорость обработки существенно увеличилась, так как команда выросла.

- И, наконец, что бы ты пожелала нашим подписчикам?

  • Stay hungry, stay foolish.

Dw3QZvyTCkw

Подписывайтесь на «Код Дурова» в Telegram и во «ВКонтакте», чтобы всегда быть в курсе интересных новостей!