Обновить
16K+
117,88
Рейтинг
54 172
Подписчики
Сначала показывать

False positive под небом цвета телевизора, настроенного на мертвый канал

Уровень сложностиСредний
Время на прочтение14 мин
Охват и читатели8.4K

В «Ростелекоме», как в любом крупном корпоративном контуре, SAST-поток исчисляется тысячами срабатываний. Ручной триаж перестает быть инженерной работой и становится конвейером. Привет Хабр, меня зовут Юрий Туманов, я AppSec-инженер в блоке ИБ «Ростелекома». Хочу рассказать о том, как я выполнял инференс на локальных моделях, в полной цифровой изоляции от внешнего мира.

Все числа получены на конкретном корпусе, модели и наборе промптов; внутренний контур, названия систем, пути и значения секретов обезличены. Это не бенчмарк «LLM пыротив SAST», а отчет о том, где локальная модель реально помогает, а где честно отдает работу человеку.

Читать далее

Режим киоска в «Аврора Центр»: устройство под рабочую задачу

Время на прочтение4 мин
Охват и читатели5.9K

Всем привет! Меня зовут Александр Конин, я продакт-менеджер «Аврора Центр». Наша платформа управляет устройствами на Авроре, Android и российских дистрибутивах Linux. Недавно вышло обновление 5.6, в котором мы активно развивали режим киоска. Для устройств на ОС Аврора его впервые можно настроить централизованно, прямо из консоли «Аврора Центр». Администратор сам выбирает, какие приложения остаются доступны сотруднику, а всё остальное на устройстве будет недоступно. На Android мы это умели и раньше, в 5.6 были добавлены новые сценарии моно-киоска.

ОС Аврора с самого начала разрабатывалась под задачи больших корпораций и госсектора, а не для обычных пользователей. Но платформа росла, множилось количество внедрений и устройство обрастало возможностями: появилась поддержка кроссплатформенной разработки на Flutter и Kotlin Multiplatform, ширилась экосистема приложений и появился RuStore. Смартфон на Авроре стал таким же универсальным, как любой другой. А бизнесу в ряде сценариев нужно обратное: чтобы устройство выполняло только одну задачу, оставляло доступными сотруднику только рабочие приложения и самостоятельно запускало их при старте работы. И если раньше на устройстве с Авророй список доступных приложений можно было ограничить только вручную, то теперь это возможно и централизованно, через «Аврора Центр» в релизе 5.6.

Отдельный класс устройств

Устройства под одну рабочую задачу давно используются в российском бизнесе: сканеры и терминалы на складах, телефоны у курьеров, планшеты у выездных сотрудников и в отделениях банков. Такой класс устройств привычен для крупного бизнеса, и требование к нему одно: смартфон или планшет должен выполнять только заданную роль, не отвлекать сотрудников на «сторонние возможности» и не разряжать из-за них батарею, необходимую для прямых обязанностей.

Читать далее

Как перестать гадать и начать проверять: гипотезы в работе

Уровень сложностиПростой
Время на прочтение6 мин
Охват и читатели6K

В 2025 году группа японских исследователей выдвинули гипотезу: если нанести на тело коровы чёрно-белые полосы, как у зебры, то количество укусов кровососущих мух сократится. Учёные создали три группы японских чёрных коров: неокрашенных, с чёрными полосами на белом фоне и с белыми полосами на чёрном фоне — полную имитацию зебры. Результат: у коров, раскрашенных как зебры, количество укусов снизилось на 50%. Именно такое чередование цветов, а не просто полоски, сбивало мух с толку. Но увы, за этот эксперимент с коровами-зебрами ученые получили лишь Шнобелевскую премию по биологии. Есть ощущение, что их явно недооценили...

Читать далее

Сертификат ФСТЭК, реестр ПО и ГОСТ: что банк проверяет при выборе MDM

Время на прочтение6 мин
Охват и читатели6.9K

Банки все чаще выдают сотрудникам рабочие смартфоны и планшеты для осуществления непосредственных рабочих функций. На таких устройствах настроена почта, VPN и установлены рабочие приложения с доступом в банковские системы. Чтобы этот парк устройств не стал дырой в безопасности, его держат под централизованным управлением через MDM-систему (Mobile Device Management, «система управления мобильными устройствами»), в рамках которой с одной веб-консоли администратор может настраивать устройства, обновлять приложения и ОС на них, а также удаленно блокировать устройства или какой-то функционал на них.

Для банков - это не желание их службы безопасности, а требование регулятора. В 2025 году Банк России Положением № 851-П обязал их использовать такую систему, причем сертифицированную ФСТЭК, и подтверждать ее соответствие национальному стандарту ГОСТ Р 57580.

Выбирая или обновляя MDM-платформу, банк смотрит на три вещи сразу. Во-первых, продукт должен быть в реестре отечественного ПО, без этого его нельзя применять в объектах критической информационной инфраструктуры (КИИ), а банковские системы как раз к ней относятся. Во-вторых, он должен быть безопасным и подтверждать это действущим сертификатом ФСТЭК (Федеральной службы по техническому и экспортному контролю - это регулятор, который проверяет средства защиты). В-третьих, у него должно хватать функций - и это проверяется по ГОСТу и внутренним требованиям самого банка.

Когда мы, как разработчик «Аврора Центр», приходим к банку с предложением об использовании нашего продукта, в рамках оценки на соответствие мы проходим ряд этапов, включая тестирование на соответствие ГОСТу. И банк присылает не просто вопрос «каким пунктам вы соответствуете», а расширяет его: «мы отправляем больше тысячи устройств в разные города, не распаковывая,— как вы обеспечите активацию без root-доступа?»; «можно ли настроить белый список сайтов?». И здесь важно различать: сертификат ФСТЭК на продукт и соответствие продукта ГОСТу это разные вещи, и их часто смешивают при первичной оценке.

Читать далее

10 лет в индустрии: как Авроре удалось сделать лучшую поддержку разработчиков в России

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели7.4K

В апреле этого года «Открытой мобильной платформе» исполнилось 10 лет. За это время мы прошли путь от запуска первой версии ОС до зрелой экосистемы, в которой партнёры-разработчики играют важную роль, ведь они являются соавторами продукта. И как подтверждение успеха данного подхода, в мае в Омске мы получили награду «За лучшую поддержку разработчика среди российских ОС» на «ДевФест 26».

Я руковожу департаментом развития мобильной среды, и за эти десять лет мы несколько раз ломали и заново выстраивали процессы взаимодействия с разработчиками приложений. Поэтому эта награда столь важна – она показывает, что выбранный подход работает. В этой статье я расскажу, как техническая поддержка разработчиков превратилась в инженерную функцию, как запросы партнёров напрямую меняют ОС, и почему мы готовы перестраивать внутренние процессы ради комфортной работы команд.

Читать далее

Кастомный пайплайн BERTopic: как кластеризовать тексты и получить интерпретируемые темы с помощью LLM

Уровень сложностиСредний
Время на прочтение30 мин
Охват и читатели12K

Привет, Хабр! Меня зовут Антон и я занимаюсь задачами NLP в компании Ростелеком Информационные технологии.

Если вам приходилось разбирать большие массивы текстов: отзывов, обращений в поддержку или комментариев, то вы знаете, насколько это трудоемкий процесс.

В статье я покажу, как автоматизировать этот процесс с помощью пайплайна BERTopic: от эмбеддингов и кластеризации до интерпретации тем. Особое внимание уделим тому, как встроить локальную LLM в пайплайн и получить человекочитаемые названия тем.

Читать далее

Hooks в LLM-агентах: детерминизм, инъекция контекста и контроль над жизненным циклом

Уровень сложностиСредний
Время на прочтение21 мин
Охват и читатели8K

Хуки — это детерминированный код, который выполняется в строго заданных точках жизненного цикла LLM-агента: до и после tool call, на старте сессии, перед компактификацией контекста и т. д. Они превращают недетерминированного агента в систему, обязанную пройти ваши gates — lint, typecheck, secrets-scan — прежде чем что-либо записать. В статье разбираем модель жизненного цикла агента, каталог событий и matcher’ов Claude Code, контракт stdin/stdout JSON, ключевой паттерн PreToolUse gate на ESLint, вопросы безопасности и supply chain, а также отличия от CLAUDE.md, MCP-серверов и кастомных tools.

Читать далее

“Я потерял контекст”, или еще один инструмент для тестировщиков

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели7.3K

Это была пятница, шесть вечера. Я сидел перед монитором и чувствовал себя следователем, который зашёл в тупик.

Три часа назад я нашёл странное поведение в приложении. Открыл Jira, но пока заполнял поля — мысль ушла. На рабочем столе уже лежало 15 скриншотов с именами вроде «Снимок экрана 154312.png». Я открыл их наугад, но уже не помнил, к какому запросу какой относится.

«Я потерял контекст». Баг есть, даже помню, как воспроизвести. Но чтобы восстановить цепочку «действие → реакция сервера → скриншот → вывод» — нужен ещё час.

 

Знакомо? Я инженер по тестированию, работаю со сложными продуктовыми сценариями, где один баг тянет за собой цепочку из запросов, скриншотов и логов. И с этим сталкиваюсь регулярно.

Проблема не в том, чтобы найти баг. Проблема — зафиксировать ход рассуждений вместе со всеми артефактами так, чтобы через неделю не пришлось восстанавливать контекст с нуля.

Меня зовут Александр. Я перепробовал Jira, Confluence, Notion и просто папки на диске. Всё либо медленно, либо хаотично, либо зависит от интернета. Поэтому я собрал свой локальный редактор — под себя, под тестирование. Делюсь историей и кейсом.

Инструмент я выложил в открытый доступ, ссылка будет в конце. Это не продажа, не условно-бесплатно и не лидогенерация. Просто рабочий пет-проект, которым я сам пользуюсь каждый день.

Читать далее

Эксперименты с распараллеливанием Java-автотестов

Уровень сложностиСредний
Время на прочтение11 мин
Охват и читатели9K

За годы работы сначала разработчиком, а потом автоматизатором сталкивался с необходимостью запускать тесты параллельно. Действовал в основном интуитивно и шёл строго по документации. Недавно закралась мысль поставить серию экспериментов и посмотреть фактам в глаза. Результаты оказались предсказуемые, но тем не менее интересными.

Эта статья для тех, кто делает первые шаги в распараллеливании тестов на Java. Будет полезна как автотестерам, так и начинающим разработчикам.

Будем анализировать выводы полученные в ходе эксперимента, а не голую теорию из документации. После прочтения сможете повторить все самостоятельно как на готовом примере из статьи, так и на своих проектах.

Читать далее

Мой путь к качественному сну после перехода на удаленку: изучаю, тестирую, применяю

Уровень сложностиПростой
Время на прочтение10 мин
Охват и читатели6.9K

Всем привет. Меня зовут Ольга. Я работаю системным аналитиком в РТК ИТ.

Почему я занялась улучшением своего сна? Три месяца карантина в 2020 году стали для меня своего рода тестированием работы на удаленке. Тестирование прошло успешно, и последующие месяцы я занималась поиском возможностей сделать этот вариант работы основным, что привело в итоге к смене не только рода деятельности, но и компании. И вот с начала 2022 года я полностью перешла на удаленку. Многие удаленщики наверняка знают и ощущали на себе, что такой формат работы оказывает влияние на все сферы жизни и требует определенного уровня дисциплины во многих моментах. Конечно же, это не может не затронуть и тему сна.

Читать далее

Аврора Центр: как мы помогаем банкам собирать биометрию на отечественных устройствах

Время на прочтение10 мин
Охват и читатели6.8K

Всем привет! Меня зовут Александр Конин, я продакт-менеджер «Аврора Центр». Платформа управляет устройствами на Авроре, Android и российских дистрибутивах Linux, но в этой статье речь пойдёт о банках и биометрии.

Два банка из ТОП-5 уже собирают биометрию на устройствах с Авророй, управляемых через «Аврора Центр». Ещё в нескольких крупнейших банках идёт пилотирование.

За последние годы внедрений платформы управления устройствами мы уже отработали техническую часть требований, а вот особенности, связанные с внутренними регламентами каждого банка, часто бывают новые.

В этой статье я расскажу, как это выглядит на практике, с какими задачами мы столкнулись при внедрении и что из нашего опыта пригодится при выборе MDM-системы.

Читать далее

UI + API как единый интеграционный контур

Уровень сложностиПростой
Время на прочтение4 мин
Охват и читатели5.5K

Если вы уже имели опыт написания Ul-тестов для проверки страниц и форм, то, вероятно, задумывались: "Почему бы не протестировать весь сценарий целиком?" Так родилась идея делиться опытом, как мы внедрили подобный подход: начиная с первых шагов, объясняя, почему объединили UI, АРІ и SSH в единый интеграционный контур, и какие инструменты используем.

Читать далее

В инфобез со студенческой скамьи: как пройти фейсконтроль рекрутера, если ты джун

Уровень сложностиПростой
Время на прочтение5 мин
Охват и читатели7.5K

Типичное утро рекрутера ИТ-корпорации: открываю папку с резюме на позицию специалиста первой линии мониторинга и реагирования. Десятки файлов пестрят одними и теми же фразами: «фриланс», «учебный проект», «дипломная работа». Пролистываю их, ставлю галочку «опыт отсутствует» и переключаюсь на другие задачи.

Обидно? Еще бы. Ведь за этими скучными строчками скрываются будущие профессионалы — те, кто уже в теме кибербеза, готов хоть сейчас включиться в работу и очень ждет свой первый шанс. Однако, вероятно, они еще не научились правильно упаковывать свой (пусть и небольшой) опыт.

Привет, Хабр! Я Ольга Лапшина, HR-бизнес-партнер блока информационной безопасности «Ростелекома». В этой статье расскажу, как написать о своей летней практике или подработке так, чтобы рекрутер заметил резюме и пригласил на собеседование именно тебя.

Читать далее

Вайб-кодинг: конструктор для профи или магия для «чайников»? Разбираемся на реальном кейсе

Уровень сложностиПростой
Время на прочтение6 мин
Охват и читатели7.1K

«Вайб‑кодинг». Ещё несколько месяцев назад это словосочетание вызывало улыбку, а сегодня оно собирает тысячи запросов в поисковиках и миллионы просмотров.

Но что это на самом деле? Очередная нашумевшая методика, которая учит писать код «не вручную», или реальный инструмент для быстрого создания продуктов? Особенно это интересно тем, кто далёк от программирования, но хочет попробовать себя в роли создателя.

Читать далее

Ближайшие события

Кривая хайпа Гартнера: 30 лет измерения ожиданий

Уровень сложностиПростой
Время на прочтение11 мин
Охват и читатели4.8K

В прошлом году кривая хайпа Гартнера мелькала буквально везде. На совещаниях, в телеграм‑каналах, в презентациях коллег. Кто‑то размахивал ей как аргументом: «Смотрите, генеративный ИИ на пике, скоро всех накроет разочарование!» Кто‑то, наоборот, доказывал, что модель устарела и ничего не предсказывает. Спорили все, разбирался мало кто.

Я тогда каждый раз думал: надо бы сесть и нормально разобраться, что это за кривая, откуда взялась, и правда ли она работает. Руки дошли только сейчас. Зато получилось основательно: с историей, с разбором конкретных отчётов и с честным ответом на вопрос, стоит ли вообще ей доверять.

Читать далее

LLM в инструментах Data Governance и их практическое применение

Уровень сложностиПростой
Время на прочтение7 мин
Охват и читатели7K

В статье подробно описывается как и в каких условиях принималось решение о внедрении Искусственного интеллекта в инструмент Data Governance. Какие критерии повлияли на выбор технического стека. Какую пользу принесли LLM в продут управления данными.

Читать далее

Интеграционные тесты: когда UI-автотесты проверяют не только кнопки, но и всю систему целиком

Уровень сложностиПростой
Время на прочтение14 мин
Охват и читатели6.5K

Привычные UI‑автотесты часто проверяют отдельные кнопки и формы, но не отвечают на главный вопрос: работает ли система целиком в реальном пользовательском сценарии. В этой статье я расскажу, как мы в TData строим интеграционные тесты для Web UI, которые проходят путь от создания провайдера и кластера до установки компонентов, настройки конфигурации и проверки, что всё действительно поднялось и работает.

Читать далее

Финансовый язык для тех, кто пишет код, а не отчёты

Уровень сложностиСредний
Время на прочтение14 мин
Охват и читатели7.8K

На совещаниях мы постоянно слышим про CAPEX, OPEX, P&L и прочие термины из мира финансового управления. Но не всегда в моменте есть понимание, про что идёт речь. Ко мне периодически приходят сотрудники и просят разъяснить, что означает тот или иной термин. Кивать с умным видом, конечно, можно, но это путь в никуда.

Читать далее

Поддержка Flutter Impeller для ОС Аврора

Уровень сложностиСредний
Время на прочтение6 мин
Охват и читатели5.4K

Меня зовут Никита Красавин, я тимлид команды разработки Flutter для ОС Аврора в Открытой мобильной платформе. Сегодня я расскажу вам об одной из нашумевших фич Flutter, или, правильнее сказать, о компоненте, который мы адаптировали для Авроры с целью повышения производительности приложений. Повысилась она или нет — ответим ниже в статье. Встречайте: Impeller для ОС Аврора.

Читать далее

EVA: Инструмент. От нейросетей к детерминизму (Часть 3)

Уровень сложностиСложный
Время на прочтение11 мин
Охват и читатели6.8K

Нейросети обещали магию: закидываешь код, получаешь оценку. На практике магия плохо масштабируется — разные результаты при каждом запуске, невозможность объяснить оценку, растущие счета за API. Тогда я сделал шаг назад и спросил: а что именно я пытаюсь автоматизировать? Оказалось, всё можно сделать детерминированно. Один скрипт, нулевые зависимости, одинаковый результат при каждом запуске. Завершающая часть серии про методологию EVA — от философии до готового инструмента.

Читать далее
1
23 ...

Информация

Сайт
www.company.rt.ru
Дата регистрации
Дата основания
Численность
свыше 10 000 человек
Местоположение
Россия