Все потоки

Форк репозитория — операция настолько привычная, что на нее редко смотрят с подозрением. Но что, если через обычный форк можно запустить произвольный код на CI/CD-воркере чужой приватной компании? 

Именно такую цепочку мы обнаружили в GitFlic — отечественной платформе для совместной разработки ПО и хранения исходного кода от компании «РеСолют». 

GitFlic во многом похож на GitLab — что логично, ведь создавался как его альтернатива. И получилось у разработчиков сносно: если вы работали с GitLab, то GitFlic вызовет у вас приятное чувство дежавю.

В статье разберем не только саму уязвимость, но и покажем ход рассуждений: почему стоит смотреть на привычные операции с подозрением и как «незначительная» проблема с правами может вырасти в полноценную атаку на инфраструктуру.

Обнаруженные нами уязвимости были оперативно исправлены разработчиками компании «РеСолют» и зарегистрированы в БДУ ФСТЭК: BDU:2025-12462, BDU:2025-12463, BDU:2025-12464.

LLM пока не может хорошо обращаться с Е2Е автотестами потому что для этого нужно провести целый комплекс мероприятий. Сложность возникает уже на этапе запуска такого автотеста. В отличии от юнит автотестов, Е2Е автотесты почти всегда PageObject и целый проект со своей архитектурой на базе Selenium Appium Espresso и тд.

Обсидиан называют «вторым мозгом». Чтобы он им стал, одних связей недостаточно — нужна память.

Я сделал плагин интервального повторения на современном алгоритме FSRS. Он запоминает что и когда вы учили, предсказывает что вы вот-вот забудете, и показывает какая тема даётся тяжелее всего. Все данные хранятся локально в ваших .md файлах — ничего не уходит на сервера.

В мае 2024 года Broadcom заархивировал публичный репозиторий Greenplum: последний коммит остался на месте, дальнейшая разработка ушла в закрытый репозиторий, enterprise-сборка теперь доступна только по подписке. Greenplum как живой OSS-проект остановился — но сам код, выпускавшийся с октября 2015-го, остался под Apache 2.0. Именно на этой кодовой базе стартанули остальные форки.

Те, кто строил аналитику на Greenplum, оказались перед развилкой. Сообщество разделилось: Apache Cloudberry (incubating), Greengage DB от Arenadata, WarehousePG от EDB. Каждый форк продолжает линию, но в собственной траектории. У компании с боевым кластером появляется конкретный вопрос: переехать/остаться в одном из этих форков или мигрировать на принципиально другую платформу и архитектурную парадигму.

Эта статья (сага из трёх эпизодов) будет полезна, если у вас уже есть Greenplum-кластер, вы понимаете его DDL/ETL/backup-процессы и хотите оценить, насколько болезненным будет переход на StarRocks. 

Я всегда был фанатом шутеров с видом сверху. Hotline Miami и по сей день остаётся моей любимой инди-игрой, а недавно я решил проиграть в её духовную наследницу — OTXO.

Он всегда был моим любимым жанром. Моя первая «серьёзная» игра, Alien Killer (написанная на Flash, поэтому сегодня в неё практически не поиграешь), была шутером с видом сверху, вдохновлённым старой игрой Net Yaroze: Psychon.

В этой статье я расскажу, как разработал похожий на трёхмерный top down shooter без 3D-движка.

Для начала — просто гляньте на те фото и видео, которые я сгенерировал, вообще не прикасаясь к мышке или планшету. Конечно, до и после было проделано немало работы, но сам процесс создания цифрового арта не требовал ручного рисования. Так что скажем спасибо моим CPU и GPU — они реально тащили 💪

По ходу этого пути возникли интересные вопросы: когда вообще есть смысл использовать СPU, и как модели разного размера ведут себя при параллельных нагрузках? В целом, результаты получились довольно любопытными.

В январе 2014 года мир сошёл с ума из-за игры, где нужно просто тыкать в экран. Flappy Bird приносила создателю $50 000 в день, пока он не удалил её из-за давления и бессонницы. Игру начали продавать на чёрном рынке вместе со смартфонами.

Я решил собрать свой веб-клон, чтобы понять, в чём же здесь магия. А в конце — откровенный список из 12 проблем, из-за которых мой клон всё ещё не тянет на оригинал.

Всем привет! Меня зовут Катерина Черных. Я ведущий бизнес-аналитик в X5, но в этой статье не будет про IT. Так получилось, что за август я взошла сразу на три вершины: пик Юхина (5130 м), Арарат (5137 м) и Эльбрус (5642 м). И только после третьей горы нашла для себя ответ на вопрос «зачем я хожу в горы?». Если вы тоже выбираете свою первую серьёзную гору, мой опыт может оказаться полезным.

Сначала главной мотивацией было проверить, как организм отреагирует на высоту, и попробовать что-то принципиально новое. При этом я искала максимально безопасный вариант и хотела начать с простых маршрутов без большого количества снаряжения. Новичкам обычно советуют Эльбрус, но истории о несчастных случаях там, появляются регулярно, поэтому на первом этапе он выпал из моего списка.

Всем привет! Меня зовут Вадим, я — Data Scientist в компании Raft. Эта статья написана по мотивам моего выступления на конференции AiConf 2025. В ней мы разберём, какими метриками измеряется машинное разучивание и какие основные методы позволяют добиться контролируемого «забывания» без полного переобучения модели. Погрузимся в методы, метрики и бенчмарки, связанные с машинным разучиванием.

Недостаточно просто удалить конкретные примеры: модель может по-прежнему хранить их в параметрах и воспроизводить при другом контексте или атаке. И даже если забывание произошло, как убедиться, что при этом не разрушилась вся остальная функциональность модели?

Всем привет, меня зовут Антон Рыбочкин, я старший разработчик бэкенда в команде Yandex Monium. Monium — это платформа для сбора, хранения и анализа телеметрии (метрик, логов и трейсов). Она позволяет дать оценку того, как себя чувствует сервис, находить причины сбоев, оперативно уведомлять об аномалиях.

Изначально эта платформа развивалась как внутренняя система для мониторинга сервисов в масштабах всего Яндекса. Отсюда высокие требования к надёжности сервиса — телеметрия должна быть доступна, даже когда другие сервисы лежат. И с точки зрения бэкенда в таких кейсах есть свои вызовы, один из них — сборка мусора, или сокращённо GC.

В этой статье я расскажу про наш опыт с разными сборщиками мусора: с какими проблемами Java GC мы столкнулись в разных сервисах, как их можно диагностировать и как решить.

Хабр, привет!

На связи команда инженер-аналитиков R-Vision. Мы проанализировали широкий спектр уязвимостей, выявленных в апреле 2026 года, и включили в дайджест лишь те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности.

На днях глава Совета по правам человека (СПЧ) Валерий Фадеев заявил, что по его мнению, люди, использующие VPN, ищут не другую точку зрения, а слушают, «что враг говорит».

То есть человек, чья прямая обязанность - защищать наши базовые права, чуть ли не объявляет нас диссидентами. И хочется спросить у него: а как же Конституция РФ? Статья 23 гарантирует нам тайну переписки, а статья 29 - право свободно искать, получать и передавать информацию. Так почему же нас лишают этой возможности? Вопрос риторический.

Выступая в конце апреля 2026 года, Фадеев публично возмущался тем, что граждане пытаются узнать подробности об экологических проблемах и масштабном пожаре в Туапсе через сервисы обхода блокировок, обращаясь к независимым изданиям. В его парадигме поиск информации приравнивается к потреблению враждебной «пропаганды». А в желании выйти за рамки государственной информационной повестки он видит «что-то нездоровое».

или "Страшная сказка: продолжение"

Когда появляется очередной прогноз катастрофического характера, в ответ всегда поступают возражения определённых типов. Эти возражения повторяются из дискуссии в дискуссию и обычно строятся на исторических аналогиях («раньше тоже боялись, и всё обошлось»), идеологических убеждениях («рынок решит», «государство справится», «технологии всегда побеждают»), психологических защитах («это не может быть так плохо»).

Часть этих возражений содержит зерно истины — соответствующие исторические паттерны действительно работали в своё время. Но автоматическое перенесение паттерна из прошлого в настоящее — это методологическая ошибка. Условия меняются, и то, что работало в одной конфигурации, не обязательно работает в другой.

Начну наверное постепенный сбор таких аргументов и их разбор структурно: что в них верно, что устарело, какие условия должны быть выполнены чтобы они применялись, и почему текущая ситуация эти условия не выполняет.
(Ни для чего... просто из любви к искусству, так сказать)

Это инструмент для дискуссии — чтобы не приходилось каждый раз заново объяснять одно и то же скептику. А также это инструмент для самопроверки — если паттерн применим, прогноз должен быть скорректирован; если нет, нужно понимать почему.

Из моего отдела ушел ключевой специалист. Унес три года контекста. Я начал разбираться и обнаружил, что инструментов для измерения человеческой стоимости задачи не существует. Пришлось делать свой. Через полгода текучесть в команде упала до 10%.

Цепочка короткая: сначала был просто автокомплит, потом появились чаты, в которые надо было руками копировать код туда-обратно (и человек выступал прокси между моделью и проектом — «много ручной работы, контекст рвётся»). Потом пришли агенты, которые живут прямо в проекте, читают и правят файлы, запускают команды. Сверху — агентские системы, которые координируют нескольких агентов и решают проблему перегрузки одного контекста.

Где живёт агент: три класса инструментов

Многие умеют вызывать loss.backward() в PyTorch, но не всегда понимают, что именно происходит под капотом. Как сеть вычисляет, какой из миллионов весов нужно изменить? В этой статье мы развеем магию обратного распространения ошибки (backprop). Разберем алгоритм на простых аналогиях с заводским конвейером, вспомним школьное правило дифференцирования и, чтобы закрепить понимание, напишем свой микро-фреймворк для автоматического вычисления градиентов на чистом Python с нуля.

Асинхронная клиент-серверная библиотека для обмена сообщениями между микросервисами на базе ZeroMQ. Реализует гарантированную доставку сообщений (At-Least-Once) с персистентной файловой очередью при обрывах связи, автоматический failover сервера переадресации (клиенты могут подхватывать роль сервера на лету) и два уровня защиты: шифрование канала (CurveZMQ) и сквозное шифрование сообщений (HMAC). Лёгкая альтернатива брокерам вроде RabbitMQ, не требующая отдельного сервера.

За полтора года я перепробовала огромную вонючую кучу AI-сервисов для редакций. Большинство уже умерло за это время, ещё треть продаёт пустоту с красивым интерфейсом. А какие-то ребзя выжили и пашут вовсю – вот их и разобрала по 14 шагам анонимных алкоголиков работы с текстами. Половина блоков актуальна не только для СМИ. Фактчек, корректура, транскрибация, аналитика нужны всем, кто работает с текстами через нейронки. За грубость и неизящность заранее извиняюсь, уж как могу.

Я долго думал, что главное в IT — это спринты, доски задач и код без лишних встреч. Но после Techday 2026 понял: настоящие решения рождаются не в Jira, а в кулуарах, в метро и за кофе. Делюсь своим опытом — как офлайн-мероприятия меняют связи между командами и экономят энергию

Как выглядит “вежливое выдавливание” из проекта, если смотреть на него не только из процессов, но и через социальный интеллект. Что происходит, когда человека сначала просят передать знания, поучаствовать в обучении ИИ и оптимизации, а затем аккуратно выводят из будущего контура, какие стратегии при этом выбирают люди и как такие решения меняют доверие и устойчивость команд.