Kurgan-Telecom Ru | Информационные технологии

Хабр, привет!

На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в марте, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности.

У нашей IT-компании не было логотипа.

Мы делаем дизайн для клиентов — в том числе логотипы. Проектируем айдентику, спорим о кернинге, подбираем цвета по Pantone. А собственный логотип? «Ну, потом.» Годами «потом». Классический сапожник без сапог.

В какой-то момент команда прямо сказала: «Мы — AI Dev Team. Без логотипа. Серьёзно?» Возразить было нечего. Когда отправляешь клиенту презентацию, а в шапке — пустое место, «потом» заканчивается.

Решение было предсказуемым для IT-команды: не «загуглить лучший генератор логотипов», а провести нормальное исследование. Бесплатные тарифы, форматы экспорта, юридические условия, подводные камни. Я дал задание, команда вернулась с разбором 13 сервисов. Делюсь результатами — но начну не с инструментов, а с ловушки, в которую попадают все.

На связи Сергей Скирдин, технический директор компании «Белый код». Мы занимаемся проектами в сфере управления данными: интеграции, хранилища, BI. Поэтому мне особенно интересно следить за тем, как развивается экосистема 1С в смежных для нас направлениях. В субботу посетил мероприятие для разработчиков и технических специалистов 1С. Хотелось послушать про «1С:Шину», «1С:КХД», «1С:Аналитику» и в целом понять, куда движется мир разработки и технологий 1С. Расскажу, что интересного для себя отметил.

Еще недавно казалось, что MCP решит главную проблему ИИ-агентов: даст единый способ подключать инструменты, данные и внешние системы.

Но быстро выяснилось, что если дать модели все сразу, она не становится умнее - она теряет фокус. В статье разбираю, почему ИИ-агенты тонут в контексте, и какие подходы помогают это исправить.

Если вы хоть раз занимались корпоративной разработкой на Java, вы наверняка слышали про CUBA Platform. И нет — это не про Карибы.

CUBA — это full-stack Java-фреймворк для быстрой разработки бизнес-приложений: CRM, документооборот, ERP-подобные системы, внутренние инструменты и всё то, что принято называть словом «enterprise».

Я работал с ним на нескольких хакатонах и в паре реальных проектов. И у меня к нему сложные чувства — поэтому и пишу.

Привет, Хабр и читатели!
Сегодня я попытаюсь сделать с вами диалект LISP.

Я думаю, что я достаточно хорошо понимаю как его сделать.

Мы реализуем там TCO, FEXPR функции и dynamic scoping.

Во многих fullstack-проектах на Next.js и Django авторизация разваливается в одном и том же месте. На фронте удобно использовать NextAuth, потому что он закрывает формы входа, OAuth, серверную сессию и клиентские хуки. На бэкенде хочется иметь обычный JWT-контур на Django REST Framework, чтобы защищать API, работать с access и refresh токенами и не привязывать бизнес-логику к фронту. В итоге часто получается неприятная схема: пользователь логинится через NextAuth, потом отдельно логинится в Django, потом где-то вручную перекладываются токены, а через пару недель вся эта связка начинает ломаться на refresh, logout и OAuth.

Что делаем. Пользователь проходит один вход на фронте, а дальше фронт уже работает с токенами Django как с единственным источником доступа к API. Без второй формы входа, без ручного хранения access token в localStorage, без отдельного костыля под Google OAuth.

Разберем рабочую схему, в которой NextAuth отвечает за пользовательскую сессию на фронте, а Django остается владельцем API-авторизации и выдает JWT. На credentials-входе NextAuth сразу получает access и refresh от Django. На Google OAuth фронт сначала пускает пользователя через провайдера, потом синхронизирует его с Django и тоже получает пару токенов. После этого все запросы идут через один axios-клиент, который сам подставляет access token, сам обновляет его через refresh и сам завершает сессию, если refresh уже недействителен.

31 марта 2026 года один из самых популярных npm-пакетов в мире превратился в оружие. Разбираем, как устроена атака на цепочку поставок через axios, почему классические средства защиты могут не выручить на этапе заражения – и как DNS-уровень оказался барьером, который предотвратил крупнейший инцидент.

Мгновенная атака

Представьте, что вы едете в отель. Один из больших сетевых - из более чем 5000 отелей по всему миру. Устали после пересадки и с единственной мыслью в голове - как можно скорее добраться до номера и открыть ноутбук, доделать задачи к утреннему релизу.

Все еще хорошо – информационная система сети отелей работает исправно, заселяя больше 500 гостей в минуту.

Вы открываете дверь такси и выходите. До стойки ресепшн рукой подать, идти чуть больше минуты - 89 секунд. Но дойдя до нее вы видите, как меняется лицо администратора. Глядя в экран, она видит сообщение о сбое всех систем.

Именно столько – 89 секунд прошло между публикацией вредоносной версии axios и первым заражением. Горизонтальное же продвижение злоумышленников, вооруженных мощью автономных AI-агентов может быть мгновенным. Получив доступ к переменным окружения, токенам CI/CD, ключам доступа к облакам, БД, API платёжных шлюзов, секретам Kubernetes с компьютеров разработчиков – дальнейшее дело техники.

И это реальное описание того, что могло бы случиться, если бы клиент не использовал сервис DNS-фильтрации.

Введение. Логичное продолжение старой проблемы

Как я уже писала раньше, современный рынок найма в значительной степени выстроен как система отсева.

Отсев включается уже на самом первом этапе: автоматический скрининг отбрасывает резюме по формальным признакам через фильтры ключевых слов.

Для кандидатов это давно стало реальной проблемой.

Сильный специалист может не дойти даже до первого разговора с бизнесом просто потому, что его опыт не совпал с формой, которую ожидает система.

Обойти такой отсев на этапе резюме с каждым годом становится всё сложнее.

И, похоже, кандидаты наконец начали отвечать.

Есть у меня одна мысль на тему того, откуда берутся переработки, почему эта ситуация устойчиво существует и не решается простыми методами такими как увещевания о пользе соблюдения баланса между работой и личной жизнью.

К этой мысли меня сподвигло давнишнее изучение теории игр...

Из новостей: Eidos Montreal уволила более 100 разработчиков, общие продажи Death Stranding 2 достигли 2 млн, ИИ-подразделение Take-Two накрыла волна увольнений, релиз UNIGINE SDK 2.21.

Из интересностей: разговор про Pathologic 3, ускоряем игру «Жизнь» с помощью CUDA / Triton, 6 часть документалки про Disco Elysium, fast and Gorgeous Erosion Filter, неужели Zelda изменилась навсегда.

Модальные окна — один из самых недооценённых слоёв UI-архитектуры. Формы, подтверждения, панели действий — в любом крупном проекте их десятки. И почти в каждом проекте их управление со временем превращается в хаос.

Не потому что разработчики ленивые. А потому что модалки обманчиво просты. useState(false) — и готово. Пока модалка одна, в одном месте, с одним набором данных — проблем нет.

Пять лет назад мы рискнули создать премию, где результат измеряется не количеством заявок, а глубиной влияния на бизнес. Судя по итогам пятого сезона, риск оправдал себя. Делюсь итогами и рассказываю, кто взял гран-при в ESG, Digital Transformation и почему мы добавили номинацию для малого бизнеса.

В последнее время мне захотелось вернуться к проекту игровой консоли. Правда, он забуксовал, но ничего страшного: это долгоиграющий проект, и буду его разбирать по чуть-чуть. А вернулся к нему всё потому, что захотелось программировать. Потом я стал размышлять, что необязательно делать свою консоль — можно достать готовую. И везде я слышал упоминания про ретро-консоли, а у меня такой не было! Выбрал для себя Anbernic RG35XX Pro и заказал.

В этой статье будет небольшой обзор и впечатления от этой приставки. Но больше всего меня интересовал вопрос: допустим, я разрабатываю игры — могу ли я использовать ретро-консоль для моих нужд? Как легко запустить мою игру на ней? Может быть, игровые движки поддерживают опцию экспорта для таких консолей? И похожие вопросы — в основном из-за непонимания того, как это происходит.

Всё будет рассмотрено на примере PortMaster и написания Hello World на C/C++ (SDL2, SDL3, raylib), но также поговорим про Unity, Godot и HTML5 (Phaser).

Всем привет! Меня зовут Илья Есейкин и я IT-управленец среднего звена, веду небольшой (пока) Telegram-канал о цифровой зрелости бизнеса. Это моя первая статья на Habr — пишу о том, что видел изнутри: несколько компаний, разные отрасли, реальные кейсы. Стараюсь обойтись без корпоративного глянца и универсальных рецептов. Если тема откликается — буду рад обратной связи в комментариях.

Есть фраза, которую многие из нас слышал во всех компаниях, отрасли разные, но фраза всегда звучала примерно одинаково: «Ну сделайте пока так, потом переделаем нормально». Она произносится обычно, когда дедлайн завтра, бюджет кончается, а продукт надо показать на демо. И именно из таких моментов, помноженных на годы, состоит то, что принято называть техническим долгом — не абстрактная IT-проблема, а вполне конкретный список управленческих выборов, сделанных под давлением обстоятельств.

Книги про большие языковые модели сегодня выходят с той же скоростью, с какой сами эти модели генерируют текст. Зайдите в любой крупный книжный магазин — не важно, в оффлайновый или электронный — и вы увидите широчайший ассортимент названий, где присутствуют GPT, LLM и «искусственный интеллект» в различных сочетаниях. Одни издания — академические монографии для разработчиков, другие — лёгкое чтение для менеджеров, которые хотят «быть в теме». И те, и другие по-своему полезны, но среди них практически отсутствуют книги для практиков, желающих разобраться, как LLM устроены изнутри и как начать использовать их в реальных проектах уже сегодня.

Хочу рассказать, почему растущие бизнес-требования к Time-to-Market, персонализации, 0 FTE in RUN заставили нас пойти на радикальный шаг — разработку собственной платформы управления архитектурой EA Tool. Это не история про замену одного софта на другой, а рассказ о том, как мы создаём «цифровую нервную систему» банка и как переход от изолированного рисования диаграмм (набивших оскомину «квадратиков со стрелками») к управлению цифровым двойником снова меняет нашу профессию.

Десятилетиями для нас, как и для многих на рынке, стандартом де-факто оставались такие вендорские решения, как Alfabet, iServer, Sparx EA и др. Это мощные, «классические» инструменты метамоделирования ИТ-ландшафта с широкой встроенной функциональностью, включающей аналитику текущего и целевого состояния ИТ-ландшафта, в которых годами работали сотни наших спецов. Но сейчас стало очевидно, что созданные десятки лет назад, такие инструменты имеют встроенные ограничения и начинают откровенно тормозить ИИ-революцию.

Создание контента раньше делилось на два лагеря: либо долго и качественно, либо быстро и посредственно. ИИ эту дихотомию сломал. Сегодня нейросети закрывают весь цикл производства контента: тексты, презентации, изображения, видеоскрипты, посты для социальных сетей, академические работы. Причём не в виде заготовки которую потом час правишь, а в виде готового материала который идёт почти без изменений если правильно поставить задачу.

Большинство пользователей нейросетей получают посредственный результат не потому что модель плохая, а потому что запрос сформулирован размыто. «Напиши про маркетинг», «помоги с курсовой», «объясни тему» — это не промпты, это пожелания. Нейросеть не знает кто ты, зачем тебе это, в каком формате нужен результат и что вообще считать хорошим ответом.

Я работаю с Linux больше 15 лет. Начинал с хостинга, где «сервер тормозит» означало зайти по SSH и запустить top. Потом были выделенные серверы, кластеры, Kubernetes. Задачи менялись, но вопрос оставался один и тот же:

Сервер тормозит. Что не так?

За эти годы у меня накопились инструкции, SSH-скрипты, обёртки над vmstat, iostat, ss, perf. Каждый раз, подключаясь к проблемному серверу, я тратил 20-40 минут на одни и те же действия вроде команды top

Это Tier 1 — базовый уровень. Но когда top показывает что всё вроде нормально, а приложение всё равно тормозит, начинается настоящая диагностика.