Алоха! Ловите хакинговую волну

И участвуйте в соревновании по спортивному хакингу с призовым фондом в 3 100 000 рублей.

Если вы готовы решать таски и искать флаги — регистрируйтесь на первое соревнование по спортивному хакингу Capture The Flag (CTF) от Альфа-Банка!

Это соревнование по спортивному хакингу, где вам предстоит решать таски на поиск уязвимостей в системах. Призовой фонд: 3 100 000 рублей, на команду можно получить до 450 000!

Alfa CTF пройдет с 13 по 14 сентября в 2-х форматах: онлайн или офлайн по дополнительной регистрации в IT-хабах Москвы, Санкт-Петербурга и Екатеринбурга

Что нужно сделать:

⚡️ Собрать команду или подготовиться к игре в соло (если вы не можете найти напарников, мы вам поможем и объединим с другими игроками)

⚡️ Зарегистрироваться на соревнование

⚡️ Выбрать один из 3 треков (для IT-специалистов, для профи или для студентов)

⚡️ Решить как можно больше тасков 13-14 сентября

Ждём вас — будем вместе сёрфить на CTF!

Шахматы, кроссворды, велосипеды... — почему то, что считалось пороком, становится нашей добродетелью?

Многие занятия, которые сегодня мы считаем приятными и полезными для тела и ума, ещё недавно воспринимались как пустая трата времени, а порой — как вредные привычки, способные довести до безумия или даже вызвать проблемы со здоровьем.

Сейчас мы гордимся увлечением осознанным спортом, шахматными партиями или разгадыванием кроссвордов в приложении. А всего сто лет назад эти хобби считались опасными для здоровья, морали и психики: игроков в шахматы обвиняли в безумии, ролики называли антицерковным грехом, а любителей кроссвордов — угрозой трудовой дисциплине.

Если вам интересно, как меняется картинка мира и почему мода на умные развлечения чаще всего рождается вопреки запретам и предрассудкам — читайте нашу статью «Добродетели, которые раньше считались пороками» на Хабре.

Как мы ускорили проверку документации с помощью AI-агента: от боли к решению

Привет, Хабр! Я — Мила Муромцева, системный аналитик в Альфа-Банке. Эту статью мы подготовили вместе с нашим разработчиком Мишей Буториным. Написали ее, чтобы поделиться нашим опытом и рассказать, как мы научили LLM проверять документацию для платформы Альфа-Онлайн — переписывали стандарт, боролись с токенами и немного с хаосом.

Самое ценное — детальное описание того, как команда поборола проблему потери данных при проверке огромных документов LLM. Вместо описания абстрактных алгоритмов кейс строится вокруг настоящей боли и решения, которые можно применить для своих корпоративных задач.

Статья «Как мы ускорили проверку документации с помощью AI-агента: от боли к решению» будет полезна тем, кто автоматизирует проверки, работает с большими данными и хочет, чтобы нейросети давали точные и надёжные ответы — даже при работе с очень громоздкой документацией. Внутри разбираем кейс командной интеграции LLM: от первых ошибок до финального формата отчета, который реально экономит токены и нервы!

Вы не просили, но мы это сделали!

Вы когда-нибудь сталкивались с продуктом, который внешне работает безупречно и не вызывает нареканий у пользователей, но внутри команды становится постоянным источником стресса? Вроде все работает, жалоб нет, но столько сил уходит на поддержку, что проще переделать с нуля, чем каждый квартал латать старое. Именно такой кейс мы разобрали в статье: «развернули наизнанку» карты отделений и банкоматов, убрали баги под капотом, избавившись от устаревших паттернов и случайных доработок.

Это история не столько про дизайн, сколько про командные дискуссии, внутреннюю «магию» и вечный поиск баланса между новыми фичами и качеством старого функционала. Читайте полный бэкстейдж в статье «Редизайн, которого никто не просил, — а в итоге все довольны» на Хабре и узнайте, как на практике совершенствовать даже те продукты, которые внешне кажутся идеальными.

Магистратура будущего уже здесь

Как не просто получить диплом, а действительно перестроить мышление и построить карьеру? В статье «Куда пойти учиться?» топ-менеджер Альфа-Банка рассказывает, как запускаются и развиваются магистерские программы по продуктовому подходу и HR-аналитике в партнёрстве с ВШЭ.

Обучение построено на решении реальных бизнес-задач, а выпускники выходят готовыми управлять цифровыми продуктами и внедрять ИИ в HR. Уникальная программа, разработанная совместно с ВШЭ, даёт студентам практический опыт, доступ к ведущим HR Tech‑мероприятиям и возможность выстроить нетворк с экспертами рынка.

Как проходит отбор, каким требованиям должен соответствовать кандидат и почему магистратура — это не просто диплом, а полноценный карьерный рывок? Читайте о новом формате обучения и реальных историях роста в статье!

Почему одиночкам тяжело расти? Как мы организовали сообщество системных аналитиков и что из этого вышло

В IT слишком часто «каждый варится в своём соку» — и специалисты теряют темп, а команда не получает новых идей.

Какие шаги помогли объединить экспертов из разных проектов, даже если зона ответственности не совпадает? Как совместные обсуждения, обмен опытом и единые подходы преобразили корпоративную культуру? Какие неожиданные инсайты и эффекты обнаружились уже через несколько месяцев — и почему это оказалось выгодно всем сторонам? Рассказываем в нашей статье «Как мы организовали сообщество системных аналитиков и что из этого вышло».

Только реальный опыт, этапы создания, сложности, примеры встреч, плюсы и подводные камни. Читайте статью, берите инструменты для своих команд и рассказывайте, помогает ли комьюнити решать задачи эффективнее у вас!

MoscowJS 67 X A?.Frontend

Приглашаем вас на регулярную встречу фронтенд-сообщества в неформальной обстановке 28 августа. В этот раз — MoscowJS в гостях у Альфа-Банка.

В программе:

• От JavaScript к DeFi: как инженеры могут изменить мир финансов. Спикер: Даниил Швецов, Full Stack Engineer.
  Доклад познакомит JavaScript-инженеров с основами DeFi: ключевыми концепциями, математическими моделями и работой с JS SDK.

• Архитектура микрофронтендов: от А до Single Spa. Спикер: Павел Шлыков, Team Lead Frontend.
  Поговорим о микрофронтендах с нуля: от принципов и базовой реализации до инструментов вроде Module Federation и single-spa. Разберёмся, как всё устроено, и рассмотрим нестандартные подходы.

• Под капотом платформы. Спикер: Антон Марченко, Ведущий разработчик.
  Доклад об опыте сборки платформы из готовых решений и объединения приложений через iframe, Module Federation и webview. Узнаете про выбор подходов и работу с командами.

• Гильдия: место, где разработчик перестаёт быть одиноким кузнецом. Спикер: Владислав Сазонов, Head of Frontend.
  Чувствуете себя одиноким фронтендером? Есть решение — гильдия. В докладе — о том, как этот формат помогает расти, делиться опытом и не выгорать, а также краткий исторический экскурс.

Присоединяйтесь онлайн и офлайн — зарегистрироваться можно по ссылке.

Где: г. Москва, Андропова пр-т., 18, к. 3 (офис Альфа-Банка)

«Банкоматный» тур по Корее: краткий фотоочерк

Привет! Меня зовут Александр Лещев, я специалист по развитию банкоматов в Альфа-Банке. Недавно вернулся из рабочей поездки в Корею и решил не просто обменяться опытом, а нырнуть в мир корейских финансовых технологий: от уличных обменников валюты до фабрик, где рождаются «умные» машины. В статье — фотоочерк с реальными инсайтами, которые удивят даже закалённых IT-шников. 

• Банкоматы везде и для всего: от торговых центров и отелей до заправок — с видеооператорами, печатью документов и даже голосовым управлением.

• Заглянул на завод ATEC AP, где роботы тестируют ATM на жару, холод, дождь и тряску. Деньги загружают манипуляторами, а модули перемещают по старинке на колёсиках. 

• Роботы-официанты в кафе, беспилотные автобусы и машины, печатающие карты на месте. Но при этом — бумажные заявления для обмена валюты. Корейский парадокс в действии!

Если вы фанат финтеха, робототехники или просто любите фоторепортажи с мест — это must-read. Узнайте, как Корея балансирует между хай-теком и «дедовскими» методами.

Почему ваш новый «гениальный» флоу вызывает тревогу в команде? Всё о психологии сопротивления изменениям — в одной статье!

Представьте ситуацию: вы, как продакт, несколько недель потратили на исследования, кастдевы, прототипирование и дизайн. Вы выносили идею, защитили её перед стейкхолдерами и теперь, сияя от предвкушения, приносите команде разработки новый, идеально продуманный флоу. А в ответ — тишина. Или, что хуже, шквал вопросов в стиле «а зачем?», «у нас и так всё работает» и «это всё сломает».

Знакомо? Прежде чем записывать команду в ретрограды и саботажники, давайте разберёмся. То, с чем вы столкнулись — не вредность, а фундаментальный баг (или фича?) человеческой психики. Имя ему — сопротивление изменениям.

В статье «Почему ваш новый «гениальный» флоу вызывает у команды панику? Разбираем психологию сопротивления изменениям» мы копнём в нейробиологию и психологию, чтобы понять, почему наш мозг так ненавидит всё новое, и что с этим делать продакту, тимлиду или любому другому менеджеру. Узнаем почему понятный костыль всегда приятнее неизвестного счастья, что на самом деле пугает разработчиков и тимлидов, когда вы внедряете инновации, как обойти страхи, не потерять доверие и не получить force push в master обратно и какие психологические лайфхаки реально работают в жизни, а не в учебниках. Автор разбирает реальные кейсы, шутит, находит баги в «операционке» команды и даёт понятные инструкции, как внедрять любые изменения.

Укуси меня, пчела — это же Копатыч!

Зумер с амбициями Кроша, структурная Совунья, технический эксперт Пин, философ Кар-Карыч и другие неожиданные типажи кандидатов — кто они и что делать, если вы встретили именно их?

Меня зовут Аня, я руковожу проектными менеджерами на сайте Альфа-Банка. Более 8 лет работаю в сфере people management и провела сотни собеседований В статье «Вы точно их собеседовали: 8 личностей, которые приходят на интервью» делюсь с вами инсайтами своих интервью, рассказываю, почему Ёжик никогда не уходит без оффера, в чём вы должны соответствовать Совунье, чтобы взять её на работу, и почему в моей команде нет Кар-Карыча, а Крош — есть.

Посмотрим на собеседования через призму мультфильма, ведь важно оценивать не только профессионализм кандидата, но и понимать его как личность.

Узнаёте ли вы этих персонажей среди своих кандидатов?

Как устроена стажировка на backend в Альфа-Банке — вся правда изнутри

• Хочешь знать, дают ли стажёрам настоящие боевые задачи, или ты просто будешь «перекладывать JSON-ы»?

• Интересно, реально ли совместить учёбу и удалённую работу и почему документация — это не халява, а адреналиновый квест?

• Не хочешь в очередной раз читать банальности о «стажёрском выживании», а узнать всё по-честному: от первой ошибки на собесе до рефакторинга в большом проде?

Меня зовут Кирилл, я студент 3-го курса НИУ МЭИ, направление — «Информатика и вычислительная техника», а также Junior Python Backend-разработчик в Альфа-Банке. Написал статью «Самое главное о том, как проходила моя стажировка на backend-разработчика» для студентов и ребят без опыта работы. Читайте, чтобы узнать, как в Альфе растят специалистов — и что делать, чтобы вам тоже предложили войти в команду после стажировки!

Как прокачать геймификацию в команде?

В учебнике по обществознанию за 9 класс есть определение экономики как науки: «Экономика — наука о том, как люди удовлетворяют свои постоянно растущие потребности в условиях ограниченности ресурсов». То же самое и в разметке — нам нужно удовлетворять постоянно растущие потребности в объёмах и качестве, а бюджет ограничен. Помочь в этом может система мотивации.

Как мотивировать команду не только премиями, но и азартом? В Альфа-Банке внедрили прозрачный рейтинг, ачивки и систему нематериальной мотивации — это не только повысило качество работы, но и вдохновило сотрудников активнее делиться опытом, писать статьи и достигать выдающихся результатов. Реальный кейс описали в статье: «Вот так подкрути геймификацию и мотивация болеть не будет». Несколько простых инструментов — и ваш коллектив начнёт расти и конкурировать с азартом.

Приглашаем на камерную встречу с лидерами GenAI в Альфа-Банке и спикерами из Авито и red_mad_robot 

⏳Когда: 24 июля, четверг, 18:00 – 19:30

📍 Где: онлайн, в Контур Толке (регистрация не требуется)

💬 Обсудим:

• Почему команды не используют GenAI так же естественно, как CI/CD?

• Что мешает внедрению GenAI на уровне процессов и культуры и в бигтехе, и в стартапе?

• Мультиагентные системы и кейсы внедрения ИИ-агентов на клиентов.

• Как мышление и роли в командах меняются под влиянием AI.

• Почему важно строить внутреннюю инфраструктуру GenAI, а не просто «подключать API».

В чате трансляции разыграем эксклюзивную AI-футболку за лучший вопрос спикерам.

Подключайтесь онлайн без регистрации и зовите коллег 👍

Присоединяйтесь к публичной программе Bug Bounty Альфа-Банка на платформе BI.ZONE

Теперь у багхантеров есть возможность протестировать сервисы Альфа-Банка на предмет уязвимостей и получить вознаграждение. Размер вознаграждения зависит от критичности найденной уязвимости.

Максимальная сумма вознаграждения составляет 400 тысяч рублей.

Альфа-Банк выплачивает вознаграждение за выявление разных уязвимостей, таких как:

• удалённое выполнение кода (Remote Code Execution, RCE),

• проблемы контроля доступа (Broken Access Control, IDOR, Broken Session Management), 

• ошибки аутентификации и авторизации (Missing Authorization, Improper Authorization), 

• захват учётной записи (Account Takeover), 

• раскрытие конфиденциальной информации (Sensitive Data Exposure) и многих других.

Для исследования доступны веб- и мобильные приложения сервисов Альфа-Онлайн, Альфа-Инвестиции, Альфа-Бизнес и другие ресурсы.

По ссылке присоединяйтесь к публичной программе обнаружения уязвимостей в наших сервисах.

Основа Kotlin K2 компилятора — это FIR‑дерево (Frontend Intermediate Representation).

Вкратце: FIR — это AST (абстрактное синтаксическое дерево), обогащённое семантической (смысловой) информацией. Оказывается, что у этой основополагающей технологии есть своя небольшая документация: fir‑basics.md и в той части, где написано про контракты указано (в моём вольном переводе), что:

Компилятор разрешает использовать контракты в свойствах, функциях и конструкторах классов

Вот это поворот! Ведь ранее было замечено их использование только внутри тела функций. В доке написано, что для свойств должно работать, но на практике получаем ошибку.

А где находится то самое ограничение на использование контрактов вне функций описал Android‑разработчик Виталий Перятин в новой статье о Kotlin Contracts, где он поделился любопытными моментами, которые удалось накопать самостоятельно, потому что как парсится список эффектов, как работает новый Contracts API изнутри, и почему, чёрт возьми, на уровне компилятора можно использовать контракты не только на уровне функций, в доках не пишут.

Как ускорить Android-разработку и избавиться от мучительно долгих запусков эмуляторов ради простого теста? 

Ответ — Robolectric — мощный инструмент для UI‑тестирования Android‑кода без эмулятора. 

Позволяет запускать юнит-тесты Android-приложений прямо в JVM, без эмуляторов и физических устройств. Экономия на каждом тестовом прогоне, обратная связь почти мгновенная.

В Android‑комьюнити у Robolectric неоднозначная репутация из‑за трудностей совместимости с другими библиотеками. Но…его почти бесценные возможности пробудили любопытство и желание копнуть глубже и осмыслить этот инструмент. 

Так и родилась статья «Мечтают ли андроиды о Robolectric? Разбираем фреймворк по косточкам» от Павла Нестеренко, нашего Android-разработчика.

Если вы устали ждать, пока эмулятор запустится, и хотите гонять юнит-тесты за секунды прямо в JVM, то рекомендуем статью к прочтению!

Настройка КриптоПро HSM Client на Suse/RedHat/ROSA Linux

Подготовили пошаговую подробнейшую инструкцию со скриншотами для разработчиков информационных систем со встроенными СКЗИ по настройке КриптоПро HSM Client на Suse, RedHat и ROSA Linux (включая ошибки, которые позволяет обойти данное руководство) для того, чтобы использовать HSM как самостоятельный криптографический провайдер с выполнением всей математики на борту или в качестве надежного хранилища ключевого материала.

Заходите, читайте, сохраняйте в закладках.

Alfa AppSec Meetup #1

Приглашаем на первый митап команды AppSec Альфа-Банка! На реальных кейсах расскажем:

• чем живёт команда AppSec в банке,

• как внедряем AppSec-практики,

• разберём сервисную модель SSDLC на базе ASOC,

• обсудим, как развиваем MLSecOps, почему AppSec уделяет всё больше внимания безопасности ML,

• поделимся, как выстроили процессы в Offensive AppSec и как они помогают нам находить уязвимости до того, как это сделают другие.

Если вам интересно, как устроена безопасность приложений изнутри — в реальных проектах, в большом банке, — приходите. Будет полезно, местами остро, и точно не скучно.

Присоединяйтесь онлайн и офлайн — зарегистрироваться можно по ссылке.

Где: Москва, ул. Шарикоподшипниковской, д. 4, к. 4A., Exit Loft.

«В одной компании я была свидетелем того, как сотрудник в свой первый день вышел перепарковать автомобиль и не вернулся. Причина: новичка не познакомили с командой, не назначили наставника, не объяснили, чем ему предстоит заниматься. Вместо этого HR-менеджер привел его в опенспейс и оставил на несколько часов без внимания… За это время сотрудник решил, что это не его компания. И я его не осуждаю😅»

Это история из статьи Гузель «Онбординг здорового дизайнера» — дизайнера внутренних продуктов в Альфа-Банке. Не так давно она сама стала наставником для новичка и чтобы ситуация из истории не повторилась, сделала онбординг-страничку, где собрала всё, что может помочь в адаптации.

И благодаря доке новичок не сбежал, а прошел онбординг весело и бодро. 

А в статье поделилась шаблоном этой странички.

Заходите, читайте, берите на вооружение, шаблон работает.

Что происходит с JavaScript-кодом внутри V8?

Сначала любая программа подвергается лексическому анализу, который выполняет компонент V8 под названием Scanner. И он разбивает исходный код на поток отдельных токенов в соответствии с лексической грамматикой, описанной в спецификации ECMAScript.

Интересно, что невалидные программы, вроде...

const = = ;

...ещё не выдадут ошибку на данном этапе. Сканер спокойно разобьет нашу программу на токены и отдаст дальше, ведь проверка синтаксической корректности не его зона ответственности. Это зона ответственности Parser, который способен выявить все синтаксические ошибки.

Кстати, одна из ключевых особенностей Parser — генерация Abstract Syntax Tree, которое затем используется для создания байт-кода внутри Ignition. На основе полученных токенов из Scanner генерируется дерево, в котором каждый узел отражает языковую конструкцию: идентификатор, оператор, выражение или функцию.

Например, для кода...

const sum = (a, b) => a + b;

...мы получим следующее дерево:

VariableDeclaration (const)└── VariableDeclarator    ├── Identifier: sum    └── ArrowFunctionExpression        ├── Params        │   ├── Identifier: a        │   └── Identifier: b        └── BinaryExpression (+)            ├── Identifier: a            └── Identifier: b

Об остальном, что происходит на этапах лексического анализа и синтаксического анализа в V8, читайте в статье «Что происходит с вашим JavaScript-кодом внутри V8. Часть 1».