Kurgan-Telecom Ru | Информационные технологии

Всем привет! Кажется, настала пора поделиться изменениями в Азбуке, которые произошли с 2022 года, когда я выпускал прошлую статью. Наш текущий стэк: Vue 3, Nuxt 4, TS.

В процессе создания новых сервисов, столкнулись с проблемами роста, дублирования кода и модульностью в Nuxt - расскажу, как справились с этим.

На связи Лука Сафонов — бизнес-партнер по инновационному развитию компании «Гарда». В прошлой статье я рассказывал про организацию сетевой безопасности в финтехе, а сегодня хочу поговорить в целом про безопасность веба.

Привет, Хабр! Меня зовут Сергей, я работают в компании InfoWatch разработчиком на продукте ARMA Стена (NGFW). Подробнее о том, что такое ARMA Стена, можно прочитать тут.

В этой статье я хочу поделиться опытом применения метода формальной верификации в решении практической бизнес-задачи.

Сразу оговорюсь, что в статье используется TLA+, без введения в инструмент, чтобы не увеличивать объём статьи. Подробнее про инструмент вы можете почитать на сайте создателя, тут и тут. Необходимые объяснения даются по ходу изложения.

Статья состоит из двух частей:

1) Что такое формальная верификация и где она применятся

2) Решение бизнес-задачи в NGFW

Продление договора — через три месяца, но поставщик знает уже сейчас, что вы никуда не уйдете. Это и есть vendor lock-in — зависимость от вендора. С ней сталкиваются гораздо чаще, чем принято думать.

Конечно, ITAM-специалисты могут заранее заметить надвигающуюся проблему: у них на руках данные по активам и договорам с поставщиками, статистика использования и календарь продлений. Проблема в том, что зависимость от вендора изначально чаще всего не воспринимается как риск — до того момента, когда уже поздно что-либо менять. Когда риск стал очевиден, простая процедура закупки ПО на замену текущему превращается в крупный проект, который требует отдельного бюджета, ресурсов и многоэтапного плана миграции.

Это руководство поможет выявить, разложить по полочкам и взять под контроль зависимость от вендора — до того, как она начнет управлять вашим бюджетом.

В течение этой непростой зимы мои публикации мало комментировали, пусть и неплохо читали. Закончить её я хочу одной небанальной темой, за которую сам едва бы взялся, но обозначу её как «Вынесено из комментариев». Ознакомившись со статьёй «Как устроены самые массивные и самые обширные звёзды», уважаемый @saag в своём комментарии предложил мне рассказать о том, что такое войд Волопаса. Давайте об этом поговорим.

Трудно представить современный компьютер или смартфон без тысяч файлов, хранящих в себе различную информацию. Иногда возникает необходимость что-то найти в этом многообразии, причем критерии для поиска могут быть совсем не тривиальными.

В качестве одного из возможных инструментов для поиска может применяться утилита grep. Grep (сокращение от global/regular expression/print) является одним из самых мощных и часто используемых инструментов в арсенале системного администратора и разработчика. На первый взгляд, её задача проста — найти строки в тексте, соответствующие шаблону. Например, вхождение какого-либо слова в текстовом файле Однако истинная мощь grep раскрывается при использовании регулярных выражений (regex).

В этой статье мы разберём три основных типа регулярных выражений, используемых в экосистеме grep: Basic (BRE), Extended (ERE) и Perl-compatible (PCRE) и рассмотрим несколько практических примеров.

Этот февраль в России выдался не только неожиданно снежным, но и необычно богатым на новости криптовалют:

- криптовалюта официально признана имуществом для целей УК РФ и УПК РФ — теперь её можно изымать и учитывать в уголовных делах как любой другой актив.

- законопроект «О цифровой валюте и цифровых правах» (ЦБ + Минфин) ужесточает правила работы с криптой: с 1 июля 2026 физлица смогут работать с криптой только после обязательного тестирования (результат действует 1 год).

- Мосбиржа готовится к запуску торгов криптовалютой. Сейчас на бирже создаётся «песочница» для брокеров — изолированный тестовый режим, где отрабатываются операции с BTC, ETH и USDT. Запуск полноценных торгов криптовалютой на Мосбирже планируется летом 2026, сразу после принятия нормативной базы.

К июлю 2027 сфера криптовалют из области неформальных финансовых отношений людей напрямую между собой должна перейти на новую инфраструктуру — биржи, депозитарии и криптообменники.

В условиях «городского каньона» GPS-сигнал подвержен эффектам многолучевого распространения и экранирования, что порождает аномалии в измерениях псевдодальности.
Классические фильтры Калмана, предполагающие аддитивный гауссовский шум, в таких условиях демонстрируют резкое падение точности оценки позиционирования.

В статье сравниваются два нелинейных фильтра Калмана:

классический Fusion UKF (централизованный мультисенсорный UKF с фиксированной гауссовской моделью шума)
мультисенсорный Variational Bayes Fusion UKF, в котором шум измерений моделируется распределением Стьюдента через вариационное байесовское приближение, а итеративная оценка скрытой масштабирующей переменной позволяет автоматически подавлять аномальные GPS-измерения.

В сценариях с имитацией GPS-аномалий по типу городского каньона Variational Bayes Fusion UKF более чем вдвое превзошёл Fusion UKF по RMSE позиционирования.

Вы когда-нибудь задумывались над структурной целостностью снеков, когда макали их в соус? Скорее всего, нет. Обычно мы просто едим. Но давайте начистоту: кто-то в R&D отделе пищевой корпорации потратил месяцы, чтобы спроектировать идеальный инструмент для доставки сальсы в рот.

Сегодня мы разберем Tostitos Scoops™ (чипсы в форме чашечки) методами дифференциальной геометрии, сопромата и гидродинамики. Потому что, если присмотреться, это не просто кусок жареной кукурузы. Это, возможно, самая структурно сложная еда, когда-либо выпускавшаяся в промышленных масштабах

Tostitos Scoop — это, по сути, массово производимый гиперболический параболоид, отлитый из никстамализованной кукурузы и оптимизированный для максимальной полезной нагрузки соуса.

Notion запустила кастомных AI-агентов, которые сами работают по расписанию и триггерам, а за этим релизом скрывается куда более важный сдвиг. Похоже, мы входим в этап, где ИИ перестает быть просто чатом по запросу и превращается в постоянного цифрового исполнителя, который работает в фоне 24/7.

Разбираю, что именно показал релиз Notion, при чем тут Ramp, Remote, OpenClaw и Kimi Claw, и почему все это может быть началом новой гонки агентов.

В феврале российские компании столкнулись с целевой атакой хакеров из группировки BO Team (также известной как Black Owl, Lifting Zmiy и Hoody Hyena). Злоумышленники использовали уязвимость в системах с установленным пакетом Microsoft Office, распространяя фишинговые письма с RTF‑файлами, оформленными под служебную переписку. При открытии вложений в программах Microsoft Office атакующие могли обходить встроенную защиту, получая возможность проникновения в ИТ‑инфраструктуру организаций.

Подробности про атаку читайте под катом.

Когда речь идет о веб-разработке, а именно — о разработке форм, можно встретить множество мнений о том, «на чем» лучше делать проект. Очень часто React и Angular Framework рассматриваются как альтернативы друг другу. При этом выбор фреймворка — критически важный этап, который определяет дальнейшую разработку и особенности развития технологического стека компании.  

В этой статье я хочу рассмотреть плюсы и минусы каждого из подходов и предлагаю подискутировать о том, каким должен быть «идеальный» фреймворк для разработки веб-интерфейсов, который поможет повысить скорость разработки проектов, сохранить или увеличить качество кода при этом сэкономить финансы предприятия. 

Пока индустрия спорит о «пузыре», обсуждая, почему оценка очередного стартапа с одной оберткой над GPT-5 на высоте, реальный сектор строит AI-инфраструктуру. Мы движемся к сервисам, где по кнопкам в интерфейсах будут кликать не люди, а автономные агенты.

В этом дайджесте разберем подробности самых нашумевших новинок, почему CEO Databricks предрекает закат классического SaaS, как AMD догоняет NVIDIA в тестах инференса и почему безопасность агентов — это новый тoп-10 OWASP. Подробности под катом!

Давайте поговорим о современных носимых устройствах. Самые известные из них — это, конечно, умные часы, фитнес-браслеты, наушники и умные кольца. Новая волна популярности умных колец связана с добавлением в них новых функций и интеграцией с ИИ.

Многие люди скептически относятся к подобным гаджетам, но мы постараемся объяснить, для чего они нужны и как ими правильно пользоваться. Мы обсудим сенсоры, которые измеряют показатели нашего тела, чтобы помочь нам следить за здоровьем, поддерживать форму и достигать желаемых спортивных результатов.

В последние годы всё чаще употребляется понятие «пассионарность». Что это за качество, как оно может повлиять на людей, занимающихся разработкой, и как к нему относятся работодатели? Попробуем разобраться.

Всем привет! Меня зовут Эрик, я инженер технической поддержки в Ринго. 

Если вы администрируете Mac в корпоративной среде, то рано или поздно сталкиваетесь с загадочными сущностями: Secure Token, Bootstrap Token, volume owner, OIK, KEK, VEK.

Проблема в том, что официальная документация Apple описывает их корректно, но сухо и редко объясняет, как всё это связано между собой на практике. В итоге админ узнаёт о Secure Token не из документации, а когда:

— пользователь не появляется на экране FileVault,

— MDM не может включить FileVault или выполнить Erase All Content,

— обновление macOS требует «volume owner»,

— а Recovery внезапно никого не пускает менять настройки загрузки.

Постараемся разобраться поэтапно, что такое Secure Token, что лежит внутри, как он связан с Bootstrap Token и при чем тут MDM.

Статья подготовлена на основе документации Apple, включая Apple Platform Security, доклада Арека Дрейера на конференции MacSysAdmin и ряда дополнительных источников.

Полный разбор всех яку и якуманов в Риичи-маджонге. С примерами, тактикой и разбором реальных ситуаций.

Привет, Хабр! На связи Николай Лузгин, DevSecOps Lead и Илья Шаров (@issharov), Head of DevSecOps из МТС Web Services. Те самые безопасники, которые приходят в каске, запускают сканеры и доводят разработчиков до слез (нет).

На самом деле DevSecOps — это не про страдания и бесконечные отчеты сканеров в PDF, а про здравый смысл и взаимодействие. У нас в MWS это полноценный процесс, состоящий не только из инструментов, пайплайнов, требований и Security Gate.

В своей работе мы учитываем особенности продуктовой разработки большого количества команд — от крупных до малых инженерных групп, создающих MVP. Вместе с ними боремся за Time-to-Market и оптимизацию расходов, но при этом делаем ставку на повышение безопасности выпускаемого продукта.

И главное — помогаем находить уязвимости на ранних этапах. Объясняем их суть на понятном языке, проверяем эксплуатируемость, придумываем меры митигации и составляем план по устранению — причем не где-то там в своих кабинетах, а вместе с командой при планировании работы на спринт или квартал.

Звучит неправдоподобно? Из-за образа безопасников-церберов, который складывался в ИТ-тусовке десятилетиями, работа DevSecOps и правда представляется по-другому. Мы решили разобрать четыре главных мифа, которые встречаются при выстраивании отношений между ИБ и ИТ. Погнали рушить стереотипы!

Я не буду описывать здесь, что такое матрица трассировки, какие они бывают, как строить зависимости и прочую теорию. Это вы можете самостоятельно погуглить, если интересно. Я не люблю переписывать учебники.

Мы с вами разберем на примере, как аналитику проверить доработку с помощью матрицы трассировки.

Вы сняли требования, написали ТЗ, отдали разработчику. Он сделал. Теперь нужно проверить результат.

Вариант «просто потыкать в кнопки» — самая частая ошибка. Потыкали — вроде работает — отдали заказчику. А через день звонок: «А почему вот здесь не считается?» Потому что нужно проверить не только позитивный сценарий.

Начнем.

Представьте: вы нашли китайский завод, договорились о цене, отправили файлы. Через три недели получаете платы. Визуально всё отлично. Отдаёте на монтаж — и начинается: припой не смачивается на контактных площадках, толщина не совпадает с заказанной, а на вопрос «Что случилось?» завод присылает отчёт: «Проблем не обнаружено».

Вы пытаетесь разобраться, но переписка идёт на кривом английском, вопросы трактуются по-разному, а завод в итоге делает так, как ему удобнее.

Мы в «ГРАН Груп» выстроили систему, в которой каждый заказ проходит четыре стадии: отбор завода, инженерная подготовка, контроль качества на месте и работа с отклонениями. Расскажем, как это устроено — с деталями, которые обычно остаются за кадром.