Столько получили исследователи за найденные уязвимости

Проверять безопасность наших сервисов и ресурсов помогают независимые эксперты — багхантеры на платформе BI.ZONE. Мы постоянно расширяем области тестирования и, конечно, увеличиваем награды. Вот немного цифр:

🔸 3 года работает программа
🔸 В 2025 году сделали её публичной — каждый может найти уязвимость и получить награду
🔸 340 отчётов об уязвимостях приняли
🔸 До 1 000 000 ₽ можно получить за нахождение критической уязвимости

🔸 Сколько заработали топ-3 исследователя:

1 место — 1 940 500 ₽
2 место — 1 898 000 ₽
3 место — 1 594 400 ₽

🔸 30+ сервисов и ресурсов Альфа-Банка открыты для тестирования. Присоединяйтесь к программе охоты за уязвимостями по ссылке и получайте вознаграждения.

Обсерватория или свой телескоп? На что потратить 40 000?

Узнаем, что выбрал коллега с детства мечтавший о космосе.Иногда лучший первый шаг в астрономии — не купить телескоп, а сначала понять, что именно вы хотите наблюдать и как это выглядит вживую. 

В статье «Почему я посетил частную обсерваторию, а не купил телескоп» автор рассказывает, как вместо покупки оптики выбрал поездку в частную обсерваторию в Архызе: несколько ночей под тёмным небом, наблюдения через серьёзный инструмент и разговоры с людьми, которые этим реально живут. 

Это не просто тревел-история, а практичный ориентир для новичков!

Собираем локальную агентную AI-систему

Если хочется не просто «чатик с нейронкой», а локального AI агента, который умеет ходить в инструменты (файлы и т. п.) и выполнять твои задачи, то вот статья, которую реально можно повторить руками: «От чат-бота к AI агенту: собираем локальную систему на LibreChat, Langflow и MCP». Это подробнейший мануал с пятью уровнями сложности!

В этой статье покажем, как собрать связку из трёх ключевых компонентов:

1. LibreChat — UI для работы с LLM

2. Langflow — low-code платформа и визуальный редактор

3. MCP — стандарт для подключения инструментов

Структура статьи «по нарастающей»: можно остановиться на любом уровне — от простого локального чата до кастомизируемого агента.

Если вам интересны вызовы защиты ML-систем от современных атак и вы хотите развиваться в MLSecOps, присоединяйтесь к нашей команде, мы в поисках специалиста по защите искусственного интеллекта. Откликайтесь на вакансию по ссылке.

QA, выбирай сторону

Мы возвращаемся с новым форматом QAчественного общения — антимитапом для тестировщиков.

Когда: 27 марта
Где: Санкт-Петербург, offline only

В этот раз сделали два зала и два настроения:

🔥 Test core
Пространство вызовов, острых тем и адреналина. Сарказм приветствуется, личные нападки — запрещены.

Будут холивары: «Hard Skills для QA — это про инструменты или про понимание систем?», «Как меняется профессия QA с приходом AI».

💆‍♀️ Debug
Зал для размышлений и рефлексии. Здесь не доказывают, а задаются вопросами и делятся гипотезами. Тот самый safe space, чтобы подумать о будущем QA.

Будут дискуссии: «Как принять свою роль и стать хорошим тестировщиком», «ИПР: развитие специалиста — это задача компании или специалиста?».

Вы сами выбираете маршрут. Можно передвигаться между залами и собирать инсайты с двух полюсов или остаться в одном пространстве и погрузиться в его формат.

🔗 Зарегистрироваться на митап

Если все решаю сам — это, значит, плохо?

Проджект, который следит за всем процессами — это удобно… пока команда не начинает «ждать взмаха палочки» по любому вопросу. В статье нашего Lead PM Наташа Епифанова разбирает, как вырастить самостоятельную команду, которая принимает решения и держит ответственность без постоянного менеджерского посредничества.

Если вы хотите, чтобы команда росла в ответственности, а вы постепенно переходили «из дирижёра в зрители» — забирайте в закладки статью.

Симптом, а не болезнь

Промпт-инъекция — это атака, когда вредоносную инструкцию прячут в письме, комментарии или документе, а LLM/агент воспринимает её как команду. Но проблема глубже. Если агенту дали инструменты и доступы без жёстких ограничений, он может выполнить внешнюю «инструкцию» и привести к утечке или опасным действиям.

Что вы представляете, когда кто-то говорит об AI-driven компании? Может быть, как чат-боты улучшают опыт клиентов? Или как сотрудники разворачивают любые модели для своих нужд? А может, как ИИ-агенты разбирают кучу электронных писем и назначают встречи в календаре, копилоты пишут код за разработчиков и исправляют баги? Что в этой красивой истории может пойти не так и почему безопасность систем искусственного интеллекта не ограничивается защитой от джейлбрейков и промпт-инъекций — разберёмся в статье «Почему промпт-инъекции — это симптом, а не болезнь безопасности ИИ».

Есть вопросы? Готовы ответить ⌨

До 12 марта проводим сессию в формате «Ask Me Anything» в Сетке. Спросите о чём угодно наших экспертов по направлениям: кибербезопасность, системный анализ, тестирование на C# и ИТ-подбор.

Опубликуйте у себя в профиле пост с вопросом и добавьте хештег #спросиальфу. Сделать это можно до 12 марта.

13 марта выберем лучшие вопросы и подарим их авторам мерч.

➡ В Сетку

+100 к кибербезопасности

…но только если подпишетесь на наше сообщество в Сетке. До 4 марта там рассказываем:

🔴 Как попасть в кибербезопасность
🔴 Как устроена роль AppSec Business Partner в Альфа-Банке
🔴 Какие практики безопасной разработки помогают защищать банк

А с 5 по 12 марта проведём AMA-сессию, на которой вы сможете задать свои вопросы экспертам по четырём направлениям:

👉 Кибербезопасность
👉 Тестирование на C#
👉 Системный анализ
👉 IT-подбор

➡️ В Сетку ⬅️

Как ускорить прогон с 3 часов до 12 минут?

Когда в Android-проекте ≈800 модулей и 37 000 unit-тестов, полный прогон на CI легко превращается в полдня ожидания. У нас было ровно так: больше 3 часов на полный запуск  — и ощущение, что локально это вообще не вариант. А потом команда нашла настоящие причины тормозов и довела прогон до 12 минут.

В статье «37 000 unit-тестов против Gradle: как мы добились 12-минутного прогона» конкретная инженерная история без магии. Приглашаем к чтению Android-разработчиков, техлидов и тех, кто отвечает за CI/скорость поставки. Тут много идей, которые можно примерить на себя!

Делитесь вашими подходами к решению проблем производительности в комментах)

Ахиллесова пята SharedPreferences

Статья про то, о чём не спрашивают на собесeдованиях и не рассказывают на курсах по Android-разработке — о неявной особенности Android, которая влияет на деградацию производительности и приводит к невоспроизводимым ANR в вашем приложении.

SharedPreferences часто используют «по привычке» — сохранить токен, флажок, пару строк. Но в какой-то момент это начинает тормозить интерфейс и даже приводить к ANR, особенно если запись/чтение происходит не там и не тогда, где вы ожидаете. Автор делится измерениями производительности, показывает, как деградация превращается в потерю кадров при переходах между экранами, а затем сравнивает варианты.

Эта статья будет особенно интересна Android-разработчикам и тимлидам, которые уже сталкивались с мистическими ANR, просадками перформанса и фризами на слабых девайсах, а также тем, кто держит в приложении много сторонних SDK и хочет понимать, как неявные записи в SharedPreferences могут незаметно копить нагрузку.

Читайте статью «Ахиллесова пята SharedPreferences и стоит ли внедрять Datastore как альтернативу»

Могут ли AI-модели быть прибыльными?

Стоимость компаний, занимающихся искусственным интеллектом, исчисляется сотнями миллиардов долларов. В связи с этим возникает один неудобный вопрос — «Где деньги?».

В статье «Где деньги, Сэм?», или Могут ли AI-модели приносить прибыль на примере OpenAI? — разбор экономики OpenAI на основе открытых данных, утечек и публичных заявлений: сколько может стоить эксплуатация модели, какая получается маржинальность и почему даже при неплохой валовой рентабельности бизнес может оставаться убыточным. 

Что внутри:

• Чем отличается валовая рентабельность от операционной и почему в AI это критично;

• Куда уходят деньги: вычисления, штат, маркетинг и сопутствующие расходы;

• Почему окупаемость R&D может не сходиться, даже если продукт уже приносит выручку;

• Какие выводы можно экстраполировать на рынок, а где важны оговорки.

Фронтенд 2026: взлеты и падения

Открываешь проект 2020 года и видишь знакомые имена в package.json: create-react-app, enzyme, moment.js, axios. Пять лет назад это был золотой стандарт. Сегодня же эти технологии вызывают у коллег искреннее недоумение: «Зачем это тут?»

Подготовили для вас быстрый, но очень полезный срез того, как за 5 лет поменялась ментальная модель фронтендера. Внутри инструменты реально умерли, разберемся почему SSR/SSG снова в игре, а TypeScript теперь почти must-have, узнаем почему фронтенд всё чаще = full-stack и что с этим делать.

Главный урок 2015→2025: фронтенд развивается циклически. Каждый цикл — это не «прогресс», а перебалансировка компромиссов. Читайте на Хабр в статье «Фронтенд 2026: что умерло, что выжило и что взлетело неожиданно»

Архитектурный минимум для аналитика: 4 вещи, чтобы понимать систему целиком

Иногда кажется, что «архитекторы — это боги»: говорят уверенно, рисуют схемы за 5 минут и будто всегда видят систему насквозь. Но правда проще: архитектор — это роль в команде, а аналитику вполне реально взять от архитектуры необходимый минимум — чтобы не просто передавать требования, а реально влиять на качество решения. 

В статье «Роскошный архитектурный минимум для аналитика: понимать систему в целом и не бояться «богов»-архитекторов» — короткий и прикладной набор, который помогает: видеть продукт как единый организм, а не набор задач в блоге, заранее ловить риски и нефункциональные требования, а также говорить с разработкой на одном языке и задавать точные вопросы.

Осветили границу между анализом и архитектурой и показали, каким минимальным набором знаний в этой области должен обладать аналитик, чтобы не просто передавать требования, а активно влиять на качество конечного продукта.

Саппорт или критическая инфраструктура: как развивать платформенный продукт в enterprise

Платформенные продукты почти всегда «вторые в очереди» после бизнес-фич: приоритет ниже, аналитиков меньше, а в кризис бюджеты режут первыми. Знакомо? Тогда этот разбор — для вас.

В статье «Как развивать платформенные продукты. Саппорт vs критическая инфраструктура» показываем, как перестать быть просто сервисом поддержки и начать восприниматься как критическая инфраструктуры. Внутри — практические приёмы, метрики и примеры формулировок, которые реально меняют отношение к платформе.

Что забрать себе:

• Чем платформенные продукты принципиально отличаются от бизнес-продуктов (и почему «мы повышаем конверсию» часто не аргумент);

• Как искать партнёров и выстраивать отношения;

• Какие метрики помогут защищать статус платформы;

• Как управлять ожиданиями и приоритизацией;

• Почему регулярные коммуникации и «красивые победы» — часть стратегии развития, а не самопиар.

В апреле встречаемся на Alfa CTF!

Пока другие складывают доски, мы запускаем следующий сезон Capture the Flag. Волны принесут новый формат. Что будем делать:

🔴 Исследовать системы и искать флаги
🔴 Решать задачи разного уровня: для профи, новичков и даже школьников (от 14 лет)
🔴 Соревноваться в мастерстве поиска уязвимостей

Скоро расскажем подробно про формат нового запуска: точно будет интересно! Занимайте в своём календаре дату 25 апреля — и регистрируйтесь на нашем сайте.

Не лайфхаки, а системный подход

К кому идти за ростом — техлиду, delivery или HR? Системный аналитик в статье «Как я перестала искать карьеру и начала видеть систему: системные законы как компас в хаосе матричной структуры» применяет теорию систем к карьере.

Эта статья — не про лайфхаки. Она про то, как я начала видеть организацию как живую систему, как поняла, что карьера — это не лестница, а путь через слои системы. И как, применяя законы системной динамики, теории систем и элементы бизнес-расстановок, я нашла свою точку опоры.

В статье о том, как использовать законы системного мышления как инструмент для карьерного планирования и построения эффективных команд.

Монорепозиторий с автотестами разросся до микросервисов?

Владислав Донченко поделился опытом преобразования огромного монолитного репозитория с автотестами в модульную структуру в статье «Как преобразовать огромный монорепозиторий с автотестами в микросервисы».

Вы либо видите эти проблемы в своих проектах, либо уже боретесь с ними. А если ваш репозиторий пока только растёт, то со временем и ростом проекта вас ждут те же сложности, ведь это закономерный этап развития любого большого проекта.

Главная цель «реформ» — достижение максимального эффекта с минимальными изменениями (трудозатратами). Мы хотели сохранить ту практику работы с репозиториями, которая у нас уже была. Поэтому мы решили подходить именно со стороны нашего сборщика — со стороны Gradle, чтобы не производить радикальных изменений с проектом. 

Надеемся, что наш опыт поможет и вам, когда вы столкнетесь с похожими вызовами!

Функциональное программирование перевернуло фронтенд: почему JS возвращается к платформам?

Функциональное программирование перевернуло фронтенд-разработку, но теперь индустрия возвращается к платформенным подходам — почему и как это меняет JS-экосистему?

Статья «Как функциональное программирование изменило фронтенд и почему отрасль возвращается к платформе» разбирает эволюцию: от чистого FP к гибридным решениям, с примерами и выводами для фронтендеров.

Виктория Копылова делится своим анализом, основанным на современных наблюдениях и на тех статьях прошлого, где функциональное программирование воспринималось как путь к «правильному» фронтенду.

Дизайн-лиды как феи Winx

Стелла генерирует идеи-концепции, Флора качает коммьюнити митапами, Текна правит дизайн-системой, Блум наводит процессы. Суперсилы реальны, если вы дизайн-лид в крупном банке.

За год работы с дизайн-лидами Влада Парамонова поняла, что у каждого есть сильная сторона, его особенная супер-сила. Давайте посмотрим на дизайн-лидов так, будто они феи Winx, чтобы немного повеселиться и понять, в чем можно проявить себя на такой позиции.

Подробнее читайте в статье «Архетипы дизайн-лидов»

Теория о поколениях на практике

«Зумеры ленивы, не хотят работать и уходят с обеда навсегда» — знакомые жалобы? Автор копает архивы и показывает: точно такие же претензии были к миллениалам («эгоисты без трудовой этики»), поколению X («бездельники MTV») и даже бэби-бумерам в 60-х.

Каждое поколение мнит себя жертвой, а стереотипы — нестареющая классика. Текст для тимлидов, HR и всех, кто устал от стереотипов — с историей, цитатами, опросами и мнениями из разных исследований и СМИ. 

Читайте тут «Про душные истории о «зумерах» и претензиях к ним»