Kurgan-Telecom Ru | Информационные технологии

Большинство статей про Product Owner написаны про один архетип: есть пользователь, есть фича, есть дашборд с DAU. Я Internal PO в банке — управляю бэковым оркестратором заявки на автокредит, и моя реальность устроена иначе.

Когда меня спрашивают, чем занимаюсь, я говорю: управляю продуктом. Дальше идёт стандартный вопрос «О, что за приложение?», и я делаю паузу. Мой продукт — сервис, через который проходит каждая заявка на автокредит: от первого клика в мобильном приложении до момента, когда документы уходят в архив. Он живёт между фронтовыми каналами (мобильное приложение, веб-версия, фронт-приложение дилерских центров) и почти двумя десятками смежных систем банка. Если он встаёт, процесс автокредитования встаёт целиком. Но его никогда никто не видел: экрана нет, кнопки нет, «нельзя пощупать».

Моя должность — Internal PO. На Habr про эту роль почти ничего не написано. Под катом — про то, что считаешь продуктом, когда твои пользователи сидят внутри компании; про три ловушки, в которые попадаешь в первый год; и про инструменты, которые реально помогают сделать ценность внутреннего продукта видимой для бизнеса.

Часто бывает такая ситуация, что вы разрабатываете прошивку для электронной платы у которой есть ADC порты.

Рано или поздно Вам придется как-то убедиться, что ADC в самом деле измеряют то напряжение, что приложено со стороны улицы.

И тут выясняется, что нужен прибор, который способен по команде выставлять на проводе разнообразные постоянные напряжения. Таким прибором является любой нормальный лабораторный блок питания.

В жизни каждого разработчика иногда приходится рассматривать бинарные файлы через специальные HEX-редакторы.

Мы открываем его, видим три колонки цифр и букв, и кажется что все предельно ясно-понятно. Но почему адреса считаются шестнадцатеричными, что такое ниббл и зачем он вообще нужен? В этой статье мы не просто напишем свой hex-редактор на Python — мы разберем, как он устроен, от битового представления до цветовой подсветки. Выясним, чем подсветка по нибблам отличается от подсветки по категориям байтов, и почему градиенты в hex-дампе — это не просто украшение, а рабочий инструмент.

Также мы изучим, какие практики и паттерны используются при написании редактора — от mmap для чтения файла до интерпретации байтов.

Будет и код, и архитектура, и результат, и практика.

Вчера был день рождения Хабра, 20 лет. Нашу компанию тоже пригласили на юбилей и мне в отделе предложили сходить.

Если честно, я редко посещаю подобные мероприятия, обычно нахожусь за кадром. Но в этот раз подумал, что это неплохой повод выбраться из офиса и пообщаться с людьми вживую. Плюс тематика и дресс-код события показались интересными, IT-дача будущего.

Надел свою самую яркую рубашку, чтобы было веселее и задорнее, и поехал.

Вы тоже думаете, что облачная касса — это просто программа, которая существует только в виртуальной реальности, и в ней нет ни грамма «железа»? А если найдем? 

Привет, Хабр, на связи команда ITSM 365. В этой статье вместе с Ренатом Саитовым, директором по продукту АТОЛ Онлайн, развенчаем распространенные мифы об облачных кассах, расскажем, как провайдер онлайн-касс использует нашу сервис деск систему, и ответим на нетипичные вопросы, которые задавали клиенты в техподдержку провайдера.

История о том, как один странный git push оказался началом расследования, которое вывело меня не на один взломанный аккаунт, а на цепочку зараженных репозиториев и проектов.

Снаружи все выглядело почти нормально: знакомый автор, знакомый коммит, привычные файлы. Но внутри последнего коммита уже жил чужой обфусцированный JavaScript. Он прятался в конфиге, менял Git-историю и маскировался под обычную работу разработчика.

Первой версией был взлом моего GitHub, но смена ключей и паролей ничего не решила.

Потом след вывел на другого разработчика, потом еще на несколько проектов, и картина стала намного неприятнее.

Это оказалась PolinRider-like supply chain атака, которая использует сам developer workflow как транспорт.

В статье я разбираю, какие мелкие странности помогли заметить проблему и почему им нельзя махать рукой.

Показываю реальные скриншоты, подозрительные изменения в .gitignore и payload внутри babel.config.js.

В конце оставил скрипты, которые могут помочь быстро проверить свои проекты и логи на PolinRider похожие признаки.

На рынке десятки инструментов оценки сотрудников, но у каждого свой потолок точности, стоимость и сценарий применения. Разберем пять методов, которые реально используют компании, и посмотрим, где каждый из них полезен, а где создает иллюзию контроля.

Full-stack инженер, в основном специализирующийся на бэкенде, соучредитель и технический директор стартапа Casa Тони Оливерио рассказал о странном и выматывающем опыте собеседования в стартапе в сфере психического здоровья.

В конце нулевых кибербезопасность казалась довольно простым делом: антивирус на конечной точке, файервол на периметре и пентест раз в год. Тогда мало кто мог представить, что хакеры будут подолгу сидеть внутри сетей, маскируясь под легитимные действия, а количество атак на критическую инфраструктуру превысит все мыслимые пределы.

Идея создать коммерческий центр мониторинга угроз зародилась в 2009 году — как предчувствие растущей сложности атак. К апрелю 2012-го она оформилась в конкретный проект. Тогда и появился JSOC как Jet Security Operations Center — проект компании «Инфосистем Джет», то есть еще до основания самого «Солара». Позже он превратился в коммерческий SOC под брендом Solar, а буква «J» в названии сохранилась как дань истории.

Сегодня Solar JSOC — крупнейший коммерческий центр мониторинга и реагирования на кибератаки в России и входит в пятерку крупнейших провайдеров управляемых сервисов кибербезопасности в Европе. Ежедневно мы обрабатываем более 200 млрд ИБ-событий, защищая свыше 1500 заказчиков из госсектора, финансовой отрасли и бизнеса всех масштабов. Работа идет круглосуточно и без выходных. В этом материале расскажем о том, как возникла идея создания JSOC и как работают его специалисты.

Зарплаты джунов в IT обычно невысокие. Работодатели ищут сотрудников с опытом от года даже на начальные позиции, а в вакансиях без опыта нередко предлагают 60-70 тысяч — довольно мало для тех, кто полгода потратил на обучение и вложил в него 100+ тысяч рублей.

Разброс между направлениями огромный. Джун в одной специализации стартует с 60 тысяч рублей, в другой — с 130 тысяч при том же уровне опыта.

Сегодня в статье разберём три самых высокооплачиваемых направления в IT для начинающих — SRE-инженерию, продуктовую аналитику и ML-разработку. Расскажем, чем занимаются специалисты, сколько можно получать и где учиться.

Если вы хоть раз поднимали Laravel-проект в Docker Compose, наверняка сталкивались с ситуацией: контейнер с приложением стартует раньше, чем база данных успевает принять соединения, и миграции падают с ошибкой SQLSTATE[08006] или Connection refused. Перезапустишь — всё работает. На локалке терпимо, но в продакшене — это в падающие деплои.

По умолчанию Docker считает контейнер «живым», если его процесс запущен. Но это не всегда означает, что сервис внутри готов к работе.

Решение — правильно настроенные healthcheck’и и условие depends_on с параметром condition: service_healthy. В этой статье разберём, как это сделать для типичного стека Laravel: PHP-FPM, PostgreSQL, Redis и Nginx.

На странице finalspark.com/live висят четыре снимка. На каждом — чип, к которому подключено четыре круглых комочке человеческой нервной ткани: каждый около полумиллиметра в диаметре, по десять тысяч нейронов внутри. Комочки лежат на электродах в круглосуточном инкубаторе в швейцарском Веве, и любой исследователь, подключенный к платформе, может через Python-API послать в эти электроды сигнал и прочитать отклик.

Делает все это компания FinalSpark, и на главной странице ее сайта написано: «Биокомпьютинг — следующий эволюционный скачок ИИ» и «В миллион раз меньше энергии».

За маркетинговыми формулировками стоит публикация в рецензируемом журнале, около пяти лет инженерной работы, открытая база данных на тридцать с лишним терабайт нейронных записей и несколько университетов, которые ведут на платформе свои эксперименты. Внутри проекта одновременно идет реальная работа и звучат громкие обещания, а отделить одно от другого — самая интересная часть этой истории.

О том, что для нас есть большая разница между «заучить материал» и «натренировать мышечную память = обзавестись навыком» знают все. Каждый проходил это, ощущал это.

В этой статье я подниму вопрос, почему вайб-кодинг буксует, что же мир и ИИ-сообщество делает не так. Я покажу, в каких компонентах LLM запрятана та самая декларативная и процедурная память. Да - она есть в LLM, и в конце статьи есть ссылки на общеизвестные исследования, которые это эмпирически подтверждают.

И да, тут есть что-то полезное «на подумать». Я предложу путь / алгоритм, как собрать нужный датасет и научить LLM не просто «воспроизводить программный код», а привить навык «разработки программного обеспечения», хотя бы в базовом виде.

Локально запустить LLM сегодня можно за десять минут — например, с помощью LM Studio. Но как только модели нужно дать доступ команде, подключить RAG или встроить ее в сервис — такого подхода зачастую недостаточно.

В этой статье мы разберем, как развернуть LLM на сервере, какие ресурсы для этого понадобятся и с какими сложностями можно столкнуться.

Есть в жизни вещи, которые приносят мне и радость, и печаль одновременно. Например, горький шоколад и markdown. Серьёзно, зачем он нужен? В половине случаев мы даже не используем этот язык целиком!

HTML — лучший язык программирования!

Вы наверняка слышали о людях, которые говорят, что из языков программирования знают только HTML. Да, все мы в этот момент закатывали глаза и пытались доказать, что HTML — это только язык разметки, а не программирования.

Да, наверно, мы правы, но у того, кто так говорит, есть то, чего нет у нас.

Нормальная жизнь.

[Примечание] Когда я говорю о markdown, то имею в виду конкретно CommonMark, если не указано иное. Дело в том, что это неоднозначная спецификация синтаксиса. Я люблю этот проект и ценю усилия разработчиков. Поломана не спецификация, а сам язык.

Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложения (SPA), где вся логика выполнялась в браузере, а сервер был просто REST API, то сегодня мы наблюдаем массовый переход к гибридным архитектурам. Next.js с его Server Components и Server Actions стал не просто популярным фреймворком, а промышленным стандартом для enterprise-приложений.

Этот переход принес с собой множество преимуществ: улучшенную производительность, лучший SEO, упрощенную разработку. Однако он же изменил и модель угроз, с которыми сталкиваются разработчики. Привычные методы защиты, основанные на JWT в заголовках и CORS-политиках, больше не обеспечивают полную безопасность. Серверная логика теперь исполняется в непосредственной близости от клиента, а граница между фронтендом и бэкендом стала размытой (для некоторых сценариев).

По данным исследований Snyk и других security-вендоров, 39% облачных средств содержали уязвимые версии React и Next.js в 2024-2025 годах. Это не просто статистика. Это реальные приложения, обрабатывающие данные пользователей, платежную информацию и конфиденциальные бизнес-данные. Уязвимость CVE-2025-55182, получившая максимальный рейтинг CVSS 10.0, показала, насколько критичными могут быть последствия недостаточного внимания к безопасности в современных frontend-приложениях.

React Server Components (RSC) стали новым стандартом, но вместе с ними пришли новые векторы атак. Server Actions, предоставляющие удобный способ вызова серверной логики прямо из компонентов, фактически являются публичными HTTP-эндпоинтами. При неправильной конфигурации они могут стать лазейкой для злоумышленников. Традиционный подход security through obscurity здесь не работает: скрытие эндпоинтов не защитит от целенаправленного перебора.

Kubernetes ближе к Linux: много компонентов, контроллеров, CRD, операторов и внешних проектов собираются в живую экосистему. Сила там в открытом расширении и конкуренции подходов. Torque я пытаюсь делать ближе к FreeBSD и SQLite: меньше россыпи деталей наружу, больше «батарейки включены», единая система с документацией, доказательствами, логами и объяснениями внутри. Но начинался проект с инстурмента для дебега поэтому давайте рассмотрим как использовать Torque для отладки в k8s.

Две сцены, которые видел в разных компаниях в последний год.

Сцена первая. На стене в кабинете директора по ИТ висит большой телек, на нём дашборд: «Availability 99.83%», зелёные плашки, всё хорошо. В этот же момент этажом ниже бухгалтерия пишет в поддержку: «1С зависла, не можем закрыть смену». Дашборд не врёт — 99.83% хостов реально доступны. Просто из этих хостов 78 — тестовые стенды, 12 — резервные узлы, и ещё пачка в SCADA‑сегменте, который вообще про другое.

Сцена вторая. Заходишь в Zabbix новой компании после предыдущего админа. Четыре тысячи хостов, двенадцать тысяч триггеров, средний возраст триггера три года. Runbook'ов нет. У всего severity High. Алерты падают в один телеграм‑чат на пятьдесят человек, который дежурный молча мьютит первым делом после прихода на смену.

Если хоть одна сцена узнаваемая — статья для вас. Это попытка структурировать ошибки, на которых ломается большинство Zabbix‑инсталляций в крупных компаниях с 1С, Exchange, SCADA, legacy‑Windows‑стеком и КИИ‑сегментами.

Это не учебник и не пошаговая инструкция — каталог граблей из практики работы с крупной разнородной инфрой: 1000+ хостов, 1С, SCADA, КИИ‑сегменты, legacy Zabbix от предшественников. На облачной 20-хостовой инсталляции половина пунктов будет избыточна. Конкретные пороги (CPU > 85%) — отправная точка, не догма. Если текст расходится с реальностью — побеждает реальность.

Предисловие. Немного философское

Недавно в российском информационном пространстве прогремело заявление заместителя Председателя Правительства России Ю.П. Трутнева, сделанное на 10-ой российско-китайской выставке ЭКСПО в Харбине:

В этом обзоре мы разобрали шесть самых актуальных нейросетей для ИИ фото — Nano Banana Pro, GPT Image 2, Higgslied Soul, Seedream 5.0, Nano Banana 2 и FLUX — и честно рассказали, где каждая нейросеть для генерации фото работает на максимум, а где спотыкается. Для сравнения во всех шести генераторах картинок и ИИ фото мы использовали один и тот же промпт.