Двенадцатый выпуск еженедельных IT-новостей от OpenIDE!
На этой неделе прошёл JPoint 2026, вышел Amplicode 2026.1 со Spring Agent Toolkit, а Anthropic впервые обогнала OpenAI по оценке на вторичном рынке. Плюс история о том, как AI-агент удалил продакшн-базу данных за 9 секунд.
Ваш ИИ-агент только что выдал строчку. И она выглядит… подозрительно? Указатель без проверки на NULL, сериализация через pickle без валидации и логика базы данных, никак не защищённая от SQL-инъекций. Заметить одну-две таких подстав легко, но если строк больше 5 тысяч? А сколько коллег нажали Approved без должной внимательности?
Проблема даже не в том, что ИИ может ошибаться, а в том, что он делает это уверенно и в промышленных масштабах. И вот здесь начинается настоящая гонка. С одной стороны — LLM, которые штампуют уязвимости. С другой — LLM, которые эти уязвимости ищут, подсвечивают и помогают закрывать.
На повестке дня: дырявый код, новая парадигма в безопасности, автодетекция уязвимостей и кибер-оружие.
Искусственный интеллект всё активнее встраивается в повседневные бизнес-процессы: компании используют его для автоматизации операций, аналитики, работы с клиентами и оптимизации внутренних процессов. Но вместе с новыми возможностями AI приносит и новые вызовы для кибербезопасности. Чем глубже интеллектуальные системы интегрируются в ИТ-ландшафт компании, тем больше появляется потенциальных точек отказа, уязвимостей и сценариев для атак.
Статья написана на основе интервью с Андреем Щиголевым, основателем бренда «Одиванчик», Ижевск.
Я делаю компактные диваны в Ижевске и продаю их на маркетплейсе. Почти три года работаю, и вроде всё на месте: производство, команда, сбыт. Но в начале 2026 года маржа сжалась, конкуренция удвоилась — и я впервые не понимаю, что делать.
В современном мире разработки программного обеспечения аутентификация и авторизация являются ключевыми концепциями, необходимыми для обеспечения безопасности и контроля доступа пользователей. В статье рассмотрим основы регистрации, аутентификации и авторизации, а также два популярных механизма аутентификации — сессионный механизм и JWT токены. Разберем их принципы работы, отличия, плюсы и минусы, а также практические аспекты реализации на Python с использованием FastAPI и SQLAlchemy.
Материал будет полезен как начинающим, так и опытным разработчикам, стремящимся углубить свои знания в backend-разработке и безопасности приложений.
Атакующие давно не ломают стены – они входят в дверь по легитимным учетным данным. Разбираем, почему модель периметра: «межсетевой экран + VPN + кольцо доверия» структурно несостоятельна, как идентификатор становится новой плоскостью управления безопасностью и что меняет появление AI-агентов как самостоятельного класса субъектов.
Сценарий, с которого начинается типичный взлом в 2026 году
Сотрудник компании открывает фишинговое письмо, переходит по ссылке, получает на ноутбук инфостилер. В течение нескольких минут вредонос выгружает то, что лежит в браузере: сохранённые пароли, cookie-файлы, активные SSO-сессии Entra ID и облачных сервисов. Через сутки лог уходит на теневую торговую площадку, где его покупают за десятки долларов. Ещё через несколько дней атакующий открывает браузер, подставляет украденную сессию – и логинится в корпоративный SaaS. MFA не срабатывает: токен уже аутентифицирован. Межсетевой экран ничего не видит: это обычный HTTPS с легитимным User-Agent.
Согласно отчету Verizon DBIR 2025 (авторитетному источнику в области ИБ), злоупотребление учётными данными – доминирующий вектор первичного доступа второй год подряд: 22% всех подтверждённых взломов начинаются именно с украденных учётных данных, а на веб-приложениях этот показатель доходит до 88. 54% жертв вымогательского ПО имели предварительную компрометацию в логах инфостилеров ещё до атаки. В прошлом году вредоносы-инфостилеры увели 1,8 млрд учётных данных и обеспечили 86% взломов.
Атакующему часто не нужен эксплойт. Не нужен 0-day. Не нужен обход NGFW. Ему достаточно того, что у вас есть пользователь, у пользователя есть учётные данные, а у учётных данных – действующая сессия.
Kodaсode используют десятки тысяч разработчиков в месяц. Постепенно запросы стали приходить не от отдельных людей, а от компаний: как оформить юридически, куда уходят данные из кодовой базы, есть ли централизованное управление доступами и корпоративный биллинг.
Этой статьёй мы отвечаем на все эти вопросы — и рассказываем о нашем корпоративном предложении.
СМС: “Алексей, поздравляем! Ваш результат на 42.2км - 03:54:26”
Анализ крови после финиша показал бы один сплошной дофамин…
А ведь еще полгода назад я и представить себе не мог такой финал. Когда в конце ноября прошлого года я начал регулярно бегать, в мыслях было “ну вот, хорошо бы в конце мая пробежать на ЗаБег.рф половинку…” - это казалось прям какой-то нереальной целью. Но что-то пошло не так - и вот, начало мая, Казань, и я стою на старте своего первого марафона. Как так получилось и при чём тут ИТ?
В боевых искусствах есть понятие боевой добродетели У-Дэ.
武德 (У-Дэ) — два иероглифа: 武 (у) — боевой, воинский; 德 (дэ) — мораль, добродетель. Буквально: воинская добродетель.
У-Дэ — это мораль человека, занимающегося боевыми искусствами, этический корпус, который передается в каждой школе.
У-Дэ опирается на конфуцианский фундамент, ядро которого — пять добродетелей:
仁 (жэнь) — человечность,
义 (и) — справедливость,
礼 (ли) — благопристойность,
智 (чжи) — мудрость,
信 (синь) — честность.
Добродетели определяют не только то, как ученик дерется, но и то, как он живет и взаимодействует с людьми.
У боевого мастера есть готовый кодекс, который он впитывает. У руководителя такого нет, но есть управленческая традиция — книги, наставники, ошибки. За 7 лет руководства у меня сформировались свои принципы работы. Они зрели годами — через опыт и через ситуации, в которых приходилось принимать сложные решения. Сейчас я в той точке, когда захотелось их зафиксировать, а не держать в голове. Зачем? Чтобы видеть самой и показывать лидам. Передача культуры руководителя так же важна, как и передача мастерства в боевых искусствах.
За несколько лет работы я сменил несколько проектов и команд. Стек менялся: где-то был Kotlin, где-то классическая Java, где-то вообще старый монолит на виртуалках.
Но самое сильное различие было не в технологиях.
Всё решали люди, которые руководят разработкой.
За это время я поработал с разными типами руководителей: от токсичного лида, которого боялась вся команда, до менеджера, который жил ради одобрения заказчика, и руководства, способного за пару месяцев развалить нормальный проект.
И самое неожиданное - один из них, при всех своих минусах, оказался для меня полезнее остальных.
В этой статье - три реальных кейса и то, чему они меня научили. И как каждый из руководителей влияет на разработку.
Привет, Хабр!
В IT любят повторять, что «важны навыки, а не корочки». Но тогда почему часть вакансий до сих пор требует высшее образование? Почему одни работодатели спокойно нанимают выпускников курсов, а другие отсеивают их ещё на этапе поиска?
Я решил проверить это не на уровне мнений, а на практике. Для эксперимента мы создали два почти одинаковых резюме junior Java-разработчиков: один — выпускник технического вуза, второй — выпускник онлайн-курсов. Дальше — почти 2000 откликов, одинаковые вакансии, реальные HR и очень неожиданные выводы.
Это не теоретический спор про «нужна ли вышка». Это попытка посмотреть, как рынок ведёт себя на самом деле.
Привет, уважаемые эксперты!
На связи Альбина Аскерова, руководитель направления по взаимодействию с регуляторами Swordfish Security, и сегодня в моём обзоре будет методический документ ФСТЭК России от 12 апреля 2026, определяющий состав и содержание мероприятий и мер по защите информации в информационных системах.
Перечитал две страницы материалов по ценностному предложению на Хабр и понял, что мне есть, что сказать основываясь на реальной практике
Сейчас на дворе 2026 год и на рынке поменялся фильтр с которым клиент смотрит на ваш продукт. Покупают то, что уменьшит потери, ускорит процесс или даст измеримый эффект в деньгах.
И если нет ответа на вопрос «А какой экономический эффект и за счёт чего?» то дальше вы услышите знакомое: «давайте позже», «сейчас не приоритет», «бюджет уже распределён».
В этой статье — про то, как устроено ценностное предложение, которое выдерживает этот вопрос с живым примером из практики.
Сделать поиск по каталогу легко. Гораздо сложнее — сделать каталог, который полезен не только на первом запросе.
Это демо как раз об этом. Здесь мы используем небольшой каталог настольных игр, но сам сценарий знаком многим: пользователь вводит что-то полузабытое, ошибается в написании, сужает выдачу по ограничениям, листает дальше, открывает карточку, а потом хочет увидеть «что-то похожее», не начиная всё заново. Если в вашем продукте есть такой сценарий, основная работа — не в полировке интерфейса. Важнее добиться правильного поведения поиска и не переусложнить весь стек.
В этой статье мы делаем каталог с автодополнением, работой с опечатками, фильтрами, фасетами, глубокой пагинацией, семантическим поиском и рекомендациями похожих документов.
Сначала можно попробовать уже развёрнутую версию:
Если вам обещают, что ИИ ускорит разработку в 5 раз — скорее всего, вам пытаются что‑то продать. Особенно если «волшебство» сводится к установке плагина в IDE.
Меня зовут Алиса Герасимова, я руковожу отделом функционального тестирования в центре разработки и машинного обучения «Инфосистемы Джет». В статье расскажу, как ИИ ускорил одну из наших команд разработки, но с цифрами из реального мира. Поговорим про метрики, разграничение ролей между человеком и ИИ, а также честно покажем, где машина больше мешает.
Статья будет полезна тимлидам, скрам‑мастерам и всем, кто устал от маркетинговых метрик без контекста.
Привет, Хабр! Меня зовут Александр. В YADRO я разрабатываю приложения внутри оболочки kvadraOS: да, у нас есть своя оболочка на основе AOSP — в команде One UI, Color OS и MiUi прибыло.
Сегодня расскажу о тайнах и тонкостях приложения «Системные настройки» — это наша реликвия, очень старое приложение с нагромождением костылей стилей и подходов. Когда наша команда взялась его перерабатывать, у нас было 230 000 строк legacy-кода на Java и около 300 активностей и фрагментов. Как вы понимаете, задача была не из легких.
Через что нам пришлось пройти, чтобы улучшить приложение, и почему мы не убежали не переписали его с нуля, расскажу дальше. Спойлер: было жестко, но все закончилось хорошо. Теперь у нас есть все основания утверждать, что работа над «внутренностями» Android — это высшая лига.
Привет, Хабр! Меня зовут Игнатий Цукергохер, я фриланс‑журналист и блогер. Продолжаем обозревать мероприятия, на этот раз речь пойдет о масштабном хакатоне MTS True Tech Hack 2026. В этом году, как и в прошлом, он состоял из двух треков: открытого для всех желающих и внутреннего — для сотрудников компании. В каждом из них призовой фонд составил 1 500 000 рублей. У участников было всего шесть дней, чтобы предложить свое решение, как улучшить уже существующие продукты с помощью искусственного интеллекта. Лучшие решения вполне реально могли попасть в продакшн.
В этом материале расскажу о задачах, с которыми работали участники, как проходил офлайн‑финал с питчингами команд и что происходит, когда сотни разработчиков пытаются за несколько дней создать работающие решения на стыке языковых моделей, агентских систем и реальных бизнес‑кейсов. Приятного чтения!
Индустрия AI окончательно перешла от «умных чат-ботов» к автономным инженерным системам. Прошедшие недели подсветили три главных вектора: агенты становятся самостоятельными инженерами, железо адаптируется под запросы LLM, а большие деньги уходят в системную интеграцию.
С начала 2026 года базовую ставку НДС повысили с 20% до 22%. Классическая логика: ставка выше - поступлений должно быть больше, здесь не совсем работает.
Но обо всем по порядку. По предварительной оценке Минфина, за январь-март 2026 года поступления НДС по производству и импорту составили 4,05 трлн руб. против 3,67 трлн руб. годом ранее. Рост примерно +10,3%.
Выглядит как хорошая новость, особенно когда нефтегазовые доходы находятся под давлением, а бюджету нужны устойчивые ненефтегазовые источники.
Давайте разберемся, за счет чего был этот рост и ничего ли не забыли при повышении ставки НДС.
Если вы работали с API Ozon, то наверняка испытывали смешанные чувства, поняв, что отчет по транзакциям формируется по отправлениям. а не по товарам, как в WB. И проблема в том, что в одной строке ответа API метода v3/finance/transaction/list мы имеем данные по отправлению, в котором может быть несколько товаров. При этом указанная сумма покупки (accruals_for_sale), комиссии, логистики и других начислений в отчете указана одна, то есть на все отправление в целом. А значит встает задача, посчитать сколько из общей суммы приходится на единицу товара.
В этом статья поделюсь, как я решил эту проблему в своей системе аналитики продаж через Wildberries и Ozon. Напомню, небольшой обзор своей системы WBOZYA‑dash я делал в первой статье. А как получать данные из API маркетплейсов без ошибок 429 и 50x описал во второй статье.