Управление разработкой *

Представьте: вы пятнадцать лет строили IT-инфраструктуру в банке или крупной розничной сети. Прошли через импортозамещение, наладили аварийное восстановление систем, получили сертификаты по стандартам управления IT. А потом приходите в продуктовую компанию - онлайн-кинотеатр, маркетплейс, образовательную платформу - и с треском проваливаете собеседование на позицию IT-директора.

Вас спрашивают, как вы будете повышать выручку от мобильного приложения и измерять удовольствие клиентов от сервиса. А вы рассказываете про время реакции техподдержки, внутренние регламенты и уровень зрелости процессов. Вас вежливо благодарят и не берут на работу.

Бывает и наоборот. Продуктовый лидер с опытом быстрых релизов и экспериментов приходит в промышленный холдинг. А там нужно, чтобы бухгалтерская система не падала в конце квартала, бюджет соблюдался, а любое изменение согласовывалось с тремя отделами. Тоже не берут.

За последние полтора года я участвовал в разборе нескольких таких кейсов. Не в теории, а в реальных собеседованиях и их последующем анализе. Дело почти всегда не в технологиях - с ними у кандидатов как раз всё в порядке. Дело в том, что IT-директор в большой корпорации и IT-директор в продуктовой компании - это две разные роли. У них разный язык, разные показатели эффективности и разная зона ответственности.

Ниже я опишу два типа, которые сложились на рынке. Почти всегда один из них оказывается главным в конкретном бизнесе, хотя в чистом виде они встречаются нечасто.

Когда вокруг десяток микросервисов, документация устарела, а на согласование архитектурного решения есть два дня, обсуждение быстро погружается в детали и теряет общую картину.

На примере внедрения кэширования в API‑шлюз разберём, как системному аналитику применять C4-модель: пройти от границ системы до зон ответственности внутри сервиса, зафиксировать сценарии сбоев и сохранить архитектуру в виде кода.

Когда злоумышленник получает доступ к учетной записи мейнтейнера или захватывает заброшенный пакет, вредоносная версия может разойтись по тысячам проектов быстрее, чем ее успеют заметить. Один из способов снизить риск — ввести период охлаждения для зависимостей: не устанавливать новую версию пакета сразу после публикации, а ждать несколько дней, пока сообщество и вендоры безопасности успеют отреагировать.

Публикуем перевод статьи Эндрю Несбитта о dependency cooldown и о том, как этот подход реализуют разные пакетные менеджеры и инструменты обновления зависимостей: npm, pnpm, Yarn, Bun, Deno, pip, uv, Poetry, Bundler, Cargo, Dependabot, Renovate и другие. Отдельно в материале рассматриваются различия между относительными интервалами и абсолютными датами, проблемы временных меток, исключения для обновлений безопасности и ограничения подхода в разных экосистемах.

Хватит скидывать задачи в мессенджеры и терять правки. Показываю 6 способов, как показать клиенту или подрядчику важное и не сломать внутренние процессы.

Практический разбор агентной разработки с LLM на реальных задачах: от оценки большого legacy-проекта и разработки фичи до мультиагентной миграции тестов и собственного MCP-сервера на Roslyn.

Где ИИ действительно ускоряет работу, где начинает ошибаться уверенно, почему контекст важнее промпта и как меняются роли разработчика, аналитика и тимлида.

Всем привет! Я, Дианов Стас, product manager. Сегодня разработка фичей и продуктов действительно очень похожа на сложный производственный конвейер, только вместо токарных станков — Jira, пайплайны CI/CD и вечный, леденящий душу вопрос «а когда в прод?» от бизнеса.

На таком «заводе», особенно если мы говорим о финтехе с его регуляциями и ценой ошибки, выживают те команды, которые не только пишут чистый код, но и умеют измерять, как этот код проходит путь от идеи до продакшена. Об этом и поговорим.

Эта статья будет полезна всем: тимлидам, продактам и обычным инженерам, которые хотят понимать, как их работа выглядит на уровне всей системы.

«Я знаю, что это должно работать не так, чувствую это на каждом созвоне. Но я только исполнитель. Руководителю пофиг, почему я‑то должен?». Вы видите, что процесс идиотский. Можете даже придумать, как починить. Но натыкаетесь на стену.

Вопрос не в том, кто прав. Вопрос в том, как достучаться, когда у тебя нет полномочий.

Во многих компаниях, да и в целом в отрасли, сейчас происходит (или пытается происходить) масштабная и кардинальная трансформация процесса разработки - менеджеры просят/требуют использовать ИИ-агентов для написания кода, проводятся регулярные воркшопы на тему использования ИИ в работе, создаются инструкции по настройке рабочего окружения, появляются всё новые и новые способы ещё более эффективно работать с этим новым "чудо-инструментом, меняющим правила игры" и так далее. Повсюду витает атмосфера светлого будущего.

Традиционная модель архитектора как единоличного автора и «верховного хранителя» решений вступает в противоречие с реалиями современной разработки. Системы становятся сложнее, команды — распределённее, темпы поставки — выше. Один человек, каким бы опытным он ни был, физически не может успевать быть везде, где требуется его участие. Ситуация, по выражению автора, «достигла критической точки». «Программная архитектура: практика командного принятия решений» предлагает иной путь.

Тема экономии токенов сейчас дико популярна, и мы с ребятами в Гильдии AI-инженеров знатно её пообсуждали. Напомню краткую суть: там связка Serena (LSP) + Semble (векторные эмбеддинги) + Ripgrep (поиск координат) показала себя абсолютным топом для точечной навигации.

Но в комментариях и личке мне тут же начали советовать: «Нахлобучь сверху еще rtk для сжатия вывода терминала и context-mode для полнотекстового индекса репозитория! Тема прокси-экономии сейчас на пике хайпа, сэкономишь еще больше!». Я подумал за**ись.

И решил провести душный чек. Взял популярный open-source проект supermemory (~180 файлов, JS/TS) и замерил: действительно ли добавление rtk + context-mode дает реальный профит поверх моего текущего сетапа, или это просто карго-культ и оверхед, который утянет бюджет в минус?

Привет, Хабр!

Так уж вышло, что майские праздники я провёл дома — залечиваю травму после катания на длинной доске с колёсиками. Развлечений в такой ситуации не очень много, а одно из немногих, которое всегда со мной, — разработка программных проектов.

Этим я занимаюсь на работе, дома, в отпуске — везде. Такой уж человек.

И вот появилась возможность спокойно заняться старыми пет‑проектами и наконец реализовать давнюю идею: написать простую базу для создания AI‑агента, максимально упростив архитектуру и сделав её удобной для быстрого расширения под собственные задачи.

Если коротко — хочу сделать не «революционный AGI», а понятный конструктор, на основе которого любой разработчик сможет собрать своего личного ассистента.

Это вторая часть разбора того, как мы выстраивали SLA и инцидент-менеджмент в большом продукте.

В этой части речь пойдёт о следующем этапе — масштабировании и удешевлении. О том, что происходит, когда SLA считается корректно, цифрам уже доверяют, но компания продолжает развиваться. У неё кратно растёт количество разработчиков, архитектура усложняется и количество сбоев тоже растёт. Инциденты и сбои это наши обиходные синонимы и по ITIL это не одно и тоже, уж простите. С ростом ограничением становится не математика и перегибы полиномов высоких порядков, а люди, ручной труд, коммуникации и скорость реакции. О том, что со всем этим делать и поговорим.

На демо всё красиво: задачки бегают, доски сияют, отчёты рисуются. Через полгода команда уточняет статусы в чате, релизы сверяет в таблице, а тимлид перед стендапом открывает пять вкладок. Разбираем четыре ошибки выбора системы управления разработкой и даём чеклист из 12 вопросов, которые стоит задать до покупки.

Команда может стабильно закрывать задачи, проходить ревью и деплоить релизы, но при этом терять деньги и скорость в местах, куда обычно не смотрят.

В статье разбираем три источника скрытых потерь в IT‑разработке: лишние согласования, ожидание между этапами и раздувающиеся расходы на облака и SaaS.

Я всё утро вылизывал план на 1700 строк. Дольше, чем заняла бы сама задача, если бы я сел и написал её руками. И к обеду поймал себя на мысли, что я не написал ни строчки кода, я редактировал документ про то, как код будет написан, и кажется немного поехал 😁

Потом отпустило. Я не поехал. Просто работа переехала, а я не сразу заметил.

Короче. Код стал дешёвым. Любой агент перепишет тебе модуль по запросу, в третий раз, в десятый, на другой язык, ему вообще всё равно. То, за что раньше платили деньги, теперь стоит примерно ничего. А дорого стало то, что по краям от кода. Спереди и сзади. И оба края про одно: сделать правду, которую агент не сможет заболтать.

Потому что заболтать он умеет шикарно. «Готово, всё работает, тесты зелёные». Ага.

Я это понял не из статьи, а из своих же шрамов. Но статья, на которую отвечаю, попала ровно в ту же точку, просто зашла с другой стороны.

Привет, Хабр! Меня зовут Сергей Клюев, я техлид команды, которая занимается внедрением ИИ на платформе MWS Octapi.

На нашей платформе есть low-code инструменты для создания интеграций без привлечения разработки, но на практике пользователю всё равно требуется изучить документацию и разобраться с нюансами выполнения различных задач. Чтобы упростить этот процесс, мы решили добавить на платформу ИИ-ассистента, который постепенно превратился в полноценного ИИ-агента.

По мере расширения возможностей ИИ-ассистента нам понадобилось множество интеграций. В MWS Octapi уже более 700 интеграций (OpenAPI, SOAP, AsyncAPI, GraphQL и другие). Мы решили переиспользовать их, внедрив на платформу протокол MCP. Добавление поддержки MCP позволило превратить привычные API в «руки» для ИИ и быстро интегрировать ИИ-агентов в ИТ-ландшафт.

Про возможности протокола MCP и особенности его внедрения в Enterprise среде — далее под катом. Эта статья — текстовая версия вебинара. Видеоверсия доступна по ссылке.

Представьте: вы наконец посчитали, сколько денег утекает из дома через плохую теплоизоляцию. Пришли к владельцу с цифрой в 200 тысяч в год на отоплении. Он посмотрел, кивнул и сказал: «Ну окей, запишем в убытки».

Примерно так выглядит разговор про техдолг с бизнесом. Пока это «у нас легаси» – руководство кивает и говорит «разберитесь», а стоит принести конкретные рубли вообще тему закрывают. Парадокс в том, что цифра без плана погашения – это не аргумент, а счёт, и на счёт без понятного ROI у CFO всегда один ответ: списать и забыть. 

Мы потратили какое-то время на то, чтобы разобраться, почему так происходит. В процессе нашли три методики, которыми на западе считают техдолг в деньгах – у каждой свои допущения, слепые пятна и сценарии, в которых она врёт. И отдельно поняли, что сама по себе цифра это только половина задачи. Вторая половина упаковка, без которой CFO скажет «спишем» при любой методике.

Об этом и поговорим.

В прошлой статье цикла «РБПО для бедных» мы разобрались, что такое разработка безопасного программного обеспечения, зачем она нужна стартапам и как может выглядеть минимальный конвейер безопасной разработки. Теперь пора переходить от схем и планов к практике.

В этом материале мы рассмотрим:

— создание виртуальных машин в VirtualBox для сервисов безопасной разработки ПО;

— подготовку виртуальных машин к дальнейшей работе;

— установку Ubuntu Server с ручной настройкой статического IP;

— первичную настройку серверов: часовой пояс, базовые утилиты, брандмауэр UFW, установку Docker и docker‑compose.

Мы создадим и подготовим пять виртуальных машин, на которых в следующих частях будем разворачивать сервисы безопасной разработки. К концу статьи у нас будет готова инфраструктурная основа будущего конвейера РБПО.

Так что запасаемся терпением, запускаем VirtualBox и начинаем строить нашу небольшую лабораторию безопасной разработки.

Полгода назад я опубликовал на Хабре статью про «бэклог проблем». Перечитал ее, остался недоволен. В ней я описал симптом и предложил лечить его инструментом, который в моей собственной практике превратился в оружие для защиты от заинтересованных. Главного я тогда не назвал.

Откройте свой бэклог задач. Сверху вниз они отсортированы по RICE или по вашей кастомной модели, у каждой задачи скоринг, все аккуратно, все обосновано. Этот список выглядит как самый рациональный документ в компании и как ваше профессиональное суждение: вы посмотрели на все возможные позиции, взвесили и расставили именно в таком порядке.

Так вот, почти наверняка это не ваш список и не ваше собственное суждение. Это набор компромиссов, который вы себе присвоили, часто даже не заметив и не осознав этого.

3 июня 2026 года Эндрю Триджелл, один из авторов rsync (и создатель Samba), написал пост, перевод которого предлагается ниже. Поводом стала волна негодования после релиза rsync 3.4.3, в котором закрыли шесть уязвимостей: пользователи начали сообщать о регрессиях, из‑за которых ломались уже работающие конфигурации и сценарии, годами считавшиеся привычными, надежными, рутинными.

Можно было бы сказать «бывает», но масла в огонь подливал тот факт, что незадолго до этого в истории коммитов rsync появилось около пятидесяти изменений, подготовленных с помощью Claude. На этом фоне любые сбои почти автоматически стали читаться как «в важный инфраструктурный проект пустили ИИ, и он нагенерировал плохие исправления» — сами понимаете, как к такому сейчас относится ИТ‑сообщество.

В списке того, что поломалось, были и инкрементальные бэкапы с несколькими --compare-dest, и сборка на старых ядрах Linux и старых версиях macOS, и поведение --link-dest, и другие привычные сценарии. Триджелл ответил не тредом в комментариях, а отдельной заметкой в своём блоге на Medium — местами раздраженной, местами ехидной, но ценной именно тем, что это взгляд опытного инженера, который сейчас реально держит на себе проект.