Kurgan-Telecom Ru | Информационные технологии

Базы данных превращаются в «открытую книгу», когда конфиденциальная информация из них становится доступна злоумышленникам или широкой публике из-за утечек. К сожалению, 2024-2025 годы принесли множество таких утечек – в самых разных отраслях. Согласно данным Роскомнадзора, только в России за 2024 год было зафиксировано 135 утечек баз данных, затронувших более 710 млн записей о россиянах. Лидерами по количеству утечек стали торговый сектор и государственные организации. В мире тенденция схожая: глобально число утечек и скомпрометированных записей бьёт рекорды. В этой статье будут разобраны недавние громкие кейсы утечек по секторам (энергетика, госсектор, e-commerce и др.), проанализируем технические причины: от открытых портов NoSQL и слитых резервных копий до уязвимых CI/CD-пайплайнов, а также практические рекомендации, как не допустить, чтобы ваша база данных стала общедоступной библиотекой. Мы в Security Vision также рассматриваем эти задачи как ключевые в разработке решений нового поколения, в том числе в области автоматизации защиты баз данных и безопасной разработки.

Обнаружение бэкдора в XZ Utils весной 2024 года поразило опенсорс-сообщество и подняло серьёзные вопросы о безопасности цепочки поставок ПО. В этом посте мы изучим, могло ли улучшение практик работы с пакетами Debian помочь в выявлении этой угрозы, приведём руководство по аудиту пакетов и предложим улучшения на будущее.

Бэкдор XZ в версиях 5.6.0/5.6.1 быстро попал во многие крупные дистрибутивы Linux наподобие Debian и Fedora, но, к счастью, не добрался до многих реальных пользователей, потому что благодаря героическому усердию Андреса Фройнда релизы с бэкдором были быстро удалены. Нам крайне повезло, что мы выявили регрессию производительности SSH в полсекунды, уделили время её трассировке, обнаружили зловредный код в загружаемой SSH библиотеке XZ и быстро сообщили о нём различным командам безопасников для принятия быстрых координированных мер защиты.

Этот эпизод заставил разработчиков ПО задаться следующими вопросами:

• Почему ни один из упаковщиков дистрибутивов Linux не заметил ничего странного при импорте новой версии XZ 5.6.0/5.6.1 из апстрима?

• Легко ли проводить аудит современной цепочки поставок в самых популярных дистрибутивах Linux?

• Возможно ли наличие других подобных бэкдоров, которые мы пока не выявили?

Я разработчик Debian Developer, поэтому решил провести аудит пакета xz в Debian, поделиться в этом посте своей методологией и находками, а также предложить способы повышения безопасности цепочки поставок конкретно в Debian.

Стоит отметить, что мы ограничимся только изучением способа импорта ПО дистрибутивом Debian из его апстрима, а также его распространения среди пользователей Debian. При этом мы никак не затронем тему оценки соответствия проекта апстрима best practices по безопасности разработки ПО. В этом посте мы не будем и говорить о том, какие меры следует предпринять на компьютере с Debian, чтобы гарантировать его защиту, потому что таких руководств и так уже много.

Как-то раз мы со студентами-переводчиками по ИТ задались вопросом:

А реально ли LLM «думает»? Или она просто, подобно школьнику, подгоняет объяснения под ответ в конце учебника, не имея ни малейшего понятия о том, правилен ли этот ответ или логичны ли ее рассуждения?

Поиски ответов на этот вопрос привели нас к статье-исследованию "Empowering LLMs with Logical Reasoning: A Comprehensive Survey", адаптированный перевод которой мы и предоставляем вашему вниманию.

Статья представляет собой большой обзор подходов к тому, как сделать языковые модели не просто «говорящими машинами», а системами, которые умеют думать, делать выводы и находить логические связи, «не натягивая сову на глобус».

В командах часто тратят часы на ручное обновление статусов задач, проставление дат релизов и уведомления коллег о готовности работы.
В этой статье я покажу, как с нуля настроить правило в Jira Automation: от выбора триггера и условий до действий с задачами. Даже если вы никогда не работали с Jira Automation, следуя шагам, вы сможете создать свой первый рабочий сценарий за 10 минут.

Осьминог — это мешок с мозгами, восемью руками (или ногами) и почти суперспособностью прилипать к чему угодно. Мокрая рыба? Держится. Камень, обросший водорослями? Держится. Стенка аквариума, которую только что вымыли? Держится. Секрет в присосках: их много, внутри каждой — выступ, который создаёт вакуум.

Группа учёных подумала: а что если использовать присоски не для того, чтобы что-то схватить, а чтобы что-то протолкнуть?

Например, лекарство через кожу.

Идея трансдермальной доставки лекарств звучит привлекательно. Уже существуют пластыри с обезболивающими, а также никотиновые и гормональные.

Но есть одна загвоздка.

Предположим, что мы живём в постапокалиптическом мире, так как по каким-то причинам - выжили («оптимистичное» начало, да:-) ). 

Соответственно, «вопросы производительности железа или софта» и тому подобные проблемы - нас будут интересовать в самую последнюю очередь, так как на самый первый план выходят вопросы банального выживания, где одним из них является задача найти себе укрытие для тела от неблагоприятных факторов окружающей среды. 

И если, обратиться к заголовку, то первые два фактора мы пока оставим за скобками этого исследования, и, обратимся к третьему: а как нам получить одежду «с нуля»? 

Сразу надо оговориться, что скиллы «офисного/удалённого планктона» нам мало помогут в задаче «раздобыть себе бизона» и забрать его шкуру:-) - может статься, что нам ещё и ноги унести не получится... 

Поэтому, обратимся к «травоядным» вариантам - тем более, что человечество имеет достаточно богатую историю создания тканей, опираясь только на природные растительные источники. Итак...

Привет, Habr! На связи Максим Шаланкин из команды Школы аналитиков данных МТС. Каждый год наши студенты в качестве итогового проекта решают реальные бизнес-задачи, и этот не стал исключением. Четверо выпускников — Анна Шестакова, Григорий Суханов, Михаил Футьянов, Алексей Жданов — создали InsightFinder, мультиагентную систему для автоматического анализа данных (EDA). Этот проект автоматизирует EDA и бизнес-интерпретацию данных, сокращая рутинный процесс с нескольких часов до пяти минут. 

Добавление бизнес-интерпретации повышает вариативность использования: проект становится полезным инструментом как для специалистов Data Scientist или Data Analyst, так и для менеджеров, которые занимаются развитием продуктов и которым нужна быстрая проверка гипотез.

В этом материале я не только покажу результат работы ребят, но и дам подробное руководство, как создать такое решение самостоятельно. Это будет полезно всем, кто интересуется применением LLM в аналитике, мультиагентными системами и следит за развитием анализа данных.

После первой статьи про мой дом и баню я получил массу откликов — от инженеров, интеграторов и людей, которые строят свои умные дома. Многие писали, что узнали себя в описании, делились своими решениями, задавали вопросы про детали и надежность.

Поэтому я решил написать продолжение о том, как проект вышел за рамки личного опыта. Сначала соседи приходили просто посмотреть, потом просили помочь. Так мой «умный дом» постепенно превратился в бизнес — инженерные системы и автоматизация полива для соседей и всего поселка Wright Village.

Сейчас у меня за плечами уже несколько частных участков и поселковая система полива, которая обслуживает сквер, парк и центральные аллеи.

И этим опытом я тоже решил поделиться.

Есть объективные факторы роста цен в ИТ — инфляция, кредитные ставки (их никто не снизил вслед за ставкой рефинансирования!), повышение страховых взносов для сотрудников и НДС. Как минимум это всё вместе уже обеспечит подорожание ИТ-услуг и инфраструктуры.

И ещё есть субъективное ощущение, что в ИТ много денег и это что-то вроде новой нефтяной отрасли. А денег сейчас не хватает. Есть гипотеза, что сначала всех перепишут под льготы, а потом вместо льгот сначала переведут на общий режим, а затем и повысят налоговую нагрузку.

Почему я так думаю — потому что у меня богатый опыт российского гражданина. И я уже вступил в реестр хостингов, который ни к чему не обязывал поначалу, но вот теперь это уже дорого и геморройно (но нужно). Вероятно, дальше будет ещё веселее.

И у меня есть ощущение, что начало процесса мы уже наблюдаем по отмене части льгот для ИТ-компаний.

Год назад я писал пост «Готовьтесь к росту цен», и так получилось, что в меня в профессиональной среде сначала кидались помидорами, потом начали цитировать, а потом текст скопировали для личных блогов от своего имени чуть ли не все топы сферы. Приятно, что мы запустили такую волну в рынок, но тема, конечно, печальная.

Прошёл год, и пора снова посмотреть, что нас ждёт.

Спойлер: вы, кажется, уже привыкли к плохим новостям, но жесть от этого никуда не делась.

Привет, Хабр!

В начале октября на XIV Международной IT-конференции «Стачка» в Санкт-Петербурге — одном из крупнейших профессиональных событий российского IT-комьюнити — мы решили провести эксперимент. Что, если предложить разработчикам публично выбрать сторону в вечных холиварах? Например: Микросервисы или монолиты? Low-code или только ручной код?

Курсы учат «эталонному» ТЗ на десятки страниц с диаграммами и ссылками на стандарты. Такое полотно текста выглядит надёжным, но на практике это оборачивается задержками. Пока аналитик пишет документацию «по правилам», команда ждёт задачу. Для бизнеса, который ждал изменений «ещё вчера», это выглядит так, будто аналитик тормозит процесс, хотя он просто следует инструкции.

Меня зовут Ольга, я бизнес-аналитик в Outlines Tech. Пятнадцать лет работаю в финтехе, сейчас отвечаю за операционные риски. Хочу поделиться мнением, почему шаблоны это не панацея и как бизнес-аналитик может ставить задачи быстрее и понятнее. Об этом редко говорят на курсах и конференциях, хотя именно это определяет эффективность работы.

«Современная производительность — это сложный пазл, где метрики СУБД, дисковые операции, потребление CPU и сетевые задержки тесно переплетены. Традиционное нагрузочное тестирование часто дает лишь часть ответа, заставляя нас собирать данные из десятка разных источников. В этой статье мы рассмотрим, как расширение pg_expecto становится единым источником истины, объединяя метрики инфраструктуры и PostgreSQL в едином контексте. Узнайте, как превратить разрозненные данные в целостную картину и получить точный ответ на вопрос: где на самом деле кроется узкое место вашей системы?»

Геймеры, играющие в 4К-игры, энтузиасты генеративного ИИ и все, кто работает с крупными LLM-моделями, всё чаще сталкиваются с серьезным ограничением — недостаточным объемом видеопамяти. Даже топовые игровые видеокарты с 24 ГБ VRAM не всегда справляются с тяжелыми задачами.

Почему же до сих пор нет игровой видеокарты с 48 ГБ памяти? В статье разбираемся, что мешает запустить такие карты в серию и, главное, стоит ли вообще ждать их появления.

Починили аналитику, настояли на фиде с пометкой «оптовая цена» и перевели рекламу в формат товарных и комбинированных кампаний. Результат за год: лидов стало в 10 раз больше (с 2–3 до 20–30 в неделю), CPL по фиду упал в 7 раз до 365₽.

Развитие квантовых компьютеров ставит под угрозу классическую криптографию: потенциально они смогут взломать существующие алгоритмы шифрования вроде RSA и ECC. На выручку приходит постквантовая криптография (PQC). Автор статьи объясняет, как обстоят дела с PQC в TLS, что это значит для Kubernetes — и почему уже сегодня кластеры получили постквантовую защиту почти случайно.

В конце сентября - начале октября в рамках межрегионального форума «ИТ-трансформация 2025: профессионалы цифрового будущего» [https://itforumaltai.ru/2025/], проходившего в г.Барнаул проводился кейс-чемпионат «Код успеха». В номинации «Промышленная разработка» два из тех кейсов были посвящены проектам на ПЛИС:

Кейс 1. Retro Game Console – разработка устройства вывода графики, анимации и текста с интерактивными эффектами

Данный кейс родился спонтанно, под влиянием книг Steven Hugg «Making Games for the NES» и «Designing Video Game Hardware in Verilog», а также ряда дискуссий в чате «Школы синтеза цифровых схем» и от этого кейса ожидались как минимум яркие красивые картинки, да и обычно вывод на дисплей/экран и манипуляции с картинками доставляют яркие и незабываемые эмоции (особенно при отладке, да…)

Кейс 2. «RTL-SoC-challenge» – разработка и прототипирование системы-на-кристалле на базе FPGA

Второй кейс родился по образу и подобию SoC Design Challenge 2025 [https://edu.yadro.com/soc-design-challenge/ https://habr.com/ru/companies/yadro/articles/909410/], но в несколько упрощенном (??ооочень не точно) варианте – только RTL синтез с небольшими включениями тестирования модулей.

В этом кейсе участникам в качестве подопытного кролика был предложен вариант многопоточной архитектуры процессора RISC-V, разработанного для учебного курса [https://riscv-alliance.ru/material/risc-v-dlya-fpga-arhitektura-mikroarhitekturnye-realizaczii/] созданного в рамках выполнения гранта Альянса RISC-V на разработку учебных материалов.
Соревнование собрало команды и индивидуальных участников из АлтГУ, ИТМО, МИЭМ НИУ ВШЭ, РТУ МИРЭА, Санкт-Петербургского политехнического университета. Работы оценивали специалисты компании YADRO (огромное спасибо Юрию Гринишкину и Евгению Максимову за помощь и организацию процесса). В целом инженерами отмечен высокий уровень участников и большой объем работы, проделанный за неполные две недели, отведенные на решение задач.

Международный коллектив ученых, объединивший опыт в области радиоастрономии и физики плазмы, представил результаты исследования квазара NRAO 530. Использовав объединенные возможности нескольких интерферометрических сетей, исследователи смогли «заглянуть» в самое сердце этого активного галактического ядра и обнаружить там рекордно сильное магнитное поле, а также сложные динамические процессы, управляющие истечением вещества в виде релятивистского джета.

В современной электронике печатные платы играют ключевую роль, обеспечивая соединение компонентов и передачу сигналов. Одним из интересных и функциональных элементов разводки являются проводники спирального типа (также известные как спиральные индуктивности или меандровые линии).

Спиральные проводники представляют собой металлические дорожки, выполненные в форме спирали или меандра на поверхности или внутри слоёв печатной платы. Их конструкция может быть:

- Плоской спиралью (planar spiral) – дорожка закручена по окружности или квадрату.

- Меандровой линией (meander line) – зигзагообразная структура, увеличивающая эффективную длину проводника.

- Многослойной спиралью – когда витки распределены между разными слоями печатной платы.

1. Конструкция и особенности

Форма таких проводников представляет собой плоскую спираль, которая может иметь круглую, квадратную, шестиугольную или любую другую геометрию витков в зависимости от требований к индуктивности и занимаемой площадки.

Количество витков, ширина дорожек, расстояние между ними и диаметр спирали — ключевые параметры, влияющие на электрические характеристики проводника. Эти параметры определяют индуктивность, сопротивление и паразитные ёмкости спирального проводника, что особенно важно для высокочастотных применений.

В современном мире есть огромное количество вызовов, и помимо пресловутых “капитанов галактической полиции из Центробанка”, которые призваны защитить тебя от мошенников (на самом деле нет, кто не понял - это был сарказм), существует куча угроз, которые даже не увидишь то толком. И я сейчас не про микробы и инфекции, а про интернет безопасность, мы же на Хабре, в конце концов, правда? 

Привет, Хабр.

Думаю, у каждого, кто искал работу, есть этот "любимый" запрос на hh. Вбиваешь "Python Developer", ставишь фильтр "нет опыта", а тебе вываливается 500 вакансий "Senior Analyst", где в требованиях "базовое знание SQL, Python будет плюсом".

Ручной разбор этой каши убивает время и мотивацию. Мой друг Роман (он IT-рекрутер и карьерный консультант) постоянно рассказывает, как кандидаты выгорают еще до первого собеса именно на этом этапе.

Я решил, что хватит. Пора автоматизировать рутину. Казалось бы, 30-минутная задача: дернул API, отфильтровал, откликнулся. Как же я ошибался. Сегодня расскажу, на какие грабли наступил, пока пилил «Аврору» - свой инструмент для автоматизации этого ада.