Я не безопасник, но Docker-контейнер по умолчанию запускается с root-правами внутри, и если не сброшены лишние привилегии или не настроена изоляция (через seccomp, AppArmor, user namespaces и т.д.), то уязвимое приложение внутри может получить доступ к ядру хоста или через volume внести изменения (например, подложить скрипт, изменить файлы и т.п.).
Фактически, запуск потенциально опасного кода в контейнере опаснее, чем запуск того же кода от непривилегированного пользователя на хостовой системе, если не отключены лишние capabilities или, что хуже, используется --privileged.
Если нужно безопасно запускать контейнеры, стоит использовать:
USER в Dockerfile,
сбрасывать все привилегии (--cap-drop=ALL),
включить --security-opt no-new-privileges,
не монтировать чувствительные ресурсы вроде docker.sock,
Здоровья, сил и терпения. Потеря физических возможностей и осознание своей беспомощности психологический тяжёлый момент. У меня был сложный перелом голеностопа пол года на вытяжке/в гипсе и было до слез обидно, что я не могу элементарных вещей без посторонней помощи. Обидней всего было прийти в поликлинику и понять что я не могу туда попасть из-за огромных ступенек и мраморного скользкого пандуса под углом 45°.
Идеальный подход или вызов для инженеров был после великой отечественной войны в период Сталина: снижение себестоимости продукции за счёт увеличения производительности труда.
Да все мы помним времена шарашкин контор, когда инженеров судили, а потом они под присмотром НКВД работали за паек.
Если коротко, то он говорит, что если бы разработчики ПО сконцентрировались на оптимизации работы ПО, то старая техника работала бы так же быстро, как современная. А это вполне себе хорошая инженерная задача. Но цена такой оптимизации - сокращение частоты выпуска новых функций и продуктов.
На чем сконцентрироваться выбирает не разработчик, а бизнес. Простая математика: есть стоимость человеко-часа, можно эти деньги потратить на оптимизацию ПО, либо на новую фичу.
Шкафы приезжают ко мне в дом и вместе с ними 3 сборщика, которые тратят 3 полных рабочих дня на её сборку и монтаж. При этом сборщики привозят с собой большое количества инструментов, типа лобзиков, шуруповертов, перфораторов, дисковых пил и др.
Дело не в не совершенном ПО, а в не совершенном мире. Вы конечно можете внести в программу миллион параметров, но где гарантия, что все эти параметры получены верно. Простой пример: ни в одном помещении нет идеального 90° угла, есть коммуникации расположение которых в пространстве измерить сложно (например: газовая труба, расстояние от пола, расстояние от стены - все это не константы, труба может быть криво сварена или криво установлена), типы стен и поверхностей.
Вот и получается что приходит мебель, а потом ее по месту уже начинают подгонять.
Классика) Кто-то опять решил, что принципы проектирования мешают творить великий монолит на 30 тысяч строк в одном классе.
SRP мешает писать God-классы, где всё: от бизнес-логики до отправки email и рисования графиков.
OCP бесит, потому что расширять — сложно, а переписать всё к чёрту — приятно и быстро (до следующей итерации боли).
LSP — слишком академично, ведь кто в проде проверяет, что Square — не Rectangle? Ну, кроме баг-трекера, конечно.
ISP раздражает, ведь лучше засунуть makeCoffee() в общий интерфейс IWorker, чем подумать, кто реально это должен делать.
DIP вообще анекдот: зачем абстракции, когда можно new MyService() и страдать от tightly coupled ада?
Не нравится SOLID? Не вопрос. Но тогда не удивляйтесь, что рефакторинг вашего кода вызывает PTSD у команды, а тесты пишутся через боль и жертвоприношения)
SOLID, DRY, KISS, YAGNI — всё это давно сформулировано, обосновано и проверено практикой. Но с завидным постоянством появляются новые "революционные принципы", в которых узнаются старые идеи, только под другим соусом. Такое ощущение, что у новичков наступает стадия «изобретения философского велосипеда».
Осталось дождаться, когда кто-то на Хабре представит миру "новаторские архитектурные концепты", а по сути — очередную реинкарнацию паттернов из книги "Банды четырёх". Назовёт их S.T.A.G. или D.O.N.K.E.Y. и объяснит, почему это next big thing.
Конечно, путь проб и ошибок — важная часть роста, но знание классики позволяет экономить годы. И время на псевдооткрытия тоже.
Согласно результатам исследования, в большинстве случаев ошибки в коде на Python не обрабатываются должным образом?
Тогда, наряду с показателями стоимости и производительности, целесообразно учитывать дополнительную метрику - частоту фатальных сбоев либо коэффициент нестабильности, отражающий устойчивость системы к ошибкам и изменениям.
Напомню, что все NLP использую архитектуру Трансформер, разработанную в гугл в 2017 году и ничего нового не предлагают кроме увеличения токенов и датасетов. У ИИ интеллекта столько же сколько и у табуретки - перерождение поисковых движков, не более.
Теория без практики пустая трата времени, мозг запоминает те знания которые мы применяем на практике. Любой знает, что добрую половину знаний которые мы проходили в школе/институте и которую мы не применяли - мы забыли.
Любую книгу по программированию лучше читать за компом - читаем главу, набираем код из книги, смотрим как работает, дебажим, крутим, вертим. Так вы запомните как работает язык - это главное, понять устройство и принцип работы, позже что бы освежить эти знания понадобиться 5 минут в гугле.
По поводу записей:
it индустрия развивается так быстро, что ваши записи устаревают быстрее чем вы их записываете
для каждого инженера самый главный навык умение читать документацию, с этим навыком вы быстрее найдете и примените нужную информацию с сайта производителя, чем будете копаться в 2-х летних записях и удивляться почему ничего не работает.
P.S. Считаю полезней потратить время на практику с языком, чем на переписывание из книжки в ношион/блокнот/и т.д
Недавно мама так чуть не попала. Только позвонили напрямую, а не через WhatsApp. Представились как Энергосбыт, так же история с кодом и т.д. Взломали гос услуги. Прислали СМС "Замечена подозрительная активность по банковским счетам, срочно связаться и номер".
Я с ними Нади интереса 50 минут общался. Там схема такая:
Ломают госуслуги и смотрят там ваш доход (выписка из пенсионного, недвига, авто)
Дальше присылают смс что срочно нужно связаться с Роскомнадзором, Центробанком и т.д.
В моем случае был "сотрудник" центробанка.
И там начинается развод, он представляется, называет номер удостоверения, должность - всякий бред. Потом сообщает что на гос услугах от вашего имени выпущена доверенность сроком на 3 года на УКРАИНСКОГО ТЕРРОРИСТА и теперь он может распоряжаться вашим имуществом и счетами, а вас за связь с ним могут посадить, НО вам очень повезло и он сейчас все заблокирует, сейчас вам позвонит сотрудник фин мониторинга. Через какое то время звонит "сотрудник" фин мониторинга, спрашивает в каких банках счета, сколько, что срочно все нужно перевести на бизнес счёт. Скидывает какие-то бумаги и договора с которыми надо ознакомится и сказать что ознакомлен))) Потом идёт сотрудник ФСБ которому нужно по видеосвязи увидеть ваше лицо (тут то я и прокололся). Но конец мы все знаем из новостей, где люди отдают и переводят миллионы.
Если честно все диалоги безграмотные, объяснения крайне глупые и ограниченные, но люди почему то им верят.
Такое впечатление, что статьи про ИИ пишут люди которые ИИ не пользуются.
Если отбросить весь хайп, то ИИ это система поиска, удобнее, более продвинутая, но не больше. Попробуйте реализовать с ее помощью что-то сложнее какого маппера, и на пятой итерации вы поймёте что он галюцинирует и водит вас по кругу.
На моей памяти когда гугл внедрил свою инновационную систему поиска, умерли все интернет каталоги. Сейчас никто и не вспомнит про Yahoo.
Помню подобный хайп про блокчейн и биткоин, потом про ковид.
P.S.
>Западные компании признались что проводят сокращения из-за внедрения ИИ
Конечно удобней признаться, что сокращения в компании из-за повышения автоматизации, а не из-за финансовых трудностей. Мы все не сомневаемся в честности компании, все помнят как при проблемах на рынке недвижимости компании честно заявили о проблеме и никакого финансового пузыря не было.
Про 3 пункт не понял.
Я не безопасник, но Docker-контейнер по умолчанию запускается с root-правами внутри, и если не сброшены лишние привилегии или не настроена изоляция (через seccomp, AppArmor, user namespaces и т.д.), то уязвимое приложение внутри может получить доступ к ядру хоста или через volume внести изменения (например, подложить скрипт, изменить файлы и т.п.).
Фактически, запуск потенциально опасного кода в контейнере опаснее, чем запуск того же кода от непривилегированного пользователя на хостовой системе, если не отключены лишние capabilities или, что хуже, используется --privileged.
Если нужно безопасно запускать контейнеры, стоит использовать:
USER в Dockerfile,
сбрасывать все привилегии (--cap-drop=ALL),
включить --security-opt no-new-privileges,
не монтировать чувствительные ресурсы вроде docker.sock,
и по возможности - запускать rootless Docker.
Что делать вайбкодеру? — учить язык
problem solving
Хай гайз, ай хэв некоторый проблем, ай поставил митинг на 15.00 где мы будем проблем солвинг. Участие ол обязательно.
Здоровья, сил и терпения. Потеря физических возможностей и осознание своей беспомощности психологический тяжёлый момент. У меня был сложный перелом голеностопа пол года на вытяжке/в гипсе и было до слез обидно, что я не могу элементарных вещей без посторонней помощи. Обидней всего было прийти в поликлинику и понять что я не могу туда попасть из-за огромных ступенек и мраморного скользкого пандуса под углом 45°.
Сейчас бы писать код в AST дереве согласно лучшим практикам SOSAL, а не это всё
Да все мы помним времена шарашкин контор, когда инженеров судили, а потом они под присмотром НКВД работали за паек.
На чем сконцентрироваться выбирает не разработчик, а бизнес. Простая математика: есть стоимость человеко-часа, можно эти деньги потратить на оптимизацию ПО, либо на новую фичу.
Дело не в не совершенном ПО, а в не совершенном мире. Вы конечно можете внести в программу миллион параметров, но где гарантия, что все эти параметры получены верно. Простой пример: ни в одном помещении нет идеального 90° угла, есть коммуникации расположение которых в пространстве измерить сложно (например: газовая труба, расстояние от пола, расстояние от стены - все это не константы, труба может быть криво сварена или криво установлена), типы стен и поверхностей.
Вот и получается что приходит мебель, а потом ее по месту уже начинают подгонять.
Классика) Кто-то опять решил, что принципы проектирования мешают творить великий монолит на 30 тысяч строк в одном классе.
SRP мешает писать God-классы, где всё: от бизнес-логики до отправки email и рисования графиков.
OCP бесит, потому что расширять — сложно, а переписать всё к чёрту — приятно и быстро (до следующей итерации боли).
LSP — слишком академично, ведь кто в проде проверяет, что Square — не Rectangle? Ну, кроме баг-трекера, конечно.
ISP раздражает, ведь лучше засунуть makeCoffee() в общий интерфейс IWorker, чем подумать, кто реально это должен делать.
DIP вообще анекдот: зачем абстракции, когда можно new MyService() и страдать от tightly coupled ада?
Не нравится SOLID? Не вопрос. Но тогда не удивляйтесь, что рефакторинг вашего кода вызывает PTSD у команды, а тесты пишутся через боль и жертвоприношения)
SOLID, DRY, KISS, YAGNI — всё это давно сформулировано, обосновано и проверено практикой. Но с завидным постоянством появляются новые "революционные принципы", в которых узнаются старые идеи, только под другим соусом. Такое ощущение, что у новичков наступает стадия «изобретения философского велосипеда».
Осталось дождаться, когда кто-то на Хабре представит миру "новаторские архитектурные концепты", а по сути — очередную реинкарнацию паттернов из книги "Банды четырёх". Назовёт их S.T.A.G. или D.O.N.K.E.Y. и объяснит, почему это next big thing.
Конечно, путь проб и ошибок — важная часть роста, но знание классики позволяет экономить годы. И время на псевдооткрытия тоже.
Бабушка в окошках разбирается и драйвер может обновить и реестр поправить, а с линуксом беда - там демоны
Согласно результатам исследования, в большинстве случаев ошибки в коде на Python не обрабатываются должным образом?
Тогда, наряду с показателями стоимости и производительности, целесообразно учитывать дополнительную метрику - частоту фатальных сбоев либо коэффициент нестабильности, отражающий устойчивость системы к ошибкам и изменениям.
Ловко сову на глобус натянули. Вопрос только - зачем?
https://www.cnews.ru/news/top/2025-03-31_razrabotchik_prilozhenij_dlya
https://www.cnews.ru/news/top/2025-05-14_kompanii_osnovatelya_moego
Напомню, что все NLP использую архитектуру Трансформер, разработанную в гугл в 2017 году и ничего нового не предлагают кроме увеличения токенов и датасетов. У ИИ интеллекта столько же сколько и у табуретки - перерождение поисковых движков, не более.
Теория без практики пустая трата времени, мозг запоминает те знания которые мы применяем на практике. Любой знает, что добрую половину знаний которые мы проходили в школе/институте и которую мы не применяли - мы забыли.
Любую книгу по программированию лучше читать за компом - читаем главу, набираем код из книги, смотрим как работает, дебажим, крутим, вертим. Так вы запомните как работает язык - это главное, понять устройство и принцип работы, позже что бы освежить эти знания понадобиться 5 минут в гугле.
По поводу записей:
it индустрия развивается так быстро, что ваши записи устаревают быстрее чем вы их записываете
для каждого инженера самый главный навык умение читать документацию, с этим навыком вы быстрее найдете и примените нужную информацию с сайта производителя, чем будете копаться в 2-х летних записях и удивляться почему ничего не работает.
P.S. Считаю полезней потратить время на практику с языком, чем на переписывание из книжки в ношион/блокнот/и т.д
Недавно мама так чуть не попала. Только позвонили напрямую, а не через WhatsApp. Представились как Энергосбыт, так же история с кодом и т.д. Взломали гос услуги. Прислали СМС "Замечена подозрительная активность по банковским счетам, срочно связаться и номер".
Я с ними Нади интереса 50 минут общался. Там схема такая:
Ломают госуслуги и смотрят там ваш доход (выписка из пенсионного, недвига, авто)
Дальше присылают смс что срочно нужно связаться с Роскомнадзором, Центробанком и т.д.
В моем случае был "сотрудник" центробанка.
И там начинается развод, он представляется, называет номер удостоверения, должность - всякий бред. Потом сообщает что на гос услугах от вашего имени выпущена доверенность сроком на 3 года на УКРАИНСКОГО ТЕРРОРИСТА и теперь он может распоряжаться вашим имуществом и счетами, а вас за связь с ним могут посадить, НО вам очень повезло и он сейчас все заблокирует, сейчас вам позвонит сотрудник фин мониторинга. Через какое то время звонит "сотрудник" фин мониторинга, спрашивает в каких банках счета, сколько, что срочно все нужно перевести на бизнес счёт. Скидывает какие-то бумаги и договора с которыми надо ознакомится и сказать что ознакомлен))) Потом идёт сотрудник ФСБ которому нужно по видеосвязи увидеть ваше лицо (тут то я и прокололся). Но конец мы все знаем из новостей, где люди отдают и переводят миллионы.
Если честно все диалоги безграмотные, объяснения крайне глупые и ограниченные, но люди почему то им верят.
Встретились два ИИ на собесе, один вопросы задавал, другой отвечал.
Надеюсь автор писал эту статью в Р7 установленном в Роса на своем новеньком Байкал.
Большинство "ипортозамещенного" софта, включенного в реестр это профанация - перепаковать опенсорсный софт и продавать его бюджетным организациям.
Почему сомнительную?
Такое впечатление, что статьи про ИИ пишут люди которые ИИ не пользуются.
Если отбросить весь хайп, то ИИ это система поиска, удобнее, более продвинутая, но не больше. Попробуйте реализовать с ее помощью что-то сложнее какого маппера, и на пятой итерации вы поймёте что он галюцинирует и водит вас по кругу.
На моей памяти когда гугл внедрил свою инновационную систему поиска, умерли все интернет каталоги. Сейчас никто и не вспомнит про Yahoo.
Помню подобный хайп про блокчейн и биткоин, потом про ковид.
P.S.
>Западные компании признались что проводят сокращения из-за внедрения ИИ
Конечно удобней признаться, что сокращения в компании из-за повышения автоматизации, а не из-за финансовых трудностей. Мы все не сомневаемся в честности компании, все помнят как при проблемах на рынке недвижимости компании честно заявили о проблеме и никакого финансового пузыря не было.