Kurgan-Telecom Ru | Информационные технологии

OWASP — некоммерческая организация, которая занимается выпуском руководств и фреймворков в области безопасности. В условиях активного внедрения генеративного ИИ в самые разные сферы, OWASP анонсировал больше десяти разных проектов, чтобы охватить новые угрозы и привлечь внимание к безопасности AI-систем. Ниже расскажу про основные инициативы и документы, которые могут пригодится в работе тимлидам, разработчикам и специалистам по информационной безопасности.

На первый взгляд в глаза бросается обилие проектов, документов и рекомендаций. Материалы в отчётах пересекаются и запутаться в инициативах OWASP — легко. Связано это с тем, что проекты ведут разные команды и лидеры. В OWASP более 1000 человек только в slack-канале и около 100 активных участников.

Надеюсь, эта статья поможет вам разобраться в специфике каждого гайда, и облегчит  выбор подходящего документа под ваши потребности. Начнём с главного документа по AI от OWASP. Меня зовут Евгений Кокуйкин и мы в AI Security лаборатории Raft изучаем прикладные аспекты безопасности GenAI-систем. В OWASP я веду один из стримов, про которые пойдёт речь ниже.

Читать далее

JSON — это широко распространённый формат, применяемый для хранения информации, основанной на обычном тексте. Он поддерживается самыми разными системами, обеспечивая их взаимодействие. Чаще всего это — веб-приложения и большие языковые модели (Large Language Model, LLM). Хотя JSON-данные удобны для восприятия человеком, их сложно обрабатывать, используя инструменты из сфер Data Science (наука о данных) и Data Engineering (инженерия данных).

JSON-данные часто существуют в виде JSON-строк (формат JSON Lines), отделённых друг от друга символами перевода строки (NDJSON, Newline-Delimited JSON). NDJSON используется для представления записей, входящих в состав набора данных. Часто первым этапом обработки данных является чтение файлов формата JSON Lines и преобразование их в объекты DataFrame (датафрейм).

В это материале мы сравним производительность и функционал API, доступных в Python и применяемых для преобразования формата JSON Lines в датафреймы.

Читать далее

Самые красочные цвета! Они делаются с HDR. А можно ли самый обычный моник? Стандартный динамический диапазон? 1920×1080 точек? Впервые введено компанией Sony в 2007 году. Можно!!! А как же HDR? Там же 3840×2160! Для этого нужно ffmpeg.org/download.html А именно www.gyan.dev/ffmpeg/builds/packages/ffmpeg-7.0.2-full_build.7z Но главное не это. Самое главное, что не это zscale=transfer=709 а это zscale=transfer=linear! В фильмах оно красное и темное! А вот в аниме другое дело.

Я сделал трейлер «Дитя погоды» с красочными цветами. И такого нет нигде! Только я сделал. Это уму непостижимо! Никто не делает. Я один из десяти миллиардов! Почему???

Сейчас уже есть пять фильмов!
Я их не только в ffmpeg, но вы можете их даже скачать!
Это:
«Дитя погоды» 2019 год.
«Мальчик и птица» 2024 год.
«Мэри и ведьмин цветок» 2017 год.
«Судзумэ, закрывающая двери» 2022 год.
«Твое имя» 2016 год.
Читать дальше →

Привет! Я Антон — инженер по информационной безопасности в Selectel. В рабочих процессах часто наступает момент, когда видео очень нужно, но времени, ресурсов или навыков для его создания нет. Например, хочется оживить презентацию коротким видеодайджестом или воссоздать историческое событие по архивным фото.

Хорошая новость: теперь и эту задачу можно поручить нейросетям. В тексте разберем, какие генеративные модели помогают превращать текст или картинку в полноценное видео, а также какие платформы агрегируют эти модели, предлагая удобные инструменты для работы. Посмотрим, насколько они хороши и какие артефакты можно встретить. Читать дальше →

В мире, где успех измеряется количеством выполненных задач и достигнутых вершин, очень легко потерять себя в бесконечном потоке обязательств. Профессиональное выгорание — это не просто «усталость», а сигнал организма, что пора остановиться и задуматься: а где мой личный баланс?

Такое состояние напоминает тихий пожар, который медленно сжигает силы и креативность, оставляя после себя ощущение пустоты и утраты смысла. В статье я расскажу, как распознать первые признаки выгорания, почему важно уделять время себе, и какие шаги помогут вернуть внутренний огонь.

Вещаю для вас я, Паркулаб Адель, HR в компании ИдаПроджект. Поехали :)

Читать далее

Непервоапрельское.

Вопрос «Что делать?» уже давно терзает наши души, меняя оттенки, но никогда не теряя своей остроты.

Чернышевский и Пол Грэм предлагают свои ответы, столь же разные, как эпохи, сколь и созвучные, потому как люди не сильно то и поменялись.

Читать дальше

Меня зовут Татьяна Веселова, я руководитель направления ELMA в департаменте CRM и BPM КОРУСа. Недавно мы с коллегами обсуждали тему астрологии, и я решила пофантазировать на тему того, что будет, если совместить ИТ и астрологию.

Важный дисклеймер: этой статьей мы не хотели задеть чувства людей, верящих в гороскопы, натальную карту и астрологию в целом.
Поэтому, если шутки на эту тему способны вас расстроить, то дальше вам лучше не читать :)

Читать далее

Всем привет! Сегодня мы выпустили новую версию нашей большой языковой модели Cotype – Cotype Pro 2, с улучшенными возможностями генерации и редактирования текстов, а также суммаризации и анализа информации. Однако в этой статье мы дадим лишь краткое представление нашего нового творения и его преимуществ, а больше расскажем о том, как мы улучшили пайплайн обучения нашей LLM с помощью новой методологии оценки.

Эта методология была разработана в рамках исследования, посвященного сравнению моделей методом Side-by-Side для автоматической оценки LLM. Мы выкладываем в открытый доступ код для её воспроизведения и лидерборд на HuggingFace для сравнения как коммерческих, так и открытых моделей.

Читать далее

Как определить, какие технологии действительно востребованы, а какие существуют лишь по инерции? Стандартные метрики популярности часто показывают противоречивые результаты.

Пытаясь сравнить популярность нескольких технологий разработки ПО, я столкнулся с парадоксом: данные Google Trends и количество GitHub-репозиториев показывали высокую популярность технологий, которые в реальной разработке давно не используются.

Разобравшись в причинах этого несоответствия, я создал инструмент для анализа GitHub-метрик, который позволяет отфильтровать "шум" и увидеть реальную картину технологических трендов.

В статье я расскажу о методологии, неожиданных находках и о том, как этот инструмент может помочь вам принимать более обоснованные технические решения.

Читать далее

Всем привет! Продолжаем разбираться с хронической болезнью — фрагментированной ИТ-инфраструктурой. Изначально НИИ с филиалами в нескольких городах внедрил СЭД на базе LanDocs, для остальных задач — целый набор разного софта. В результате получилось «лоскутное одеяло» из систем, между которыми было сложно наладить обмен данными.

Более того, из-за санкций организация отказалась от Windows. Поэтому специалисты IT-подразделения искали для автоматизации документооборота и остальных процессов решение, которое входит в Реестр российского ПО и поддерживает работу с СУБД PostgreSQL и ОС Linux.

Необходимо было перевести НИИ на единое решение, объединяющее все функции и соответствующее техническим требованиям. Расскажу, как решала эту задачу в разрезе ЭДО.

Читать далее

Речь пойдет о моем пет‑проекте — SSDF (super SQL data flow)

Когда‑то я работал в одной компании, у нас было ХД на MSSQL и самописный велосипед для организации ETL/data flow; так и назывался — dataflow.

Выглядел он следующим образом (если описывать вкратце).
Пункт загрузки описывался как одна строка в таблице, основные поля — источник и назначение, например, источник — это view, назначение всегда таблица, ещё давайте упомянем поле горизонта загрузки. Dataflow генерировала и выполняла (для типа view) код удаления из назначения по горизонту и код вставки из вью. Были, конечно, и другие типы — процедура, скрипт, более сложные.

Таблица этих пунктов и являла собой поток данных, и, порядок прописывался жестко, так же был параллелизм (два и более под одним номером n выполняются одновременно).

Главное, что я из этого вынес — что так можно работать и работать вполне неплохо.

Читать далее

В апреле традиционно просим нашего начальника отдела безопасности Алексея Дрозда aka @labyrinthподелиться его подборкой забавных, нелепых и глупых ИБ-инцидентов. Сегодня под катом: Брэд Питт разрушает семейное счастье, инсайдер убегает от ирландской полиции, Disney рассказывает запоздалую правду.

Читать далее

У нас много странного в поддержке.

Некоторые странные запросы мы поддерживаем, некоторые — нет. Сегодня — про те, которые нет.

Одна из очень частых ситуаций — про восстановление серверов после неоплаты. У нас есть железное правило: если клиент нажал «Удалить сервер», то всё будет чисто и наглухо удалено, включая всю цепочку технических бекапов, например, если машина переезжала с одной стойки на другую. Потому что просто так эту кнопку не нажимают, и ожидается, что она будет действовать именно так, как написано. Хотя, конечно, однажды одному директору, поссорившемуся с главбухом, это стоило всей бухгалтерии. Без шансов восстановить, потому что бекапа бухгалтерии, как потом выяснилось, они не делали. Очень смелые и отчаянные люди. Оба.

Так вот, если сервер не оплатить, то он не удалится в ту же миллисекунду. Он будет висеть ещё несколько дней (сейчас это семь) просто на тот случай, если кто-то — раздолбай. Правило мы ввели после приключений со сменой реквизитов платёжных шлюзов на новый год.

Это не оферта, мы не обязаны этого делать, но мы складываем бекап на страховочный диск, потому что сами много раз продалбывали сроки. И вот, зная об этой особенности, некоторые клиенты начали от нас требовать — прямо требовать! — восстановления через любой срок после неоплаты.

Мотивы от «У меня тогда оплата не прошла» и «Я забыл» до грубых форм вроде «Как вы могли удалить?! У меня там торговля идёт, я миллионы теряю!». Ладно, миллионы — не наше дело, но оплатить сервер за 500 рублей после 10 напоминаний и отключения на неделю, наверное, забывать не стоило. Через полгода мы такого не поддерживаем, конечно. Читать дальше →

Как-то на семинаре Biz360 руководитель “1С-Рарус” Дмитрий Казачков рассказал, что при найме сразу думает обо всех периодах взаимодействия с будущим сотрудником: знакомстве, работе, расставании. По-моему, как и человеческие отношения, каждый обмен данными идет по тому же вектору развития. Начинается с формирования требований и заканчивается “тоже плохо”.

Поскольку настройка обменов данными между конфигурациями 1С изобилует техническими терминами, понятными только тем, кто ее выполняет, я решил описать основные “грабли”, используя метафору семейной жизни. Ведь между ними много общего - для обмена нужны источник и приемник, и для создания семьи нужна как минимум пара.

Читать далее

В этой статье разберём процесс написания API автотестов на Python, используя современные best practices. Кроме того, мы настроим их запуск в CI/CD с помощью GitHub Actions и сформируем Allure-отчёт с историей запусков. Цель статьи — не только показать, как писать качественные API автотесты, но и научить запускать их в CI/CD, получая удобные отчёты о результатах.

Читать далее

Делимся в комментах ссылками на свои проекты, получаем обратную связь, знакомимся и исследуем чужие продукты! 

Читать далее

Что если ваша команда могла бы создавать полнофункциональные прототипы за минуты, а не дни?

AI-инструменты решают ключевые проблемы в прототипировании: ограниченность Figma-прототипов, невозможность работы с реальными данными и высокий порог входа для технически неопытных PM.

Статья представляет собой исчерпывающее руководство по AI-прототипированию для продакт-менеджеров с детальным сравнением инструментов (Lovable, Bolt, Databutton), примерами промптов и двумя подробными практическими кейсами.

Читать далее

В библиотеке искусственного интеллекта для 1С появилась поддержка RAG (Retrieval Augmented Generation). Что такое библиотека искусственного интеллекта для 1С, что такое RAG и как этим пользоваться совместно

Читать далее

Привет, Хабр. Я, Дамир Гибадуллин, продукт-менеджер системы «Цифровой Штаб» от Innostage.  Я поделюсь с вами ключевыми фактами и инсайтами, которые наша компания сделала в ходе исследования рынка комплексной безопасности. Но сперва пара слов о том, почему эта тема вообще появилась.

Зачастую в крупных компаниях есть три департамента, которые живут под одной крышей, но как феодальные государства, граничащие между собой и регулярно обостряющие борьбу за ресурсы.  Ресурсы эти вполне материальные и всегда фигурируют в статье «Расходы». К ним относятся: бюджеты на закупку ПО/железа/ ЗИП/сторонних услуг, также есть фонд оплаты труда, плюс ещё несколько статей за которые ведётся (пусть и незримое, но) активное соперничество. Второй характерной особенностью «феодалов» является обособленность «периметров». Начиная от изолированных сегментов ЛВС, продолжая кадровой политикой и завершая планированием и доказательством эффективности своего департамента. Речь про ИТ, ИБ и СБ.

Безусловно где-то должна существовать компания, в которой все три составляющих живут в мире и согласии, избегая конфликта интересов, используя конструктивные внутренние бизнес-процессы или в редких случаях обоюдовыгодные компромиссы. Но подобная управленческая зрелость компании в первую очередь зависит от позиции и твердой воли CEO и лишь во-вторую — от CIO/CISO/CSO.

В исследовании мы задались вопросом, ощущается ли внутри самих этих подразделений потребность в консолидации усилий для обеспечения безопасности компании в широком смысле, а именно устойчивости и развития бизнеса.

Читать далее

Привет, Хабр! Меня зовут Алексей Григорьев, я iOS-разработчик в МТС, работаю над продуктом Membrana — это тариф + мобильное приложение для управления приватностью в Сети. Сейчас в iOS-приложениях на первое место постепенно выходит модульная архитектура. Она позволяет создавать гибкие и масштабируемые проекты, которые легко сопровождать и развивать. Особенно это актуально при увеличении кодовой базы и разрастании функциональности, когда поддержка монолита усложняется.

Модульный подход не просто разделяет приложение на более управляемые части, но и закладывает возможность многократного использования кода в других проектах, позволяет организовать разработку и тестирование функциональных блоков независимо от основного приложения.

В этом материале я расскажу про ключевые моменты модульной архитектуры в iOS-приложениях, инструментах для ее внедрения и применения в наших проектах.

Читать далее