Ищем эксперта в команду AppSec, который будет сопровождать ИТ-команды на всех этапах разработки, моделировать угрозы, анализировать безопасность архитектуры проектов и помогать внедрять новые ИБ инструменты и практики.

Что важно:

• Знать основы информационной безопасности: протоколы, средства защиты информации, их назначение, инфраструктуру PKI и принципы работы криптографических алгоритмов

• Уметь находить и устранять веб-уязвимости из OWASP Top 10, OWASP Mobile Top 10 и CWE Top 25

• Иметь опыт практического анализа защищенности и анализа архитектурной документации от двух лет

• Знать технологии построения прикладных систем, в том числе с использованием микросервисов и контейнеризации

 Откликайтесь по ссылке

Готовимся к ЦТФ на примере задачи «Киберремонт киберпанциря»

ЦТФ (CTF, Capture the Flag, «Захват флага») — это соревнования, на которых в течение нескольких дней вы отвлекаетесь от рабочей рутины и пытаетесь найти «флаг» — специальную секретную информацию, которая зашита в разработанные для игры системы, заполучив которые можно только через взлом. Потому задания на соревнованиях ЦТФ имеют странные названия и не менее странные описания, ведь игра должна вырвать вас из рутины рабочих тасок, а не вогнать ещё сильнее.

При этом задачи на турнирах охватывают разные области кибербезопасности: поиск веб-уязвимостей, реверс-инжиниринг, расследование инцидентов и т.п. На примере сложной задачи «Киберремонт киберпанциря» на Альфа ЦТФ коротко пройдёмся, какие нужны знания и как думать, чтобы решать задания. Разбор пригодится 25 апреля, когда состоится Альфа ЦТФ 2026 с призовым фондом 3 100 000 рублей!

⚡️ Выбирайте трек, объединяйтесь в команду или участвуйте индивидуально — и оставляйте заявку на сайте.

Описание задачи:

«Вы прогуливаетесь вдоль берега и вдруг видите на песке цифры 404, а неподалёку от них — огромную черепаху. Она с грустью рассказывает, что недавно сломала свой киберпанцирь.
Теперь везде, где бы ни прошла Тортилла, остаются надписи Error 404, Page not found или Server is unavailable. Помогите черепахе починить покров: для этого разберите и заново соберите в правильном порядке все микросхемы.
Черепаха рассылала всем знакомым мастерам ссылку на схему верной сборки чипов в панцире с помощью этого сервиса — но увы, ни один ремонтник не откликнулся, а ссылка уже давно протухла.

cybershell-m7qdo6bx.alfactf.ru/»

В данной задаче нам необходимо подобрать необходимую комбинацию чипов (на панцире), чтобы получить флаг, а из условия известно, что изображение с данной комбинацией уже существовало и у изображения есть уникальный хэш картинки. 

У этой задачи есть два решения. 

№1.  Достать картинку из кэша, используя инструменты фаззинга. Фаззинг — перебор директорий, файлов, скрытых и служебных ресурсы, HTTP-запросов посредством различных инструментов вроде Param Miner, ffuf или Webalizer. Подобные инструменты хороши тем, что предоставляют статистику по всем событиям веб-сервера, например, по переходам на Телеграм-бот. Далее найти закэшированное изображение — дело техники.

Читайте статью Основы безопасности веб-приложений: краткий «курс» по выявлению уязвимостей из которой подробнее узнаете о фаззинге и многих других инструментах, используемых для проверки безопасности веб-ресурсов.

№2. Второе решение — короткое — использовать Burp Suite, платформу для тестирования безопасности веб-приложений (о нём также рассказывали в статье выше). Воспользовавшись Burp Suite можно обнаружить, что токен JWT подписан с использованием общеизвестного секретного ключа HMAC. Через JWT Decoder генерируем токен для пользователя admin и получаем доступ к админской сессии. Готово.

Для решения подобных задач и успешного участия в Альфа ЦТФ вам потребуется сочетание навыков из областей Web Security и General IT.

1. Тестирование веб-приложений (Web Security):

• Фаззинг (Fuzzing): умение работать с инструментами перебора для поиска скрытых файлов, директорий и забытых бэкапов в кэше.

• Работа с прокси-инструментами: владение Burp Suite (или OWASP ZAP) для перехвата и анализа HTTP-трафика, подмены параметров и поиска уязвимостей в логике приложения.

2. Криптография и аутентификация:

• Работа с JWT (JSON Web Tokens): понимание структуры токена, умение декодировать его и проверять на слабые методы шифрования (например, использование стандартных ключей HMAC).

• Манипуляция сессиями: навык подделки токенов для повышения привилегий (например, получение прав admin).

3. Общие технические знания:

• Анализ условий: умение находить в тексте задания «зацепки» (упоминание протухших ссылок, хэшей или специфических ошибок вроде 404).

• Инструменты разработчика (DevTools): базовый навык просмотра кода страницы, сетевых запросов и хранилища.

⚡️ Участвуйте в Альфа ЦТФ — ждём заявки на сайте:)

Открываем регистрацию на Альфа ЦТФ 2026 — в этом году будем искать флаги на заоблачных высотах. Поэтому советуем брать с собой карабины и альпинистские верёвки, чтобы добраться до всех уязвимостей и покорить небоскрёбы.

⚡️ Выбирайте трек, объединяйтесь в команду или участвуйте индивидуально — и оставляйте заявку на сайте

Вайб-кодинг в энтерпрайзе?

Как приземлить вайб-кодинг в энтерпрайз поговорим об этом на AlfaGen Meetup #3 со спикерами из Альфа-Банка, Яндекса, Сбера и red_mad_robot. Обсудим: 

🔴 Почему код от ИИ подходит не только для пет-проектов?

🔴 Почему вайб-кодинг может вызывать сопротивление?

🔴 Что поменять в процессах, чтобы вайб-кодинг стал их частью?

🔴 Какой минимум обучения нужен, чтобы вайб-кодить?

🔴 С какими инструментами новый подход принесёт пользу продукту?

Обсудим все вопросы 31 марта в 18:00 — подключайтесь к трансляции по ссылке.

Столько получили исследователи за найденные уязвимости

Проверять безопасность наших сервисов и ресурсов помогают независимые эксперты — багхантеры на платформе BI.ZONE. Мы постоянно расширяем области тестирования и, конечно, увеличиваем награды. Вот немного цифр:

🔸 3 года работает программа
🔸 В 2025 году сделали её публичной — каждый может найти уязвимость и получить награду
🔸 340 отчётов об уязвимостях приняли
🔸 До 1 000 000 ₽ можно получить за нахождение критической уязвимости

🔸 Сколько заработали топ-3 исследователя:

1 место — 1 940 500 ₽
2 место — 1 898 000 ₽
3 место — 1 594 400 ₽

🔸 30+ сервисов и ресурсов Альфа-Банка открыты для тестирования. Присоединяйтесь к программе охоты за уязвимостями по ссылке и получайте вознаграждения.

Обсерватория или свой телескоп? На что потратить 40 000?

Узнаем, что выбрал коллега с детства мечтавший о космосе.Иногда лучший первый шаг в астрономии — не купить телескоп, а сначала понять, что именно вы хотите наблюдать и как это выглядит вживую. 

В статье «Почему я посетил частную обсерваторию, а не купил телескоп» автор рассказывает, как вместо покупки оптики выбрал поездку в частную обсерваторию в Архызе: несколько ночей под тёмным небом, наблюдения через серьёзный инструмент и разговоры с людьми, которые этим реально живут. 

Это не просто тревел-история, а практичный ориентир для новичков!

Собираем локальную агентную AI-систему

Если хочется не просто «чатик с нейронкой», а локального AI агента, который умеет ходить в инструменты (файлы и т. п.) и выполнять твои задачи, то вот статья, которую реально можно повторить руками: «От чат-бота к AI агенту: собираем локальную систему на LibreChat, Langflow и MCP». Это подробнейший мануал с пятью уровнями сложности!

В этой статье покажем, как собрать связку из трёх ключевых компонентов:

1. LibreChat — UI для работы с LLM

2. Langflow — low-code платформа и визуальный редактор

3. MCP — стандарт для подключения инструментов

Структура статьи «по нарастающей»: можно остановиться на любом уровне — от простого локального чата до кастомизируемого агента.

Если вам интересны вызовы защиты ML-систем от современных атак и вы хотите развиваться в MLSecOps, присоединяйтесь к нашей команде, мы в поисках специалиста по защите искусственного интеллекта. Откликайтесь на вакансию по ссылке.

QA, выбирай сторону

Мы возвращаемся с новым форматом QAчественного общения — антимитапом для тестировщиков.

Когда: 27 марта
Где: Санкт-Петербург, offline only

В этот раз сделали два зала и два настроения:

🔥 Test core
Пространство вызовов, острых тем и адреналина. Сарказм приветствуется, личные нападки — запрещены.

Будут холивары: «Hard Skills для QA — это про инструменты или про понимание систем?», «Как меняется профессия QA с приходом AI».

💆‍♀️ Debug
Зал для размышлений и рефлексии. Здесь не доказывают, а задаются вопросами и делятся гипотезами. Тот самый safe space, чтобы подумать о будущем QA.

Будут дискуссии: «Как принять свою роль и стать хорошим тестировщиком», «ИПР: развитие специалиста — это задача компании или специалиста?».

Вы сами выбираете маршрут. Можно передвигаться между залами и собирать инсайты с двух полюсов или остаться в одном пространстве и погрузиться в его формат.

🔗 Зарегистрироваться на митап

Если все решаю сам — это, значит, плохо?

Проджект, который следит за всем процессами — это удобно… пока команда не начинает «ждать взмаха палочки» по любому вопросу. В статье нашего Lead PM Наташа Епифанова разбирает, как вырастить самостоятельную команду, которая принимает решения и держит ответственность без постоянного менеджерского посредничества.

Если вы хотите, чтобы команда росла в ответственности, а вы постепенно переходили «из дирижёра в зрители» — забирайте в закладки статью.

Симптом, а не болезнь

Промпт-инъекция — это атака, когда вредоносную инструкцию прячут в письме, комментарии или документе, а LLM/агент воспринимает её как команду. Но проблема глубже. Если агенту дали инструменты и доступы без жёстких ограничений, он может выполнить внешнюю «инструкцию» и привести к утечке или опасным действиям.

Что вы представляете, когда кто-то говорит об AI-driven компании? Может быть, как чат-боты улучшают опыт клиентов? Или как сотрудники разворачивают любые модели для своих нужд? А может, как ИИ-агенты разбирают кучу электронных писем и назначают встречи в календаре, копилоты пишут код за разработчиков и исправляют баги? Что в этой красивой истории может пойти не так и почему безопасность систем искусственного интеллекта не ограничивается защитой от джейлбрейков и промпт-инъекций — разберёмся в статье «Почему промпт-инъекции — это симптом, а не болезнь безопасности ИИ».

Есть вопросы? Готовы ответить ⌨

До 12 марта проводим сессию в формате «Ask Me Anything» в Сетке. Спросите о чём угодно наших экспертов по направлениям: кибербезопасность, системный анализ, тестирование на C# и ИТ-подбор.

Опубликуйте у себя в профиле пост с вопросом и добавьте хештег #спросиальфу. Сделать это можно до 12 марта.

13 марта выберем лучшие вопросы и подарим их авторам мерч.

➡ В Сетку

+100 к кибербезопасности

…но только если подпишетесь на наше сообщество в Сетке. До 4 марта там рассказываем:

🔴 Как попасть в кибербезопасность
🔴 Как устроена роль AppSec Business Partner в Альфа-Банке
🔴 Какие практики безопасной разработки помогают защищать банк

А с 5 по 12 марта проведём AMA-сессию, на которой вы сможете задать свои вопросы экспертам по четырём направлениям:

👉 Кибербезопасность
👉 Тестирование на C#
👉 Системный анализ
👉 IT-подбор

➡️ В Сетку ⬅️

Как ускорить прогон с 3 часов до 12 минут?

Когда в Android-проекте ≈800 модулей и 37 000 unit-тестов, полный прогон на CI легко превращается в полдня ожидания. У нас было ровно так: больше 3 часов на полный запуск  — и ощущение, что локально это вообще не вариант. А потом команда нашла настоящие причины тормозов и довела прогон до 12 минут.

В статье «37 000 unit-тестов против Gradle: как мы добились 12-минутного прогона» конкретная инженерная история без магии. Приглашаем к чтению Android-разработчиков, техлидов и тех, кто отвечает за CI/скорость поставки. Тут много идей, которые можно примерить на себя!

Делитесь вашими подходами к решению проблем производительности в комментах)

Ахиллесова пята SharedPreferences

Статья про то, о чём не спрашивают на собесeдованиях и не рассказывают на курсах по Android-разработке — о неявной особенности Android, которая влияет на деградацию производительности и приводит к невоспроизводимым ANR в вашем приложении.

SharedPreferences часто используют «по привычке» — сохранить токен, флажок, пару строк. Но в какой-то момент это начинает тормозить интерфейс и даже приводить к ANR, особенно если запись/чтение происходит не там и не тогда, где вы ожидаете. Автор делится измерениями производительности, показывает, как деградация превращается в потерю кадров при переходах между экранами, а затем сравнивает варианты.

Эта статья будет особенно интересна Android-разработчикам и тимлидам, которые уже сталкивались с мистическими ANR, просадками перформанса и фризами на слабых девайсах, а также тем, кто держит в приложении много сторонних SDK и хочет понимать, как неявные записи в SharedPreferences могут незаметно копить нагрузку.

Читайте статью «Ахиллесова пята SharedPreferences и стоит ли внедрять Datastore как альтернативу»

Могут ли AI-модели быть прибыльными?

Стоимость компаний, занимающихся искусственным интеллектом, исчисляется сотнями миллиардов долларов. В связи с этим возникает один неудобный вопрос — «Где деньги?».

В статье «Где деньги, Сэм?», или Могут ли AI-модели приносить прибыль на примере OpenAI? — разбор экономики OpenAI на основе открытых данных, утечек и публичных заявлений: сколько может стоить эксплуатация модели, какая получается маржинальность и почему даже при неплохой валовой рентабельности бизнес может оставаться убыточным. 

Что внутри:

• Чем отличается валовая рентабельность от операционной и почему в AI это критично;

• Куда уходят деньги: вычисления, штат, маркетинг и сопутствующие расходы;

• Почему окупаемость R&D может не сходиться, даже если продукт уже приносит выручку;

• Какие выводы можно экстраполировать на рынок, а где важны оговорки.

Фронтенд 2026: взлеты и падения

Открываешь проект 2020 года и видишь знакомые имена в package.json: create-react-app, enzyme, moment.js, axios. Пять лет назад это был золотой стандарт. Сегодня же эти технологии вызывают у коллег искреннее недоумение: «Зачем это тут?»

Подготовили для вас быстрый, но очень полезный срез того, как за 5 лет поменялась ментальная модель фронтендера. Внутри инструменты реально умерли, разберемся почему SSR/SSG снова в игре, а TypeScript теперь почти must-have, узнаем почему фронтенд всё чаще = full-stack и что с этим делать.

Главный урок 2015→2025: фронтенд развивается циклически. Каждый цикл — это не «прогресс», а перебалансировка компромиссов. Читайте на Хабр в статье «Фронтенд 2026: что умерло, что выжило и что взлетело неожиданно»

Архитектурный минимум для аналитика: 4 вещи, чтобы понимать систему целиком

Иногда кажется, что «архитекторы — это боги»: говорят уверенно, рисуют схемы за 5 минут и будто всегда видят систему насквозь. Но правда проще: архитектор — это роль в команде, а аналитику вполне реально взять от архитектуры необходимый минимум — чтобы не просто передавать требования, а реально влиять на качество решения. 

В статье «Роскошный архитектурный минимум для аналитика: понимать систему в целом и не бояться «богов»-архитекторов» — короткий и прикладной набор, который помогает: видеть продукт как единый организм, а не набор задач в блоге, заранее ловить риски и нефункциональные требования, а также говорить с разработкой на одном языке и задавать точные вопросы.

Осветили границу между анализом и архитектурой и показали, каким минимальным набором знаний в этой области должен обладать аналитик, чтобы не просто передавать требования, а активно влиять на качество конечного продукта.

Саппорт или критическая инфраструктура: как развивать платформенный продукт в enterprise

Платформенные продукты почти всегда «вторые в очереди» после бизнес-фич: приоритет ниже, аналитиков меньше, а в кризис бюджеты режут первыми. Знакомо? Тогда этот разбор — для вас.

В статье «Как развивать платформенные продукты. Саппорт vs критическая инфраструктура» показываем, как перестать быть просто сервисом поддержки и начать восприниматься как критическая инфраструктуры. Внутри — практические приёмы, метрики и примеры формулировок, которые реально меняют отношение к платформе.

Что забрать себе:

• Чем платформенные продукты принципиально отличаются от бизнес-продуктов (и почему «мы повышаем конверсию» часто не аргумент);

• Как искать партнёров и выстраивать отношения;

• Какие метрики помогут защищать статус платформы;

• Как управлять ожиданиями и приоритизацией;

• Почему регулярные коммуникации и «красивые победы» — часть стратегии развития, а не самопиар.

В апреле встречаемся на Alfa CTF!

Пока другие складывают доски, мы запускаем следующий сезон Capture the Flag. Волны принесут новый формат. Что будем делать:

🔴 Исследовать системы и искать флаги
🔴 Решать задачи разного уровня: для профи, новичков и даже школьников (от 14 лет)
🔴 Соревноваться в мастерстве поиска уязвимостей

Скоро расскажем подробно про формат нового запуска: точно будет интересно! Занимайте в своём календаре дату 25 апреля — и регистрируйтесь на нашем сайте.

Не лайфхаки, а системный подход

К кому идти за ростом — техлиду, delivery или HR? Системный аналитик в статье «Как я перестала искать карьеру и начала видеть систему: системные законы как компас в хаосе матричной структуры» применяет теорию систем к карьере.

Эта статья — не про лайфхаки. Она про то, как я начала видеть организацию как живую систему, как поняла, что карьера — это не лестница, а путь через слои системы. И как, применяя законы системной динамики, теории систем и элементы бизнес-расстановок, я нашла свою точку опоры.

В статье о том, как использовать законы системного мышления как инструмент для карьерного планирования и построения эффективных команд.