Разработка

Несколько лет в backend-разработке. Последние месяцы всё изменили

Есть старая поговорка:

«Хорошо поставленный вопрос — уже половина ответа».

Сегодня, если ты не можешь чётко объяснить AI, что тебе нужно —
значит, ты сам не до конца понимаешь задачу.

🧩 Три типа разработчиков

Я всё чаще вижу, что разработчики сегодня делятся на три категории:

1. Vibe coders

Знают немного, но пытаются компенсировать это с помощью AI.

2. Скептики

Уверены, что лучше делать всё вручную, а AI не поможет.

3. Архитекторы

Понимают, что AI — это инструмент.
Он ускоряет работу и помогает увидеть то, что можно было не учесть на ранних этапах.
Иначе можно дойти до середины проекта и понять, что половину придётся переписать.

⚙️ Мой подход

Сегодня важен не сам процесс написания кода (routine tasks), а архитектура.
Это было важно всегда — задолго до появления AI.

Главное различие:

• Кто писал плохой код — с AI будет писать плохой код, но в 10 раз быстрее.

• Кто писал хороший код — с AI будет писать хороший код, тоже в 10 раз быстрее.

🔁 Мой workflow

1. Анализирую задачу.

2. Проектирую архитектуру.

3. Формулирую чёткие правила.

4. AI пишет — я проверяю и корректирую.

⚠️ Проблемы при работе с AI

1. Ясность

Нужно чётко понимать, что ты делаешь и чего хочешь.

2. Память

AI не помнит прошлые задачи. Новый запрос — новая сессия.

3. Переанализ

Если AI каждый раз анализирует весь проект заново:

• Время отклика растёт.

• Код в разных частях получается в разном стиле.

• Tokens расходуются быстрее (а значит, ты больше платишь).

🧠 Моё решение

Я использую три базовых файла, которые всегда даю AI-агенту:

1. Agent Rules File — все coding standards: что можно, что нельзя.

2. Project Map File — структура проекта и расположение файлов.

3. Business Logic File — бизнес-логика и связи между компонентами.

Так AI не переанализирует проект, понимает контекст
и пишет консистентный код.

💬 Вывод

AI не заменит инженера.
Но инженер, использующий AI, заменит инженера, который им не пользуется.

❓ Финал

Если ты backend-разработчик —
в какой категории ты?

И второй вопрос:
как ты решаешь проблему токенов и контекста?
Есть свой подход?

💭 P.S. Если ты думаешь, что AI может писать качественный код без твоего участия —
дай ему сложную задачу.
Потом расскажи, что получилось. 😏

Итоги SimpleOne Day 25: лидеры цифровизации России поделились опытом реализации ESM, Low-code и GenAI

24 октября 2025 года в Москве прошла ежегодная ИТ-конференция SimpleOne Day 25, организованная компанией SimpleOne (направление прикладных бизнес-систем корпорации ITG).

Мероприятие собрало более 400 участников — представителей крупнейших российских компаний и государственных организаций, руководителей ИТ-департаментов, архитекторов цифровых сервисов и экспертов в области Enterprise Service Management.

Главной темой конференции стали практические подходы к автоматизации бизнес-процессов с применением технологий ESM, Low-code и GenAI. Участники представили 13 кейсов, демонстрирующих, как цифровые инструменты помогают ускорить обработку обращений, сократить трудозатраты и повысить эффективность внутренних сервисов.

Первые лица крупных предприятий поделились историями реальных внедрений — от банковского сектора и промышленности до образования и государственного управления. В числе спикеров — представители ФКУ «Соцтех», Банка «Санкт-Петербург», МТС Банка, АЛРОСА ИТ, Инфосистемы Джет, Петрович-Тех, Systeme Electric, Т1 Интеграции, IRB Family и Президентской Академии РАНХиГС.

Все доклады спикеров доступны по ссылке.

Отдельное внимание уделили развитию технологий искусственного интеллекта. ФКУ «Соцтех», РАНХиГС и АЛРОСА рассказали о применении GenAI на платформе SimpleOne — от автоматической классификации обращений и анализа пользовательских запросов до интеллектуальной маршрутизации и поддержки внутренних сервисов.

В свою очередь команда SimpleOne представила доклады о развитии решений компании и применении искусственного интеллекта на платформе, показав, как технологии Low-code и GenAI ускоряют автоматизацию внутренних процессов.

Во время конференции информационный партнёр мероприятия “Компьютерра” собрал данные об эффективности современных решений для автоматизации. По данным опроса, 57% участников отметили снижение зависимости от подрядчиков после перехода на Low-code, 43% компаний уже самостоятельно управляют логикой платформы без участия вендора, а 35% организаций сообщили о сокращении времени обработки обращений более чем на 25% после внедрения ESM. Кроме того, каждая четвёртая компания фиксирует рост производительности более чем на 20% после интеграции GenAI-инструментов.

«SimpleOne DAY 25 стал не просто конференцией, а площадкой, где крупный российский Enterprise открыто делился опытом цифровой трансформации. Мы видим, как наши клиенты и партнёры строят зрелые сервисные экосистемы, используя Low-code и ESM, и уже сегодня внедряют GenAI в реальные процессы. Это подтверждает, что отечественные технологии способны не только заместить иностранные решения, но и задать новые стандарты эффективности» - Руслан Шарипов, Исполнительный директор SimpleOne, корпорация ITG.

Обновление каталога образов: новые версии Linux-дистрибутивов в Рег.облаке

В каталоге предустановленных операционных систем для виртуальных серверов Рег.облака добавили свежие релизы для работы с Linux: Debian 13, AlmaLinux 10, Rocky Linux 10 и Ubuntu 24.04 LTS. Образы уже доступны во всех регионах размещения IT-инфраструктуры, включая регион, соответствующий требованиям ФЗ-152.

Новые дистрибутивы включают актуальные исправления безопасности, улучшения производительности и поддержку современного оборудования. А значит пользователям будет доступна более стабильная работа виртуальных серверов, совместимость с актуальными версиями библиотек и фреймворков, а также возможность использовать системы с длительным циклом поддержки.

Как начать использовать новые дистрибутивы:

1. Перейдите в личный кабинет Рег.облака или откройте мастер заказа на странице облачных серверов.

2. Нажмите «Создать сервер».

3. В разделе «Операционная система» выберите один из новых дистрибутивов в выпадающем списке.

4. Продолжите настройку конфигурации сервера.

Протестировать обновления можно уже сейчас на сайте Рег.облака.  

На площадке Networking Toolbox (GitHub) доступны более 100 сетевых инструментов для системных администраторов и сетевых специалистов, включая решения для проверки DNS, TLS, DHCP, HTTP и почтовых серверов, для конвертирования CIDR, масок, IPv4/IPv6, MAC-адресов, калькуляторы подсетей, генераторы конфигов, утилиты для тестирования производительности, шифрования и маршрутизации, а также справочники по основам сетей IPv6 и сетевым протоколам.

Ранее на Хабре был пост: "20 инструментов кибербезопасности 2025 года для пентестинга, сканирования IP-сетей, анализа трафика".

Расскажем, как проводить нагрузочное тестирование на Python

Ждем вас через час, в 18:30 мск, на митапе для Python-специалистов. Как обычно, поговорим обо всем, что волнует сообщество. Сделаем глубокий разбор экосистемы mypy и протестируем ее. Выясним, как запускать задачи по расписанию от cron/systemd timers до чистого Python. Узнаем, насколько сильно можно нагрузить систему, прежде чем она сломается. Все это — в компании экспертных спикеров из Selectel, Яндекса и Райффайзен Банка. 

Приходите лично или подключайтесь к трансляции.

Программа

18:35-19:05 — mypy в неестественной среде обитания
Сделаем обзор gradual typing в Python и экосистемы mypy, разберем отличия от линтеров и других анализаторов типа.

19:05-19:35 — Все идет по cron-у. Или нет?
Поговорим о том, как запускать задачи по расписанию: от cron/systemd timers до чистого Python и библиотек вроде APScheduler, Celery, а также Kubernetes CronJob и Redis Queue.

19:35-20:00 — Ломай меня полностью
Разберемся, зачем и как проводить нагрузочное тестирование.

Подключайтесь к трансляции:

✔ YouTube
✔ ВКонтакте

Тестирование движков массивно-параллельных вычислений: StarRocks, Trino, Spark. Spark — с DataFusion Comet и Impala

Друзья, в блоге компании Data Sapience, партнера GlowByte, вышла новая статья, третья в цикле материалов про нагрузочные испытания вычислительных технологий массивных параллельных вычислений.

Ранее техническим руководителем решений Data Ocean Nova и Data Ocean Flex Loader Евгением Вилковым были опубликованы статьи, посвященные сравнению Impala, Trino и Greenplum, в том числе по методике TPC-DS.

В этот раз в список решений добавляется Spark, включая работающий с технологией нативных вычислений DataFusion Comet, и набирающий популярность StarRocks.

Всем привет!

Как автоматизировать тестирование батч-моделей?

Если вы работаете с ML-моделями и сталкивались с батч-обработкой данных, то знаете, насколько муторно бывает тестировать такие процессы вручную.
А если автоматизировать этот повторяющийся хаос? В статье «Как автоматизировать тестирование батч-моделей? Гайд» рассказываем, как превратить рутину в предсказуемый и управляемый процесс.

Статья будет полезна не только специалистам по автоматизации процессов тестирования, а и ML-инженерам, MLOps-специалистам и командам разработки, занимающимся поддержкой продакшн-систем машинного обучения.

После прочтения вы точно перестанете выполнять повторяющиеся из раза в раз тесты для батч моделей вручную — потому что поймёте, что можно проще. Автоматизация начинается с малого, но экономит часы ручного тестирования.

Идея, чем заняться в длинные выходные!

В это воскресенье Иван Чижов, заместитель руководителя лаборатории криптографии, примет участие в дискуссии «Как теория информации работает в математике и биологии?». Она пройдёт в Музее криптографии — зарегистрироваться можно тут.

На дискуссии вместе с математиками и биологами обсудят:

• является ли информация мерой неопределенности или она выступает носителем смысла в живых системах?

• как устроена коммуникация — это просто передача сигналов или сложный процесс обмена смыслами?

• В чем суть кодирования — в оптимизации данных или в эволюции живых систем?
  

Эксперты

Иван Чижов, кандидат физико-математических наук, заместитель руководителя лаборатории криптографии по научной работе IT-компании «Криптонит», доцент кафедры информационной безопасности факультета вычислительной математики и кибернетики МГУ имени М.В. Ломоносова.

Иван Мухин, кандидат биологических наук, доцент, заведующий кафедрой геоэкологии, природопользования и экологической безопасности Российского государственного гидрометеорологического университета.

Модератор:

Александр Дюльденко, кандидат исторических наук, старший научный сотрудник Музея криптографии.

Разбираешься в BPMN? Проверь себя — реши задачку от Учебного центра IBS!

Мы подготовили небольшую задачу по BPMN — на понимание поведения элементов процесса. Ответь на вопросы задачи и напиши свой ответ в комментариях.

Задача: как разные типы подпроцессов влияют на данные в BPMN?

На схеме несколько подпроцессов работают с одной переменной последовательно.

Ответь на три вопроса:

1️⃣ Могут ли 1-й и 3-й подпроцессы иметь разное содержимое?

2️⃣ Могут ли 2-й и 4-й подпроцессы иметь разное содержимое?

3️⃣ Чему будет равна переменная в итоге — 3 или 5?

Пиши свои ответы в комментариях!

Разбор решения от нашего эксперта — там же, в комментариях. 

Почему это важно?

Ответы на эти вопросы напрямую зависят от типа использованных подпроцессов (Call Activity) и их конфигурации. Это определяет:

• Изоляцию данных и границы транзакций

• Механизм передачи переменных между родительским и дочерними процессами

• Как движок (например, Camunda) управляет состоянием процесса

Это не теория, а именно та ситуация, где моделирование перерастает в разработку.

Хотите глубже? На курсе по Camunda мы учим не просто рисовать схемы, а понимать и использовать такие нюансы для создания рабочих исполняемых моделей.

Безопасник должен постоянно обосновывать свою необходимость. Это нормально. ИБ не работает с какой-то конкретной угрозой 24 часа в сутки, 7 дней в неделю. Угроз много, они разные, а самое главное — реализация угрозы не может быть 100%. Но она никогда и не равна нулю. Это называется риск. То есть почти всё своё время безопасники работают с рисками — эфемерными по своей сути.

Поведение человека устроено так, что он не будет тратить энергию на то, чтобы делать что-то, что по его мнению бесполезно (ну или хотя бы не приносит удовольствие). Зачем мне шифровать пароль, если я не знаю, украдут его или нет? Риск есть всегда, но каков процент его реализации и цена защиты, а самое главное — будут ли последствия?

Можно ездить по городу на танке в постоянном ожидании войны, а можно принять риски и распустить армию.

Что думаете, где золотая середина?

Самый простой способ сообщить об успешном подключении по SSH

Всем привет! Вообще-то, обычно решают обратную задачу - сообщить о неудачных попытках подключения по SSH, а еще лучше - сразу заблокировать. С этим прекрасно справляет, например, Fail2ban, но, рассказ не о нем. Может оказаться полезно получать уведомления именно об успешных подключениях, особенно, в тот момент, когда сам НЕ подключаешься. Так же, хочется сделать это с наименьшими усилиями, без написания скриптов, без установки специфического ПО, что бы было легко "скопипастить" решение на множество систем. Так же, хочется знать не тoлько о подключениях, получивших shell, но и о удаленном выполнении команд, или копировании файлов по протоколу SSH.

Все есть в этом решении:

$ sudo apt install curl

$ sudo nano /etc/pam.d/sshd

оставьте, все, что было в этом файле и добавьте в конец:

session optional pam_exec.so /bin/bash -c (echo${IFS}Subject:ssh-${PAM_USER}@$(hostname)-${PAM_RHOST};/usr/bin/env)|/usr/bin/curl${IFS}smtp://mailhub.yourcorp.ru${IFS}--mail-from${IFS}noc@yourcorp.ru${IFS}--mail-rcpt${IFS}yourlogin@yourcorp.ru${IFS}--upload-file${IFS}-

Да, этого достаточно!

Как оказалось, curl умеет отправлять почту, в сообщении будут присутствовать все подробности, кто, когда, откуда подключился, и, даже, когда отключился. Правда, в этом решении требуется корпоративный почтовый сервер (mailhub.yourcorp.ru в нашем "однострочнике"), готовый принять письмо без аутентификации. Это допустимо, если он же является конечным сервером с ящиком пользователя, или, есть разрешение пересылки писем из корпоративной сети (в этом случае можно использовать любой другой почтовый адрес, вместо yourlogin@yourcorp.ru). Однако, такой сервер не всегда имеется, и решение не годится для персонального использования.

В этом случае, предлагаю Вам вебинар , демонстрирующий решение той же задачи, с отправкой сообщений в Telegram

На этом все, спасибо, буду рад ответить на вопросы!

Как я починил ошибку tokenizers в ComfyUI

Недавно столкнулся с ошибкой при запуске ComfyUI - конфликт версий библиотеки tokenizers. Ошибка выглядела так: ImportError: tokenizers>=0.22.0,<=0.23.0 is required for a normal functioning of this module, but found tokenizers==0.21.4....Рассказываю, как я её исправил без поломки окружения и рабочих workflow.

Описание контекста:
У меня Portable-версия ComfyUI, встроенный Python (папка "python_embeded", папка "update", рабочие workflow и боязнь обновлять всё подряд)

Конфликт:
ComfyUI или один из плагинов требует tokenizers >= 0.22.0, а установлена старая 0.21.4. Ранее я уже точечно менял wheels и версию torch для работы с Nunchaku.

Решение:
Прямые команды, выполненные через PowerShell в папке ComfyUI:
(Чтобы ввести команды - нужно находясь внутри папки ComfyUI нажать Shift + ПКМ на свободном месте в этой папке и выбрать "Открыть окно PowerShell здесь" и ввести нужные команды)

python_embeded\python.exe -m pip uninstall -y tokenizers
python_embeded\python.exe -m pip install tokenizers==0.22.0

После перезапуска всё заработало:

PS D:\AI\ComfyUI2> python_embeded\python.exe -m pip uninstall -y tokenizers Found existing installation: tokenizers 0.21.4
Uninstalling tokenizers-0.21.4:
Successfully uninstalled tokenizers-0.21.4
и
PS D:\AI\ComfyUI2> python_embeded\python.exe -m pip install tokenizers==0.22.0
Collecting tokenizers==0.22.0
Using cached tokenizers-0.22.0-cp39-abi3-win_amd64.whl.metadata (6.9 kB) Requirement already satisfied: huggingface-hub<1.0,>=0.16.4 in d:\ai\comfyui2\python_embeded\lib\site-packages (from tokenizers==0.22.0) (0.34.4) .....
Successfully installed tokenizers-0.22.0

Как итог - видео с разрешением 364 на 640px, продолжительностью 5 секунд, сгенерировалось за 8,5 минуты на 8гб VRAM + 32гб RAM.

Почему важно не трогать "update_comfyui_and_python_dependencies.bat" ? Чтобы не нарушить совместимость всего окружения.
В таких случаях не стоит паниковать - достаточно понимать, как работают зависимости Python и виртуальные окружения.

Если вы работаете с ComfyUI или подобными пакетами, умение диагностировать и чинить зависимости - ваш надёжный инструмент в арсенале.

#ai #comfyui #python #design #code #workflow #ии

Привет, по случаю прикрутил к kui'ю немного helm'а. Можно посмотреть статус, историю, манифест и откатить релиз.

Творите, выдумывайте, пробуйте!)

Основатель Telegram Павел Дуров представил децентрализованную сеть Cocoon (Confidential Compute Open Network), которая будет задействовать искусственный интеллект и блокчейн TON. Проект, запуск которого запланирован на ноябрь 2025 года, предназначен для безопасного и приватного выполнения ИИ-инференса на условиях полной анонимности.

Cocoon представляет собой децентрализованную вычислительную сеть, которая объединяет технологии искусственного интеллекта (ИИ) и блокчейна TON. По словам основателя Telegram, централизованные ИИ-платформы могут собирать и использовать данные пользователей, а Cocoon является альтернативным решением, которое основано на принципах децентрализации и приватности. Владельцы GPU предоставляют создателям ИИ-приложений вычислительные мощности для их работы в обмен на криптовалюту TON, а рядовые пользователи сохранят полную конфиденциальность при работе с ИИ-продуктами. Запуск технологии запланирован на ноябрь 2025 года.

Предполагается, что сеть Cocoon будет работать на основе GPU-майнеров, получающих вознаграждение в Toncoin, а разработчики приложений получат доступ к недорогим ИИ-инструментам. По словам Павла Дурова, Cocoon обеспечит полную приватность и децентрализацию, позволяя интегрировать любые ИИ- агенты, включая DeepSeek и Qwen, без риска утечек.

Примечательно, что на презентации Дуров с иронией добавил, что изначально рассматривал для проекта название Private AI Network, что образует аббревиатуру P.A.I.N. («боль»).

Приходите на митап QAчественное общение №11: в программе много монорепозитория и BDUI для QA

«QAчественное общение» — постоянный митап комьюнити Alfa Digital для нетворкинга и обмена знаниями с экспертами из QA и не только. В этом ноябре уже 11-й. Делимся экспертизой, опытом, кейсами и простыми человеческими историями из жизни тестировщиков. 

 В программе QAчественное общение №11:

• Оптимизация монорепозитория в многомодуль.

• Деления монорепозитория на домены/функциональные куски приложения.

• Рассказ про подход «Деление по микрорепозиториям».

• Изучение BDUi для QA и возможностей автоматизации, возникающих проблемах и подготовке данных.

Бронируйте слот в календаре на митап комьюнити Alfa Digital — будем нетворкать, делиться экспертизой и есть пиццу. 

Где: митап состоится по адресу пр. Андропова, 18к3 (офис Альфа-Банка)

Когда: 13 ноября, 18:30.

Формат: офлайн и онлайн.

Изучайте программу и регистрируйтесь по ссылке. Участие бесплатно, но количество мест в офлайне ограничено.

Также, если следить за новостями QAчественное общение №11 и наших будущих митапов, узнавать о вакансиях и стажировках, получать подборки интересных статей по QA, гайдов и лайфхаков, подписывайтесь на канал Alfa QA Talks.

Привет, хабровчане! 😊

Недавно я копался в мире ИИ-инструментов для разработки — тех, что помогают писать код быстрее и умнее. Знаете, когда сидишь за проектом и думаешь: "А не взять ли помощника, который подхватит идеи на лету?" Решил поделиться обзором нескольких интересных вариантов на рынке. Это не глубокий разбор с бенчмарками (для этого нужны отдельные тесты), а просто описание, чтобы понять, что можно выбрать под свои нужды. Я опираюсь на личный опыт и отзывы из сообществ — вдруг кому-то пригодится для экспериментов.

Давайте по порядку:

1. Cursor — это как эволюция VS Code с встроенным ИИ. Он автокомплитит код, генерирует фрагменты по описанию, понимает контекст проекта и даже помогает с отладкой. Подходит для тех, кто любит привычный интерфейс, но хочет ускорить рутину. Работает на Windows, macOS и Linux, есть бесплатная версия, но премиум открывает больше моделей ИИ. Идеально для соло-разработчиков или команд, где нужно быстро итератировать.

2. Harvi Code — российский продукт, первый в России аналог Cursor, построенный на мощной модели Sonnet 4.5 (от Anthropic, которая славится точностью и скоростью). Это расширение для VS Code и Cursor с удобным интерфейсом, как в знакомых IDE, плюс фокус на хороших ценах (не дерут втридорога за подписку). Подходит для генерации кода, отладки и работы с проектами. Если вы в РФ и ищете локальный вариант без заморочек с платежами — стоит попробовать.

3. Lovable — здесь акцент на создание веб-приложений без глубокого кодинга. Чат с ИИ: описываешь идею на естественном языке, и он генерирует full-stack app — от фронта до бэка. Удобно для прототипов или MVP, особенно если вы не хотите копаться в деталях. Поддерживает интеграции с базами данных и API. Минус — иногда нужно дорабатывать вручную, но для стартапов или хобби-проектов это спасение.

4. Bolt (bolt.new) — браузерный инструмент для быстрого создания сайтов, приложений и прототипов. Вводишь промпт — и вуаля, он строит всё от начала до конца, включая деплой. Работает с веб, iOS и Android. Круто для тех, кто хочет экспериментировать без установки софта. Есть интеграции с Expo для мобильных apps. Подходит новичкам или когда нужно быстро проверить концепцию.

5. Roo Code — это расширение для VS Code и Cursor, как целая команда ИИ-агентов прямо в вашем редакторе. Он анализирует весь проект, предлагает мульти-шаговые решения, ускоряет редактирование в 10 раз. Поддерживает разные модели ИИ (Anthropic, OpenAI), есть инструменты для автоматизации задач. Хорош для сложных проектов, где нужен глубокий контекст — не просто автокомплит, а умный помощник.

6. Kilo Code — открытый ИИ-агент в виде расширения для VS Code, JetBrains и Cursor. Генерирует код, автоматизирует задачи, предлагает рефакторинг. Есть система инструментов для взаимодействия с окружением (безопасно, с контролем). Бесплатный, с опцией кастомизации. Идеален для тех, кто предпочитает open-source и хочет интегрировать в свой workflow без лишних зависимостей.

В общем, выбор зависит от вашего стиля: если любите браузер — Bolt или Lovable; если вглубь кода — Cursor, Harvi, Roo или Kilo. Я пробовал пару из них на пет-проектах, и реально сэкономил время. Что вы думаете? Пользовались кем-то из списка? Делитесь в комментах, может, вместе разберёмся, какой подойдёт под разные языки или фреймворки. Буду рад обсуждению! 🚀

Ссылки для удобства:

• Cursor

• Harvi Code

• Lovable

• Bolt

• Roo Code

• Kilo Code

Детали доставки: исследование новой версии Android‑трояна DeliveryRAT

Специалисты F6 Threat Intelligence исследовали обновленную версию вредоносного ПО DeliveryRAT, распространяемого злоумышленниками во второй половине 2025 года. Троян DeliveryRAT маскируется под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок.

Впервые про Android‑троян DeliveryRAT компания F6 рассказала в годовом отчете F6 за 2024 год. Способы распространения ВПО были детально описаны в публикации — F6 и RuStore заблокировали более 600 доменов, распространявших Android‑троян DeliveryRAT.

Было зафиксировано, что новая версия ВПО появилась в апреле 2025 года. Как отмечают специалисты F6 Threat Intelligence, троян DeliveryRAT несет всё большие риски для пользователей Android‑устройств в России. Помимо базовых функций, таких как кража содержания SMS и уведомлений, троян теперь может отображать заранее подготовленные варианты диалоговых окон с возможностью похищения фотографий, загружаемых пользователем, ввода данных банковской карты и так далее.

Кроме того, DeliveryRAT получил отличающиеся от стилера возможности для выполнения DDoS‑атак, что позволяет использовать этот троян не только для финансовой выгоды, но и для проведения массовых атак на инфраструктуру организаций с целью нарушения их работы.

Подробный разбор ВПО DeliveryRAT читайте в новом блоге F6.

Яндекс начал увеличивать чистую прибыль, согласно фин. отчету за 3 квартал.

Самое крупное изменение - в чистой прибыли (355% Y2Y за 3 кварталы; а если первые 9 месяцев сравнивать, то вообще был убыток на 4,1 млрд в 2024 году, а в 2025 40,1 млрд - чистая прибыль, из них 34,6 млн были в 3 квартале).

Как считаете, Яндекс изменил с 3 квартала стратегию на максимизацию чистой прибыли? Если да, то к чему это приведет на рынке рекламы и других затронутых категорий. Жду дисскусий в комментах, интересно поразмышлять)

Группа киберразведки Экспертного центра безопасности (PT ESC) представила обзор кибератак за III квартал 2025 года ✍️

В отчете рассмотрены хакерские атаки на инфраструктуры российских организаций и типовые цепочки группировок — от первоначального доступа до закрепления.

🙅‍♂ За период отмечена активность таких групп, как PseudoGamaredon, TA Tolik, XDSpy, PhantomCore, Rare Werewolf, Goffee, IAmTheKing, Telemancon, DarkWatchman и Black Owl.

✉ Фишинговые кампании шли непрерывно и маскировались под деловую переписку. Использовались:

• Запароленные архивы с LNK-, SCR-, COM-загрузчиками и документами-приманками; fake-CAPTCHA c запуском PowerShell.

• RMM и удаленный доступ (UltraVNC, AnyDesk), REST-C2 и многоступенчатые загрузчики.

• Редирект-логика: прошел проверку — скачивается полезная нагрузка; не прошел — происходит переадресация на заглушку легитимного сервиса.

• Zero-day-уязвимости: эксплуатация CVE-2025-8088 группировкой Goffee.

Полный отчет — на нашем сайте.

Dart/Flutter: с чего начать, чтобы не страдать

Привет! На связи Иван и Михаил, Flutter-разработчики из Финама. Когда мы начали писать на Flutter, поняли — граблей тут много, и на некоторые мы уже успели наступить, собрали бинго и готовы рассказать, где они поджидают. Делимся «анти-чеклистом» — вдруг поможет сэкономить время и нервы:

«Книга — лучший подарок», но не в этом случае

Первая ошибка — искать идеальную книгу по Flutter, язык и фреймворк меняются быстрее, чем успевает выходить новое издание. Через пару месяцев некоторые главы могут быть уже неактуальны.

Что делать? Читать документацию, она обновляется. Поначалу может быть трудно вникнуть, опираясь только на нее. На этот случай есть запасной вариант — пройти какой-нибудь годный курс (вроде Udemy). Выбирайте те, где обновления выходят после каждого релиза.

Где брать актуальную информацию

Чтобы не отстать, нужно искать и читать свежие статьи про Flutter и Dart. Из русскоязычных источников нам помогает, конечно, Хабр, а еще рекомендуем ТГ-канал Amiga. Хорошие статьи на английском выходят на Medium. На Youtube-канале Flutter регулярно публикуют интересные видео. А еще мы попробовали лайфхак с нейросетью: она собирает дайджест свежих материалов за неделю. Удивительно, но это правда работает.

Начни со стейт-менеджментов и правильной архитектуры приложения

Самая частая боль новичков — хаос в коде. Мы видели проекты, где бизнес-логика жила прямо в build(). Всё работало… до первого бага.

Как действовать:

• Начните с простого setState — это базовый способ управления состоянием. Затем попробуйте пакеты Bloc, Riverpod — почувствуете разницу в читаемости и структуре.

• Изучите основы чистой архитектуры: это позволит вам быстрее понимать чужой код и лучше разбираться в своем.

• Хотите потренироваться? Попросите AI сгенерировать пример проекта с Bloc — и разберите его построчно. Или обратитесь к статьям.

Не бойся проблем при сборке

При сборке проекта ты скорее всего столкнешься с ошибками компиляции и в 90% случаев это будут ошибки, связанные с Xcode и Gradle. Не нужно паниковать, Flutter достаточно умен и в большинстве случаев предложит тебе решение. Если не было предложено решение или оно не сработало — не беда, первая ссылка в гугле вероятнее всего решит твою проблему. И не забывайте про старый дедовский способ перезагрузки:

flutter clean

flutter pub get

В топку тяжелые среды, работай по четвергам в Visual Studio Code

Среда разработки — твой основной инструмент, ты будешь работать в ней 99% своего времени, а значит она должна быть удобной и комфортной для тебя. Для Flutter есть две основные IDE: Android Studio и Visual Studio Code. Android Studio — мощная, с готовыми тулзами и анализаторами, но тяжеловесная. VS Code — лёгкий, быстрый и гибкий.

В Финаме мы работаем в VS Code — там проще интегрировать CLI-инструменты, автогенерацию кода и кастомные скрипты. Но выбор — это вопрос привычки: рекомендую попробовать обе. Главное, чтобы IDE не тормозила, когда запускаешь hot reload 20 раз в час. Я знаю людей, которые переходили с Android Studio на Visual Studio Code, но не знаю обратных примеров.

Логике в UI не место

Выгружать логику работы приложения (например, сетевые запросы, обработку данных) в методе build() — грубая ошибка. Это ведет к багам, фризам, затрудняет тестирование, нарушает принципы разделения обязанностей.

Используйте стейт-менеджеры. Логика должна быть отделена от UI — это облегчает поддержку, переиспользование и покрытие тестами. 

Делите UI на независимые виджеты

Если экран превращается в тысячу строкового монолита — значит пора рефакторить. Разбивайте интерфейс на маленькие, самодостаточные виджеты (например: заголовок, список, кнопки). Это упрощает чтение, тестирование и повторное использование компонентов. И старайтесь ограничивать один экран не больше 150-200 строками кода.

Async — не просто await

Асинхронное программирование в Dart требует внимания:

• Оборачивайте важные вызовы в try/catch.

• Используйте async/await для читаемого кода; а если используете .then(), не забывайте обработать