Kurgan-Telecom Ru | Информационные технологии

Full-stack инженер, в основном специализирующийся на бэкенде, соучредитель и технический директор стартапа Casa Тони Оливерио рассказал о странном и выматывающем опыте собеседования в стартапе в сфере психического здоровья.

В конце нулевых кибербезопасность казалась довольно простым делом: антивирус на конечной точке, файервол на периметре и пентест раз в год. Тогда мало кто мог представить, что хакеры будут подолгу сидеть внутри сетей, маскируясь под легитимные действия, а количество атак на критическую инфраструктуру превысит все мыслимые пределы.

Идея создать коммерческий центр мониторинга угроз зародилась в 2009 году — как предчувствие растущей сложности атак. К апрелю 2012-го она оформилась в конкретный проект. Тогда и появился JSOC как Jet Security Operations Center — проект компании «Инфосистем Джет», то есть еще до основания самого «Солара». Позже он превратился в коммерческий SOC под брендом Solar, а буква «J» в названии сохранилась как дань истории.

Сегодня Solar JSOC — крупнейший коммерческий центр мониторинга и реагирования на кибератаки в России и входит в пятерку крупнейших провайдеров управляемых сервисов кибербезопасности в Европе. Ежедневно мы обрабатываем более 200 млрд ИБ-событий, защищая свыше 1500 заказчиков из госсектора, финансовой отрасли и бизнеса всех масштабов. Работа идет круглосуточно и без выходных. В этом материале расскажем о том, как возникла идея создания JSOC и как работают его специалисты.

Зарплаты джунов в IT обычно невысокие. Работодатели ищут сотрудников с опытом от года даже на начальные позиции, а в вакансиях без опыта нередко предлагают 60-70 тысяч — довольно мало для тех, кто полгода потратил на обучение и вложил в него 100+ тысяч рублей.

Разброс между направлениями огромный. Джун в одной специализации стартует с 60 тысяч рублей, в другой — с 130 тысяч при том же уровне опыта.

Сегодня в статье разберём три самых высокооплачиваемых направления в IT для начинающих — SRE-инженерию, продуктовую аналитику и ML-разработку. Расскажем, чем занимаются специалисты, сколько можно получать и где учиться.

Если вы хоть раз поднимали Laravel-проект в Docker Compose, наверняка сталкивались с ситуацией: контейнер с приложением стартует раньше, чем база данных успевает принять соединения, и миграции падают с ошибкой SQLSTATE[08006] или Connection refused. Перезапустишь — всё работает. На локалке терпимо, но в продакшене — это в падающие деплои.

По умолчанию Docker считает контейнер «живым», если его процесс запущен. Но это не всегда означает, что сервис внутри готов к работе.

Решение — правильно настроенные healthcheck’и и условие depends_on с параметром condition: service_healthy. В этой статье разберём, как это сделать для типичного стека Laravel: PHP-FPM, PostgreSQL, Redis и Nginx.

На странице finalspark.com/live висят четыре снимка. На каждом — чип, к которому подключено четыре круглых комочке человеческой нервной ткани: каждый около полумиллиметра в диаметре, по десять тысяч нейронов внутри. Комочки лежат на электродах в круглосуточном инкубаторе в швейцарском Веве, и любой исследователь, подключенный к платформе, может через Python-API послать в эти электроды сигнал и прочитать отклик.

Делает все это компания FinalSpark, и на главной странице ее сайта написано: «Биокомпьютинг — следующий эволюционный скачок ИИ» и «В миллион раз меньше энергии».

За маркетинговыми формулировками стоит публикация в рецензируемом журнале, около пяти лет инженерной работы, открытая база данных на тридцать с лишним терабайт нейронных записей и несколько университетов, которые ведут на платформе свои эксперименты. Внутри проекта одновременно идет реальная работа и звучат громкие обещания, а отделить одно от другого — самая интересная часть этой истории.

О том, что для нас есть большая разница между «заучить материал» и «натренировать мышечную память = обзавестись навыком» знают все. Каждый проходил это, ощущал это.

В этой статье я подниму вопрос, почему вайб-кодинг буксует, что же мир и ИИ-сообщество делает не так. Я покажу, в каких компонентах LLM запрятана та самая декларативная и процедурная память. Да - она есть в LLM, и в конце статьи есть ссылки на общеизвестные исследования, которые это эмпирически подтверждают.

И да, тут есть что-то полезное «на подумать». Я предложу путь / алгоритм, как собрать нужный датасет и научить LLM не просто «воспроизводить программный код», а привить навык «разработки программного обеспечения», хотя бы в базовом виде.

Локально запустить LLM сегодня можно за десять минут — например, с помощью LM Studio. Но как только модели нужно дать доступ команде, подключить RAG или встроить ее в сервис — такого подхода зачастую недостаточно.

В этой статье мы разберем, как развернуть LLM на сервере, какие ресурсы для этого понадобятся и с какими сложностями можно столкнуться.

Есть в жизни вещи, которые приносят мне и радость, и печаль одновременно. Например, горький шоколад и markdown. Серьёзно, зачем он нужен? В половине случаев мы даже не используем этот язык целиком!

HTML — лучший язык программирования!

Вы наверняка слышали о людях, которые говорят, что из языков программирования знают только HTML. Да, все мы в этот момент закатывали глаза и пытались доказать, что HTML — это только язык разметки, а не программирования.

Да, наверно, мы правы, но у того, кто так говорит, есть то, чего нет у нас.

Нормальная жизнь.

[Примечание] Когда я говорю о markdown, то имею в виду конкретно CommonMark, если не указано иное. Дело в том, что это неоднозначная спецификация синтаксиса. Я люблю этот проект и ценю усилия разработчиков. Поломана не спецификация, а сам язык.

Мир frontend-разработки за последние несколько лет изменился коренным образом. Если еще пять лет назад стандартом де-факто были одностраничные приложения (SPA), где вся логика выполнялась в браузере, а сервер был просто REST API, то сегодня мы наблюдаем массовый переход к гибридным архитектурам. Next.js с его Server Components и Server Actions стал не просто популярным фреймворком, а промышленным стандартом для enterprise-приложений.

Этот переход принес с собой множество преимуществ: улучшенную производительность, лучший SEO, упрощенную разработку. Однако он же изменил и модель угроз, с которыми сталкиваются разработчики. Привычные методы защиты, основанные на JWT в заголовках и CORS-политиках, больше не обеспечивают полную безопасность. Серверная логика теперь исполняется в непосредственной близости от клиента, а граница между фронтендом и бэкендом стала размытой (для некоторых сценариев).

По данным исследований Snyk и других security-вендоров, 39% облачных средств содержали уязвимые версии React и Next.js в 2024-2025 годах. Это не просто статистика. Это реальные приложения, обрабатывающие данные пользователей, платежную информацию и конфиденциальные бизнес-данные. Уязвимость CVE-2025-55182, получившая максимальный рейтинг CVSS 10.0, показала, насколько критичными могут быть последствия недостаточного внимания к безопасности в современных frontend-приложениях.

React Server Components (RSC) стали новым стандартом, но вместе с ними пришли новые векторы атак. Server Actions, предоставляющие удобный способ вызова серверной логики прямо из компонентов, фактически являются публичными HTTP-эндпоинтами. При неправильной конфигурации они могут стать лазейкой для злоумышленников. Традиционный подход security through obscurity здесь не работает: скрытие эндпоинтов не защитит от целенаправленного перебора.

Kubernetes ближе к Linux: много компонентов, контроллеров, CRD, операторов и внешних проектов собираются в живую экосистему. Сила там в открытом расширении и конкуренции подходов. Torque я пытаюсь делать ближе к FreeBSD и SQLite: меньше россыпи деталей наружу, больше «батарейки включены», единая система с документацией, доказательствами, логами и объяснениями внутри. Но начинался проект с инстурмента для дебега поэтому давайте рассмотрим как использовать Torque для отладки в k8s.

Две сцены, которые видел в разных компаниях в последний год.

Сцена первая. На стене в кабинете директора по ИТ висит большой телек, на нём дашборд: «Availability 99.83%», зелёные плашки, всё хорошо. В этот же момент этажом ниже бухгалтерия пишет в поддержку: «1С зависла, не можем закрыть смену». Дашборд не врёт — 99.83% хостов реально доступны. Просто из этих хостов 78 — тестовые стенды, 12 — резервные узлы, и ещё пачка в SCADA‑сегменте, который вообще про другое.

Сцена вторая. Заходишь в Zabbix новой компании после предыдущего админа. Четыре тысячи хостов, двенадцать тысяч триггеров, средний возраст триггера три года. Runbook'ов нет. У всего severity High. Алерты падают в один телеграм‑чат на пятьдесят человек, который дежурный молча мьютит первым делом после прихода на смену.

Если хоть одна сцена узнаваемая — статья для вас. Это попытка структурировать ошибки, на которых ломается большинство Zabbix‑инсталляций в крупных компаниях с 1С, Exchange, SCADA, legacy‑Windows‑стеком и КИИ‑сегментами.

Это не учебник и не пошаговая инструкция — каталог граблей из практики работы с крупной разнородной инфрой: 1000+ хостов, 1С, SCADA, КИИ‑сегменты, legacy Zabbix от предшественников. На облачной 20-хостовой инсталляции половина пунктов будет избыточна. Конкретные пороги (CPU > 85%) — отправная точка, не догма. Если текст расходится с реальностью — побеждает реальность.

Предисловие. Немного философское

Недавно в российском информационном пространстве прогремело заявление заместителя Председателя Правительства России Ю.П. Трутнева, сделанное на 10-ой российско-китайской выставке ЭКСПО в Харбине:

В этом обзоре мы разобрали шесть самых актуальных нейросетей для ИИ фото — Nano Banana Pro, GPT Image 2, Higgslied Soul, Seedream 5.0, Nano Banana 2 и FLUX — и честно рассказали, где каждая нейросеть для генерации фото работает на максимум, а где спотыкается. Для сравнения во всех шести генераторах картинок и ИИ фото мы использовали один и тот же промпт.

Сколько не оптимизируй бизнес-процессы, в них всегда остается какое-то узкое место, которое может застопорить всю работу. Знакомая ситуация? Но самое неприятное, что этот «засор» иногда очень сложно найти. В обновлении 1.9 платформы BPMSoft, о нем мы рассказывали вот тут, появилась тепловая карта бизнес-процессов (БП). Это инструмент визуальной аналитики, позволяющий оценивать эффективность исполнения БП с помощью цветовой индикации: от «холодного» к «горячему». С его помощью можно анализировать всю ветку процесса или его отдельные элементы за выбранный период – по среднему времени выполнения, количеству ошибок и нагрузке на конкретные узлы. Я, Павел Копельман, product owner направления BPMS в компании BPMSoft (ИТ-холдинг LANSOFT) расскажу о том, как эта технология работает и где может реально помочь.

Привет! Меня зовут Руслан, я инженер в отделе развития процессов безопасности в YADRO. Сегодня поговорим об открытом исходном коде (open source). В мире современной разработки он используется практически в каждом приложении: open source-библиотеки, фреймворки и компоненты помогают ускорить разработку и сделать ее гораздо более удобной. 

Но есть проблема: каждая зависимость — это не только «плюшки», но и дополнительные риски. Если в open source, который вы используете, появится уязвимость, придется срочно ее устранять — и вряд ли на это уйдет пара минут. Еще есть юридические риски — например, автор open source может направить вам запрос на раскрытие той части кода, которую вы модифицировали, а для вас это может оказаться конфиденциальной информацией. В итоге предоставить часть кода вы не сможете, а другая сторона будет иметь полное право обратиться в суд.

Таких рисков как раз и помогает избежать анализ открытого исходного кода (Open Source Analysis, OSA). Давайте разбираться, что это такое и как его выполнять.

С ростом сложности рабочих нагрузок инференса больших языковых моделей (LLM) единый монолитный процесс обслуживания упирается в свои пределы. У префилла и декодирования принципиально разные профили вычислений, но традиционные развёртывания заставляют их работать на одном оборудовании. В итоге GPU недозагружены, а масштабирование — негибкое.

Дезагрегированный инференс решает эту проблему: разбивает конвейер на отдельные этапы — префилл, декодирование и маршрутизацию. Каждый этап работает как независимый сервис, который можно обеспечивать ресурсами и масштабировать на собственных условиях.

Команда VK Cloud перевела статью, в которой разбирается, как развернуть дезагрегированный инференс в Kubernetes. Здесь мы посмотрим на разные решения экосистемы, как они работают в кластере и что дают «из коробки».

Если вбить «как стать go разработчиком» в поисковую строку, можно найти миллион курсов по данному направлению. Проблема в том, что почти все курсы являются платными и, как правило, стоят несколько десятков, если не сотен тысяч рублей. 

Чтобы разбавить данную ситуацию, мы с Go-разработчиком Валерием Лаптевым подготовили для вас программу обучения «Go-разработчик с нуля», которая состоит только из бесплатных курсов.

Привет, Хабр! Сегодня мы поговорим о реализации базовой версии эмулятора консоли NES на отечественном микроконтроллере К1921ВГ1Т и даже поиграем на нём в игры.

В ML легко перепутать аккуратное число с честной вероятностью: модель выдаёт predict_proba = 0.9, и кажется, что событие произойдёт в 90% случаев. Но это не всегда так.

В статье разбираем, почему выход модели может быть просто внутренней оценкой уверенности, чем калибровка отличается от AUC, как увидеть смещение через reliability diagram и Brier score — и когда вероятности нужно обязательно калибровать, прежде чем использовать их в бизнес‑решениях.

Привет, Хабр! На связи Юрий Власенко, Senior DevOps инженер в РТЛабс. Сегодня я расскажу о том, как наша команда автоматизировала сложный, бюрократизированный и многоуровневый релизный процесс компании и превратила его в тестируемый объектно-ориентированный код на Groovy (Jenkins).