מה אנחנו מכסים ב-CodeShield

CodeShield הוא בלוג טכני, לא חברת ייעוץ. אנחנו מפרסמים תוכן פתוח — מאמרים, מדריכים וסקירות — בשלושה תחומים מוגדרים. כאן תמצאו פירוט של מה שאנחנו מכסים, מה לא, ואיך התוכן שלנו יכול (ולא יכול) לעזור לכם.

ניתוח ארכיטקטורת אבטחה

למי זה מיועד: צוותי DevSecOps, ארכיטקטי תוכנה, ומהנדסי אבטחה שעובדים על מערכות פיננסיות — בין אם בחברת פינטק, בבנק, או בבורסה. התוכן מניח ידע בסיסי ברשתות, Linux, ופרוטוקולי TLS.

למי זה לא מיועד: מי שאין לו רקע טכני ומחפש הסבר ברמת מנהל כללי. אנחנו לא כותבים "5 טיפים לאבטחת המידע שלכם" — אנחנו כותבים על mTLS certificate rotation ב-Istio service mesh.

מה תקבלו: מאמרים מעמיקים (2000-3000 מילים) עם דוגמאות קוד, דיאגרמות ארכיטקטורה, והפניות לתקנים כמו NIST CSF ו-OWASP. כל מאמר כולל את הסטנדרט שהוא מבוסס עליו, כך שתוכלו לבדוק בעצמכם.

מה לא תקבלו: שירות pentest מסחרי, סריקת חולשות אוטומטית, או דוח compliance מוכן. אם אתם צריכים הערכת אבטחה פורמלית לארגון שלכם, תצטרכו לפנות לחברת ייעוץ מוסמכת — אנחנו לא מספקים את השירות הזה.

תהליך העבודה: אני בוחרת נושא, חוקרת אותו לעומק (קריאת RFC-ים, תקנים, וניסויים בסביבת מעבדה), כותבת טיוטה, ועוברת עליה שוב עם בדיקת דיוק טכני. זמן ממוצע מרעיון לפרסום: שבועיים עד חודש.

עלות: כל התוכן פתוח וחינמי. אין מנוי פרימיום, אין paywall, אין תוכן ממומן.

סקירות תשתיות מסחר

למי זה מיועד: מהנדסי backend שעובדים על מערכות מסחר או clearing, חוקרי תשתיות קריטיות, וסטודנטים להנדסת תוכנה שמתעניינים בארכיטקטורת מערכות בזמן אמת.

למי זה לא מיועד: סוחרים שמחפשים אסטרטגיות מסחר, אנליסטים שמחפשים המלצות למניות, או כל מי שמעוניין ב"איך להרוויח מהבורסה". אנחנו מסתכלים על הבורסה כמערכת תוכנה — לא כפלטפורמת השקעה.

מה תקבלו: סקירות טכניות של פלטפורמות מסחר (Eurex T7, CME iLink, Nasdaq INET), ניתוחי פרוטוקולים (FIX, FAST, SBE), והסברים על ארכיטקטורות matching engine, order book management, ו-clearing. כל הסקירות מבוססות על תיעוד ציבורי.

מה לא תקבלו: גישה לתיעוד פנימי של בורסות, מידע שלא פורסם רשמית, או כל דבר שמזכיר industrial espionage. אנחנו עובדים רק עם מידע גלוי.

תהליך העבודה: קריאת מפרטים טכניים שפורסמו על ידי הבורסות עצמן, השוואה בין פלטפורמות, ולפעמים — בניית proof of concept בסביבה מקומית כדי להבין איך פרוטוקול מתנהג בפועל ולא רק על הנייר.

עלות: חינם, כמו כל שאר התוכן בבלוג.

מדריכי קריפטוגרפיה שימושית

למי זה מיועד: מפתחים שצריכים להטמיע הצפנה במוצר שלהם, ארכיטקטים שמתכננים PKI, ומנהלי תשתיות שצריכים להבין את ההבדל בין HSM, KMS, ו-Vault. התוכן מתאים למי שכבר יודע מה זה AES ו-RSA אבל לא בטוח איך לבחור cipher suite או לנהל key rotation.

למי זה לא מיועד: מי שמחפש "הצפנה בקליק" או פתרונות קסם. קריפטוגרפיה נכונה דורשת הבנה, ואנחנו לא מנסים לקצר את הדרך. אם אתם צריכים הצפנה ואין לכם מישהו בצוות שמבין בזה — עדיף לשכור יועץ קריפטוגרפיה מאשר להסתמך על מדריך באינטרנט.

מה תקבלו: מדריכים מעשיים עם קוד — בחירת cipher suites, הטמעת TLS 1.3, ניהול מפתחות עם HashiCorp Vault, עבודה עם HSM (פיזי ו-cloud), והסברים על FIPS 140-3 ו-PCI DSS בהקשר של קריפטוגרפיה.

מה לא תקבלו: ביקורת אבטחה על ההטמעה הספציפית שלכם, penetration test של ה-PKI שלכם, או אישור שההצפנה שלכם "בטוחה". שום מדריך לא יכול להחליף בדיקה ספציפית של המערכת שלכם.

תהליך העבודה: אני בונה סביבת בדיקה (בדרך כלל Docker + Vault + OpenSSL), מנסה את ההטמעה, מתעדת את השלבים, ואז כותבת את המדריך. כל דוגמת קוד עוברת בדיקה שהיא רצה.

עלות: חינם. הקוד זמין, ההסברים פתוחים.

מה CodeShield לא עושה — בשום מקרה

  • לא ייעוץ השקעות, לא ניתוח מניות, לא המלצות קנייה/מכירה — לא ישיר ולא עקיף
  • לא שירותי pentest, vulnerability scanning, או red team engagement
  • לא compliance audit ולא הכנה לתקני SOC 2, ISO 27001, PCI DSS
  • לא incident response — אם אתם בעיצומו של אירוע אבטחה, פנו לצוות IR מקצועי
  • לא מכירת מוצרים, כלים, או רישיונות תוכנה
  • לא קורסים מובנים, לא סדנאות, לא הדרכות ארגוניות
  • לא תוכן ממומן, ספונסרים, או affiliate links