Kurgan-Telecom Ru | Информационные технологии

Выбираете алгоритм хеширования паролей — берёте bcrypt, потому что все берут bcrypt, ставите rounds=10, потому что так в туториале, и идёте дальше. Разбираем, почему это может быть ошибкой, чем отличаются Argon2, scrypt и PBKDF2, и как правильно настроить каждый из них.

Вчера было много новостей про GTA VI. Пожалуй, это самая ожидаемая игра года (если не десятилетия). Для многих Vice City, с его автомобилями — это город детства.

Пока все обсуждают стоимость игры, отсутствие физического наличия диска, я, как обычно, смотрю на правовую состаляющую.

В GTA нет настоящих автомобильных брендов, но машины выглядят до боли знакомо. Этот факт известен каждому.

Это не творческое видение разработчиков. Это юридическая стратегия, которую Rockstar отрабатывает уже несколько десятилетий. А Ferrari однажды решила её проверить на прочность и судилась несколько лет. В результате проиграла.

Разберём, почему так вышло.

В этом году мы вернулись к схеме, которую попробовали два года назад: в течение дня участники пишут и отлаживают SQL-запрос, делающий ходы в какой-то игре; ночью проводится турнир между итоговыми запросами претендентов и по сумме набранных очков определяется победитель. В отличие от традиционного набора задач с «правильными решениями», в таком формате участники не могут упереться в потолок набранных баллов, а напряжение держится до последнего.

В позапрошлом году мы развлекались крестиками-ноликами, а сейчас выбрали гонки — в них, кстати, тоже можно играть в тетрадке в клетку.

Привет, Хабр! На связи @Holmogorov руководитель проектов компьютерной редакции издательства БХВ. В своей прошлой заметке я обещал рассказать, как новые издания преодолевают путь от идеи до полки книжного магазина, сколько времени обычно  занимает написание книги, какой нужен объём, как устроен авторский договор. Пришла пора выполнять обещание.

Многие из нас делают что-то интересное: создают агентов, RAG-системы, делают крутые решения на основе LLM или в области генерирования изображений и видео, собирают датасеты, придумывают бенчмарки — этот список можно продолжать и продолжать. Создав что-то замечательное, напишут статью на Хабре, и на этом всё. Хотя ту же самую работу вполне можно отправить на ведущие мировые конференции по Data Science и ИИ, таких как NeurIPS, ICLR или ACL. Разница не всегда в качестве исследования, просто мало кто знает, как правильно обернуть свои ИИ-решения и разработки в научные статьи, которые пройдут на топовые конференции.

Я Мария Тихонова, исследователь из Sber AI. Занимаюсь бенчмарками и генеративными моделями, развиваю исследовательское направление внутри наших команд. Расскажу о том, как превратить крутые результаты, которые у вас есть, в научную статью высшего ранга (A/A*).

Группа киберразведки Positive Technologies зафиксировала новую фишинговую кампанию хакерской группировки NetMedved, нацеленную на российские организации. Как и в описанных нами ранее атаках, операторы используют деловую тематику, документы-приманки и легитимный инструмент удаленного администрирования NetSupport Manager, развернутый в системе жертвы.

В предыдущих кампаниях NetMedved уже применялись архивы с документами-приманками, вредоносные LNK-файлы, PowerShell-загрузчики, сценарии с использованием finger, а также HTA-варианты с декодированием приманки и NetSupportRAT из тела файла. В новой кампании операторы сохранили основную модель атаки, но расширили набор начальных стадий и инфраструктурных приемов.

Когда компании нужна доработка по 1С, интеграция, новый отчет или помощь с внедрением, поиск исполнителя часто оказывается не менее сложной задачей, чем сама работа.

На рынке много специалистов, агентств и фрилансеров. Но проблема обычно не в том, чтобы найти человека, который готов взяться за задачу. Проблема в том, чтобы понять, насколько он действительно разбирается в теме и сможет довести проект до результата.

За последние годы многие компании все чаще ищут подрядчиков не только через классические биржи, но и через профессиональные сообщества.

Я долго думал, с чего мне начать свои публикации на Хабре. Но буквально на днях закончил монтаж преобразователя частоты для управления водяным насосом с PID — регулированием по датчику давления, установленным у меня дома. Хоть это и был долгострой, но задача была успешно решена. Однако опыт показал, что хоть такие решения уже известны из области техники, но детального описания процесса сборки системы и настройки преобразователя частоты мне нигде ранее видеть не приходилось.

Я постарался собрать информацию из множества разрозненных источников в одном месте, включая свой личный опыт работы с преобразователями частоты и изложить ее в доступной форме. Поэтому пусть моя приветственная статья на Хабре будет подробным гайдом по настройке ПЧ для работы с обычным однофазным водяным насосом с целью поддержания стабильного давления воды в водопроводной системе.

Итак, у вашего агента имеется набор инструментов, которыми он может пользоваться. Теперь нужно заняться их оркестрацией для решения реальных задач. Оркестрация не сводится к простому выбору того, когда и какие инструменты следует вызывать. Необходимо также создать правильный контекст для каждого вызова модели, чтобы действия были эффективными и обоснованными. Хотя простым задачам бывает достаточно одного инструмента с минимальным контекстом, более сложные рабочие процессы требуют тщательного планирования, чтения памяти и сборки динамического контекста для точного выполнения каждого шага. В этой главе мы рассмотрим стратегии оркестрации, создание контекста, выбор инструментов, исполнение, а также планирование топологий для построения агентов, способных эффективно и надежно решать многошаговые задачи из реальной практики. Как показано на рис. 5.1, суть оркестрации заключается в том, как система использует имеющиеся в ее распоряжении ресурсы для эффективной обработки пользовательских запросов.

В прошлой статье я писал о том, что в концепции 1С:ERP 2026 не хватает предметно-ориентированного слоя. После обсуждения стало понятно, что этот вопрос шире одной ERP-системы: если предприятие уже использует LLM, ему нужен не только набор промптов, а общий семантический контур. В первой статье эта тема была обозначена, но, видимо, недостаточно явно. Исправляю. На мой взгляд, именно этот слой в ближайшее время станет одним из самых практичных и недооценённых артефактов ERP-проектов, СМК-проектов, проектов управленческого учёта и корпоративного внедрения LLM.

Проблема не в том, что предприятиям не хватает ещё одного красивого словаря. Проблема в том, что сотрудники уже используют LLM, и остановить эту реку невозможно. Кто-то работает в ChatGPT, кто-то в DeepSeek, кто-то в Gemini, кто-то в корпоративных чатах, кто-то в локальных моделях. Руководитель просит модель подготовить управленческую справку. Финансист просит объяснить отклонение бюджета. Начальник производства формулирует служебную записку. СМК-специалист готовит проект процедуры. Аналитик описывает бизнес-процесс. Консультант пишет черновик ТЗ. Формально всё выглядит полезно: люди быстрее пишут, быстрее структурируют мысли и быстрее получают черновики документов. Но есть одно слабое место: каждый такой чат начинает строить свою собственную версию смысла предприятия.

В обычной переписке это можно терпеть. В ERP-проекте, в СМК, в управленческом учёте и в производственном контуре это уже опасно. Один сотрудник пишет в модель слово «партия» и имеет в виду партию материалов на складе. Другой под партией понимает производственную партию. Третий — партию для контроля качества. Четвёртый — серию изделия. Пятый — объект прослеживаемости. Шестой — аналитический разрез себестоимости. Модель отвечает уверенно, но отвечает внутри того смысла, который она сама восстановила из контекста. Если этот контекст не зафиксирован предприятием, модель начинает угадывать.

Привет, Хабр! Меня зовут Андрей Орлов, я QA‑инженер в команде Tarantool Database, VK Tech. Я занимаюсь функциональным тестированием: проверяю новые фичи и изменения, поддерживаю и развиваю автотесты, разбираю инциденты, анализирую логи и метрики. Нагрузочное тестирование и стресс‑тестирование тоже входит в мои задачи — в том числе для проверки поведения Tarantool Database на больших конфигурациях. В этой статье я расскажу, как мы организовали и провели тестирование Tarantool Database на 640 инстансах, какие подходы и инструменты использовали и какие выводы сделали.

В ходе нескольких недавних бесед люди рассказывали мне, что перестали проверять свои телефоны по утрам. Не потому, что ничего не происходило, а потому, что происходило всё подряд. Они описывали это ощущение так, будто стоят под водопадом бесконечных плохих новостей.

Этот опыт далеко не единичный. Согласно отчёту Reuters Institute «Digital News Report» за 2025 год, 69% канадцев сейчас хотя бы изредка избегают новостей.

Во всём мире 40% респондентов сообщают, что по крайней мере иногда или часто поступают так же — это самый высокий показатель за всю историю наблюдений. Люди называли одни и те же причины: новости портят им настроение, они чувствуют себя перегруженными и бессильными что-либо сделать.

С 8 июля 2026 года Anthropic обновляет Privacy Policy. В новой версии компания прямо прописала, что может собирать данные для проверки личности и возраста: скан документа, номер ID, дату рождения, фото, видео и даже шаблоны геометрии лица.

Отдельно Claude Help Center объясняет, как проходит identity verification. Проверка может включать физический государственный документ с фото и лайф-селфи через сервис Persona. Подходят паспорт, водительское удостоверение, national ID или аналогичный документ.

Формально это не означает, что с 8 июля всех пользователей из России заблокируют. Компания также не пишет, что паспорт попросят у всех пользователей Claude сразу. Хотя положение пользователей из России действительно опаснее, чем для пользователей из поддерживаемых стран, так как страна не входит в список регионов, где Anthropic официально предоставляет доступ к Claude.

Разбираем, как защитить свои данные и пользоваться Claude после обновления политики. Не так страшен черт, как его малюют. 

Все началось с просьбы сделать отчеты в реальном времени. На первый взгляд задача выглядела простой, но довольно быстро выяснилось, что существующая архитектура для этого не подходит.

Проект был разбит на множество микросервисов, каждый из которых хранил данные в собственной PostgreSQL-базе. Чтобы строить сквозные отчеты, информацию нужно было где-то объединять.

На тот момент аналитика уже работала через ETL: раз в сутки Airflow восстанавливал общую PostgreSQL из ежедневных бекапов, а Redash выполнял запросы уже к ней. Решение было надежным и не требовало нагрузки на production, но для real-time оно не годилось — в лучшем случае отчеты показывали состояние системы на начало дня.

Всем доброго времени суток! Мы — Руслан Алиев, главный эксперт, и Михаил Калганов, начальник отдела вычислительных комплексов Лаборатории R&D «РТК-ЦОД». Наш отдел проводит испытания различного вычислительного оборудования и программных решений.

Основная задача испытаний — определение степени соответствия СХД требованиям проектов, в которых предполагается ее использовать.

За шесть предыдущих выпусков мы собрали собственный конвейер безопасной разработки: развернули виртуальные машины, подняли инфраструктуру из GitLab, Vault, Nexus, DefectDojo и Dependency-Track, написали CI/CD-пайплайн, подключили сканеры безопасности и настроили резервное копирование.

Остается главный вопрос: сможет ли наш конвейер находить реальные уязвимости, а не просто радовать разработчиков зелеными галочками в интерфейсе GitLab? 

Как говорили старые DevSecOps-бояре, «в нашем деле на слово не верят — безопасность нужно проверять».

Поэтому сегодня устроим нашему конвейеру проверку боем. Возьмем уязвимое приложение Reactvulna, загрузим его в GitLab и прогоним через собранный нами пайплайн. После этого разберем результаты сканирования и посмотрим, насколько хорошо собранная нами инфраструктура справляется с обнаружением проблем безопасности.

Представьте парк из более чем 700 экземпляров СУБД. Классический сценарий: приходит оповещение о высокой нагрузке, администратор начинает вручную собирать метрики с десятков дашбордов в Prometheus/Grafana, анализировать журналы, ища ошибки и медленные запросы, пытаться сложить разрозненные данные в единую картину, сформулировать проблему и создать задачу на исправление.

На это уходит много ресурсов, а ценное время на реакцию уходит.

Наша команда решила автоматизировать этот цикл, создав систему, которая не просто собирает данные, но и анализирует их, генерирует контекст и сама запускает процессы по созданию заявки.

С вами Станислав Епишин и Константин Резник из команды «R4C.Support.Всадники апокалипсиса» в СберТехе. В этой статье покажем, как мы соединили Prometheus, Pipeliner (CI/CD-оркестратор, разработан в СберТехе, аналог Jenkins), TaskTracker (система управления задачами, разработана в СберТехе, аналог Jira) и GigaChat (продукт Сбера) через AI Hub API (анализ) в единый механизм.

Сборка игрового ПК в 2026 году стала довольно сомнительным удовольствием. Причин много. Сюда можно отнести подорожавшую память, подорожавшие видеокарты и то, что сам по себе ценник средней сборки разбух до неприличия. И тут происходит что-то довольно странное поначалу, но логичное по сути. Обычный шестиядерный процессор 2022 года, который по всем законам жанра давно пора списывать на свалку истории, несколько месяцев подряд держится в топе продаж. Я про Ryzen 5 5500. Не Ryzen 9, не свежий Core Ultra, а тот самый старичок. И причина тут даже не в самом процессоре. Вот и давайте разберемся, в чем именно причина, что стоит купить за десять тысяч рублей и кому из этой тройки отдать предпочтение.

За последние пару лет доступность внешних реестров и CDN для российских команд стала менее предсказуемой. Для пользователя это обычно выглядит как «сайт не открывается», а для разработчиков — как внезапно упавший CI, зависшая сборка или сорванный деплой.

Привет, Хабр! Меня зовут Рахимов Искандер, я фронтенд-разработчик в компании Sofoil.

Для понимания контекста: речь идёт о подразделении Sofoil, которое занимается разработкой интерактивных обучающих систем. В команде работает 16 разработчиков, а основной стек — Angular на фронтенде и Python на бэкенде.

Со временем проблемы с внешними реестрами начали накапливаться: сборки замедлялись, периодически возникали таймауты, а стабильность релизов всё чаще зависела не от нашего кода, а от доступности сторонних сервисов.

В какой-то момент стало понятно, что проблему нужно решать системно. В качестве решения мы выбрали Sonatype Nexus 3. Расскажу, как внедряли его в инфраструктуру, какие задачи он закрыл и с какими нюансами пришлось столкнуться.

Как дать пользователю выполнять JavaScript, Python и SQL прямо в браузере и не пожалеть? Разбираем восемь песочниц: Web Worker для JS, Pyodide для Python, SQL.js для SQLite, iframe sandbox для HTML/CSS, DOMPurify для Markdown, самописный эмулятор Bash. Никаких Docker-контейнеров — только клиент.