IT-стандарты *

ИТ-директор знает, что сервер загружен на 90% и скоро встанет. Бухгалтер знает, что этот же сервер уже три года как самортизирован и формально не существует. Закупщик знает, что на прошлой неделе купил сорок новых ноутбуков — и понятия не имеет, что на складе лежат ещё два десятка. Все трое работают в одной компании, но живут в разных реальностях.

Цена этого разрыва — потерянное оборудование, раздутые бюджеты и простои, которых можно было избежать.

LLM-агенты отлично решают алгоритмические задачи. Но что произойдет, если поместить их в реальную инфраструктуру – с CI/CD, branch protection и security-политиками?

Я провел эксперимент: дал агентам простую задачу – внести изменение в репозиторий и замерджить его в main, соблюдая все правила. При этом у них был доступ к тем же инструментам, что и у разработчика, включая GitHub CLI и админский токен.

Результат оказался немного неожиданным. Практически все модели успешно выполнили задачу, но ни одна так, как я ожидал.

Привет! На связи Антон Полухин из Техплатформы Городских сервисов Яндекса. На днях в Кройдоне состоялась встреча международного комитета по стандартизации языка программирования C++, в которой я принимал активное участие. В этот раз (как и в прошлый), всё внимание было сосредоточено на C++26 и… теперь он готов! Осталось пройти формальные этапы в вышестоящих инстанциях ISO, и мы получим C++26 который заслужили. В нём будут:

• reflection,

• контракты,

• SIMD,

• линейная алгебра,

• расширенные возможности сonstexpr,

• hardening,

• Hazard Pointer и RCU,

• #embed,

• executors,

• и многие другие полезные вещи.

Иногда проблема продукта не в том, что он не нужен, а в том, что им невозможно пользоваться.

Это история про рейдизайн (и немного рефакторинг) раздела управления облачными расходами в нашей платформе для управления затратами на ИТ-инфраструктуру «Клаудмастер». И сделали так, что вместо 2 минут клиенты стали проводить в разделе 10, используя его функции в полном объеме.

Чек-лист для фиксации программного обеспечения. Внедрите эту практику в своем стартапе или студии:

В договоре: Пропишите, что результатом является исходный код в системе контроля версий

В процессе: Перед подписанием акта разработчик делает git bundle

В акте: Укажите имя файла и его SHA-256 хэш

Подпись: Используйте электронную подпись, выданную удостоверяющим центром

Хранение: Сохраните файл дампа в надежном хранилище (не только на рабочем ноутбуке)

Пока юристы спорят, можно ли считать код объектом авторского права, а идею программы охраняемой, разработчики уже несколько месяцев живут в новом мире. Мире AGENTS.md. И в этом новом мире, вероятно, вы cможете фиксировать архитектуру продукта так, что уходящая команда уже не сможет просто скопировать «вашу идею» в соседний стартап.

AI-агенты не только научились превращать документ в код. Они могут сделать и противоположное: превратить код обратно в документ. Зачем нам это?

Долгое время действовало негласное правило: продукт = код. И именно вокруг кода выстраивалась вся логика контроля:

Из всего многообразия оборудования, которое встречается в ЦОДе, ленточные библиотеки — единственный вид, работу которого можно увидеть. Ленточные библиотеки ворочают петабайты данных на магнитных лентах в картриджах, которые отдают лёгкой ностальгией по VHS, и делают это с помощью роботов. А роботы — это (почти) всегда круто. И в одной библиотеке их может быть несколько!

Ленточные библиотеки стыкуются из модулей, как огромные орбитальные станции, а их производители в погоне за максимальной плотностью хранения картриджей находят очень изобретательные решения — от хранения картриджей в несколько слоёв в одном слоте до револьверных механизмов высотой с холодильник и шаттлов, которые передают ленты между разными библиотеками. Это ли не круто?

С момента появления SMS человечество столкнулось с необходимостью формализовать процессы, которые ранее регулировались исключительно культурными нормами и личным опытом: инициирование контакта, синхронизация состояний, подтверждение получения, корректное завершение диалога. Существующие стандарты (3GPP TS 23.040, RFC 5724) описывают лишь транспортировку сообщений, но не семантику обмена.

В условиях, когда доступ к некоторым мессенджерам может быть ограничен по техническим причинам, SMS остаётся общедоступным каналом связи, не требующим доступа к сети Интернет. Протокол SOS восполняет пробел в стандартизации, предоставляя единый язык для описания процессов, которые ранее приходилось объяснять «на пальцах».

Представьте, что вы платите за электричество, которое не используете. Не потому что ошиблись в расчётах, а потому что так устроена тарифная модель. Именно это может стать реальностью операторов ЦОДов: переход к оплате за резервируемую мощность превращает каждый запас на будущее в убыток в текущий момент. То, что раньше считалось хорошей практикой ― строить с запасом и постепенно загружать мощности, ― теперь становится финансовой ловушкой.

Знаете, что общего между щенком лабрадора и корпоративным AI-проектом? Оба сначала кажутся милыми и недорогими, а через полгода жрут столько, что хочется плакать. Только щенок хотя бы ласкается, а нейронка просто молча выставляет счет за GPU. В этой статье мы вместе с Александром Меркушевым (AI-консультант, архитектор облачных и AI решений, руководитель экспертной группы по внедрению ИИ в Яндексе) разбираемся, как AI меняет структуру инфраструктурных затрат, что с этим делать уже сейчас и, главное, поможет ли тут FinOps.

Присоединяйтесь к нашему сообществу «Практики FinOps» в Telegram.

Типичная ситуация в ИТ-проектах: приходит задача на автоматизацию, бизнес-аналитик начинает с нуля собирать требования, рисовать процесс, согласовывать его с заказчиком, выявлять исключения, уточнять роли и данные. Проходит время, задача уходит в разработку. Через месяц — новый запрос, и снова тот же путь. Процессы рисуются «под задачу», не связаны между собой, в каждом проекте — своя терминология и своё видение.

Обратная ситуация - если бы в компании была единая, поддерживаемая и согласованная модель деятельности, которую можно «взять» как основу для любой задачи на автоматизацию. Такая модель и есть процессная архитектура организации.

Привет, Хабр! Эту статью пишет авторский коллектив Центра экспертизы по комплексному сервису К2Тех: я, Пётр Михнюк, руководитель группы инженеров по поддержке системного ПО, и мои коллеги Александр Овчинников, старший инженер по поддержке вычислительного оборудования, и Алексей Яковлев, руководитель практики ИТ‑мониторинга. У нас на поддержке около 550 клиентов из сегмента enterprise, многие с географически распределенной инфраструктурой, и практически все они так или иначе опираются на Zabbix или его наследников.​

По нашему опыту, главная угроза для эффективного мониторинга — иллюзия контроля. Часто бывает так, что система развернута, графики рисуются, алерты шлются, но команда тонет в сотнях уведомлений и не успевает ловить действительно важные события: вместо одного «критического инцидента» получаются десятки разрозненных тикетов. При этом проблемы с лавиной оповещений, тарированием порогов и общей логикой мониторинга почти не зависят от того, используете ли вы «голый» Zabbix или его форки вроде «Пульс», Glaber или UDV ITM. Учитывая, что в большинстве случаев «наследием» наших клиентов является именно Zabbix, мы будем опираться на конкретные примеры из работы с ним. Под катом — не теория, а наши подходы и примеры: как перестать тонуть в алертах и превратить Zabbix в инструмент, которому можно доверять.

Чтобы человек доверял ИИ, а тот не имел возможность обманывать людей, необходимо решить проблему объяснимости, то есть описать, как нейросеть пришла к тому или иному выводу. Похожая проблема существует и в мышлении человека, который далеко не всегда может объяснить, как он приходит к тем или иным выводам (вспомним таблицу Менделеева). Решить ее, и довольно успешно, пытался еще Федор Михайлович Достоевский в рамках своего специального проекта «Дневник писателя».

Проблеме объяснимости рассуждений и выводов нейросетей посвящено множество исследований, в частности, книга «Взломать все. Как сильные мира сего используют уязвимости систем в своих интересах?», написанная экспертом по кибербезопасности, криптографом, гарвардским профессором Брюсом Шнайером.

Проблема объяснимости состоит в том, что ИИ, по сути, являются черными ящиками, в которые с одного конца поступают данные, а с другого выходит ответ, и понять, как как получен этот ответ, не могут даже разработчики нейросетей. Более того, ход «рассуждений» ИИ может не соответствовать формату понятных для человека объяснений в принципе. По мнению Брюса Шнайдера, в ближайшей перспективе ИИ будет все более непрозрачным, поскольку системы усложняются, становясь все менее похожими на человека, а значит, и менее объяснимыми. 

Тем не менее, он считает, что «Система ИИ должна не просто выдавать ответы, но объяснять ход своих рассуждений в формате, понятном человеку. Это необходимо нам как минимум по двум причинам: чтобы доверять решениям ИИ и чтобы убедиться, что он не был хакнут с целью воздействия на его объективность». Кроме того, «аргументированное объяснение … считается основным компонентом идеи надлежащей правовой процедуры в соответствии с законом».

Приветствую, дорогие читатели. На протяжении последнего года мне посчастливилось пообщаться с несколькими десятками бывших и текущих коллег, от разработчиков до владельцев компаний, на тему внедрения ИИ, и, кажется, я открыл врата в ад.

Написать эту статью меня сподвигнул услышанный недавно краем уха разговор:

Разбираем Приказ ФСТЭК России № 117, который вступил в силу с 1 марта 2026 года и заменил действовавший более десяти лет Приказ № 17. В статье подробно рассматриваются новые требования к защите информации в государственных информационных системах, включая введение показателей Кзи и Пзи, переход к процессной модели управления безопасностью, ужесточение требований к кадровому составу и обязательность внедрения современных средств защиты.

Отдельное внимание уделено практическим аспектам применения: какие технические меры стали обязательными, какие сроки установлены для устранения уязвимостей, как изменилась архитектура защиты и почему у многих организаций возникают сложности с переходом. Рассматривается текущая ситуация на рынке, включая нехватку методических разъяснений и возможный пересмотр подходов к классификации систем.

Привет, Хабр! Меня зовут Александр Лемаев, я ведущий аналитик в ГК «Солар». Если ваш старый прокси-сервер больше не обновляется, а количество успешных фишинговых атак растет — эта статья для вас. По данным центра исследования киберугроз Solar 4RAYS, во 2 квартале 2025 года на одну российскую организацию пришлось в среднем более 160 заражений вредоносным ПО – это на 20% больше, чем в предыдущем квартале. Хакеры всё чаще используют комбинированные кибератаки на сетевую инфраструктуру, а APT-группировки активизировались во втором полугодии. Перед компаниями стоит задача не просто импортозаместить решения зарубежных вендоров, таких как Symantec (Blue Coat), Сisco WSA, FortiProxy или McAfee, а построить эшелонированную защиту сети.

В этой статье расскажу о классе решений Secure Web Gateway (SWG) – о том самом «сетевом шлюзе безопасности», который стоит между пользователем и интернетом. Покажу архитектуру изнутри: из каких компонентов состоит современная SWG-система, какие протоколы (от классического HTTP до FTP и SSH) она обязана контролировать, и как она закрывает новые вызовы – например, фильтрацию трафика AI-сервисов и защиту от утечек данных.

Главное – перейдем от теории к практике на примере Solar webProxy – одного из немногих зрелых отечественных решений в этом классе. Разберем его архитектуру, поддержку DPI (глубокого анализа трафика) и возможности интеграции с внешними системами. А на реальном кейсе – проекте «Единая сеть передачи данных» – посмотрим, как решение масштабируется под нагрузкой в рамках одного из самых масштабных ИТ-проектов страны.

Эта статья про то, как делать гибкую и расширяемую архитектуру с помощью простейших инструментов. Метод компонентов даёт интероперабельность, платформы, области ответственности, управление жизненным циклом, свободу в выборе технологий, бесконечный источник дофамина и избавляет от боли в суставах. Короче, компонентный подход реально CRAZY. А самое главное то, что он очень простой.

Пока весь мир спорит, заменит ли ИИ человека, два разных подхода к регулированию ИИ вступают в решающую фазу.

В Европе с 2024 года работает первый в истории всеобъемлющий AI Act, который сейчас адаптируют под реалии бизнеса через пакет поправок Цифровой омнибус.

В России 18 марта 2026 года Правительство выкатило на публичное обсуждение свой проект, закон «Об основах государственного регулирования сфер применения технологий искусственного интеллекта».Оба документа вступают в силу примерно в одно время (2026-2027 годы), но философия у них кардинально разная.

ЕС защищает права человека и фундаментальные ценности через риск-ориентированный подход. Россия делает ставку на «технологический суверенитет» и защиту традиционных ценностей. Разбираемся, в чем различия и что это значит для бизнеса.

Европейский подход (AI Act):

ЕС выбрал риск-ориентированную модель. Все системы ИИ делятся на четыре категории:
1. Недопустимый риск - запрещены (социальный скоринг, манипуляции поведением).
2. Высокий риск - строгие требования (кредитные скоринги, найм сотрудников).
3. Ограниченный риск - требования прозрачности (чат-боты, дипфейки).
4. Минимальный риск - без ограничений .
Главной целью являются защита здоровья, безопасности и фундаментальных прав человека. Штрафы колоссальные до €35 млн.

Российский подход:

Наш закон ставит во главу угла «обеспечение государственного технологического суверенитета» (Статья 1). Главное, чтобы критически важные нейросети были российскими, обучались в России и на российских данных.

В своей практике я часто вижу одну и ту же проблему. Корпоративные архитекторы проектируют схемы целевой архитектуры (в лучшем случае - в репозитории в ArchiMate, но чаще просто в PowerPoint) , Solution и Software-архитекторы принимают тактические решения, а итоговая архитектура реализованного решения всё равно "плывёт" и не соответствует задуманному.

Стратегия остаётся слайдами в PowerPoint. Принципы — просто слова на виртуальной доске. Команды разрабатывают "как удобно" (или "как быстрее), а не "как задумано".

Почему так происходит? Потому что между стратегией и реализацией есть разрыв, т.к. между ролями участников ИТ-производства нет чётких процессов взаимодействия на уровне конкретных объектов управления и зон ответственности. Преодоление этого разрыва — зона ответственности архитектора-методолога.

В этой статье я разберу несколько ключевых концепций, которые помогают этот разрыв закрыть: Discovery и Delivery, TOGAF ADM и Change Management. А в финале покажу, как они агрегируются в IT-Governance — и почему архитектор-методолог (такую роль можно встретить очень редко в виде чётко сформулированного запроса) находится в центре этого агрегатора.

Вы когда-нибудь получали два списания с карты за одну покупку? Или видели дважды созданный заказ после одного клика? Это не баг платёжной системы - это баг вашего кода. Имя этому баг - отсутствие идемпотентности.