Обновить
256K+

Управление разработкой *

Планирование, отслеживание и контроль

537,28
Рейтинг
Сначала показывать
Порог рейтинга

Изучаем GitHub за выходные — IT-платформа выпустила подробный роадмап для новичков-разрабочтков, где понятным языком объясняются все тонкости работы с ветками, репозиториями и контролем версий, а также рассказывают, как делать свой вклад в Open Source.

Теги:
+4
Комментарии0

npm 12 больше не запускает скрипты установки зависимостей без разрешения

npm 12 больше не запускает скрипты установки зависимостей автоматически и требует отдельно разрешать установку из внешних источников и Git. Одновременно npm начинает ограничивать токены с обходом двухфакторной аутентификации. В посте разбираем, что это меняет для безопасности установки пакетов и что стоит проверить перед обновлением. 

8 июля 2026 года GitHub выпустил npm 12 и пометил его тегом latest. Вместе с новой версией изменился базовый сценарий установки – раньше скрипт зависимости мог выполниться автоматически, теперь проект должен заранее разрешить его через allowScripts.

Ограничение распространяется на preinstall, install, postinstall и неявные сборки через node-gyp. Если такой скрипт действительно нужен, его можно добавить в список разрешенных; для разбора уже существующего проекта npm предлагает команду npm approve-scripts --allow-scripts-pending, которая показывает зависимости без явно заданного решения и помогает сохранить настройки в package.json.

Тот же принцип теперь применяется к зависимостям из Git и удаленным архивам. Без --allow-git npm откажется устанавливать Git-зависимости, а для архивов по внешним URL понадобится --allow-remote. В июньском анонсе npm 12 GitHub отдельно отмечал, что Git-зависимости создавали обходной путь для выполнения кода даже при использовании --ignore-scripts.

Одновременно npm начинает ограничивать токены с обходом двухфакторной аутентификации: в начале августа 2026 года они потеряют доступ к чувствительным операциям управления аккаунтами, пакетами и организациями, а позднее не смогут напрямую публиковать пакеты. Для автоматической публикации GitHub рекомендует переходить на доверенную публикацию через OIDC или использовать публикацию с ручным подтверждением.

Почему это важно

Новые настройки заметно сужают возможности для атак через установочные скрипты. Это хорошо видно на примере Shai-Hulud и Shai-Hulud 2.0. В первой вредоносные версии пакетов в основном запускали код через postinstall, а во второй для этого использовался preinstall. Однако важно понимать, что вредоносный пакет по-прежнему может попасть в реестр и дерево зависимостей, а нежелательный код выполнится позднее, когда его импортирует приложение или система сборки. npm 12 закрывает не весь путь заражения, а именно автоматическое выполнение кода непосредственно во время установки. Более широкий разбор атак через пакеты и другие звенья цепочки поставки есть в нашей статье «Атаки на цепочку поставки ПО: виды угроз и как с ними бороться».

Перед переходом на новую версию командам стоит проверить:

  • какие зависимости действительно используют установочные скрипты

  • откуда в проектах появляются Git-зависимости и удаленные архивы

  • есть ли в CI долгоживущие токены публикации с лишними правами

Подписывайтесь на Codescoring в Telegram, VK, YouTube и Макс.

Теги:
+4
Комментарии0

Системный и бизнес‑анализ: 10 бесплатных уроков о требованиях, процессах и архитектуре

Аналитику приходится одновременно разбираться в целях бизнеса, поведении пользователей, устройстве систем и последствиях каждого изменения. Ошибка в требованиях легко превращается в дорогостоящую доработку, а незамеченный риск — в проблему уже после релиза.

Собрали открытые уроки для системных и бизнес‑аналитиков. В программе — ArchiMate и TOGAF, управление рисками, Use Cases, BPMN, нефункциональные требования и архитектурные модели. Уроки проводят преподаватели‑практики: во время встречи можно задать вопросы по теме и посмотреть, как устроено обучение.

Бизнес‑анализ

Системный анализ

Больше бесплатных уроков июля смотрите в дайджесте.

А если для вас актуален карьерный переход в системном анализе, читайте полный разбор тестового задания на 2026 год.

Теги:
+7
Комментарии0

Вчера был на презентации нового цифрового продукта.

Ребята проделали огромную работу!

  • продумали сложную логику,

  • разложили систему на огромное количество элементов,

  • реализовали возможность доступа к каждому элементу,

  • связали все эти элементы в единую систему,

  • современный дизайн,

  • куча раскрывающихся менюшек,

  • бесконечное количество возможностей смотреть на систему под разными углами.

Единственное, что они не сделали - не собрали из всего этого Продукт, которым можно пользоваться. Это решение не про "понятно" и "удобно", а про интеллектуальный вызов!

Ощущение такое, что тебе надо ехать, а перед тобой лежит очень сложный и современный автомобиль, разобранный по деталькам, причем часть деталей еще у тебя с собой в сумках и рюкзаке.

Так вот, чтобы ехать - надо разобраться (инструкцию пока никто не написал) какие детальки откуда и собрать всё это в целостную конструкцию. Смотря на все это великолепие (а ехать то надо) - хочется из "галок и палок" соединить два лежащих колеса в подобие самоката и на толкаче поспешить к нужной цели...

Выражение приписывают Генриху Альтшуллеру, основателю ТРИЗ
Выражение приписывают Генриху Альтшуллеру, основателю ТРИЗ
Теги:
+2
Комментарии0

Какое-то время работал по классическому скраму. Двухнедельные спринты, планирование, ретро, демо. Всё как в учебнике.

Потом перешёл на недельные циклы и мне зашло.

Две недели это слишком долго чтобы понять что пошло не так. Берёшь задачу, через неделю понимаешь что оценка была неверной, контекст изменился или задача вообще потеряла смысл. Но спринт ещё идёт и ты либо тащишь её до конца ради метрик либо объясняешь почему не доделал.

С недельным циклом горизонт короче. Ошибка в планировании стоит максимум неделю, не две. Адаптироваться проще.

Минус тоже есть, на большие задачи нужно уметь нарезать на недельные куски. Не всё режется красиво. Иногда приходится делать промежуточные результаты которые сами по себе не имеют смысла.

Но в целом для небольших команд недельные циклы работают лучше. По крайней мере у меня.

Кто пробовал менять длину спринта - назад вернулись?

Теги:
+4
Комментарии2

Представлен проект «Контекстные бомбы: остановка ИИ‑атак на корню». «Теперь ИИ‑агенты могут самостоятельно проводить сложные кибератаки: получив доступ к базе, самые сильные модели могут повысить свои привилегии и похитить данные за считанные минуты. Модули Canary — ресурсы‑приманки, которые мы размещаем для обнаружения злоумышленников, — надёжно обнаруживают этих агентов в действии, но обнаружение атаки — это не то же самое, что ее предотвращение. Поэтому мы попробовали нечто более амбициозное: контекстную бомбу — короткий фрагмент текста, спрятанный в канарейке, который активирует защитные механизмы ИИ‑агента и останавливает его на корню. Контекстная бомба — короткий фрагмент текста, предназначенный для активации защитных механизмов атакующих ИИ‑агентов, размещаемый непосредственно на пути их атаки», — пояснили в команде Tracebit Research.

Эффективность этого проекта может варьироваться в зависимости от поставщика модели. Мы тестировали контекстные бомбы на пяти перспективных моделях, выполняющих атаку «красной команды» в реалистичной среде AWS. Развёртывание одной контекстной бомбы внутри среды (в качестве секрета AWS) оказало огромное влияние на остановку атакующих ИИ-атак. Например, эскалация привилегий администратора снизилась с 57% запусков до 5%.

Теги:
+4
Комментарии0

Теперь ты тимлид: роль, майндсет и границы ответственности

Повелеваю тебе быть ответственным, проактивным и системным…
Повелеваю тебе быть ответственным, проактивным и системным…

Сегодня мы начинаем серию постов о переходе из роли старшего инженера в трек начинающего технического менеджера — тимлида.

Важный момент при переходе на менеджерский трек — смена майндсета: фокус смещается от обычной инженерной работы в команде к ответственности за то, насколько эта работа хорошо организуется и отвечает потребностям компании в достижении целей. Для эффективности в роли технического менеджера необходимо выстраивать стратегию работы команды, основанную на данных и метриках. 

Начинающему тимлиду на старте своего менеджерского пути часто бывает сложно работать с множеством активностей разного приоритета и из разных областей, требующих постоянного переключения контекста. Для упрощения, на начальном этапе все активности можно рассматривать через призму трёх крупных направлений: цели, процессы и команда.

Три направления работы тимлида

Первое направление — цели. В этом направлении затрагиваются вопросы стратегического видения, квартального целеполагания, краткосрочного планирования спринтов, составления роадмапов различной глубины, управления дедлайнами, эффективного использования ресурсов команды, рациональной работы с приоритетами и рисками.

Второе направление — процессы. Оно предполагает системный подход к развитию на основе метрик и данных. Универсальный план работы: определение метрики, её фиксация, изменение процесса, контроль метрики, коррекция плана и продолжение при необходимости.

Третье направление — команда. Оно включает активности по определению структуры и компетенций команды, развитию зрелости и лояльности, а также росту и развитию инженеров в зависимости от потребностей продукта и стейкхолдеров.

Границы ответственности и принятие решений

Роль тимлида предполагает широкую зону ответственности с зачастую размытыми границами. При этом в разных компаниях эта зона может существенно отличаться — в зависимости от специфики и культуры. Часть функций может распределяться, например, между системными аналитиками, инженерами-фичалидами, техническими менеджерами проектов и т. п.

Широкая зона ответственности предполагает обширную коммуникацию с различными функциями. Можно выделить следующие крупные точки взаимодействия: 

  • discovery составляющая — продакт-оунер, дизайнер, аналитик, редакторы и т. д.;

  • техническое руководство — руководители разработки и функциональные руководители направлений; 

  • delivery-составляющая — инженеры команды различных функциональных направлений;

  • смежники: соседние команды, партнеры, HR-функция, административный персонал и т.д.

Наиболее важный момент для новоиспеченного тимлида — умение принимать решения в новой роли в условиях динамично меняющейся обстановки и стресса. Для эффективного принятия решений нужен опыт и лучший вариант его получения это практика за счет делегирования активностей от своего руководителя. Но подобная возможность появляется не всегда и не у всех. В таком случае помогают практические упражнения по разбору ситуационных кейсов, основанных на распространенных ситуациях из реальной практики.

От теории к практический кейсам

В следующих статьях мы рассмотрим наиболее распространённые ситуационные кейсы:

  • Варианты старта: тимлид в новой команде или в существующей.

  • Целеполагание: как планировать, когда всё горит и ничего непонятно.

  • Команда и люди: офферы, лоу-перформинг, увольнение, друзья, лояльность.

  • Процессы: «и так нормально», бюрократия, эксперименты.

  • Менеджерские кейсы: приоритеты, риски, разделение команд.

  • Сложные ситуации: конфликты, смена продукта, откат обратно в инженеры, микроменеджмент.

Разбор таких кейсов позволяет накопить опыт и сформировать видение того, как действовать в новой для себя роли в сложных и неоднозначных ситуациях. Такой подход позволяет в безопасной среде потренировать навыки принятия решений применительно к различным ситуациям.

Теги:
+6
Комментарии1

Почему хорошие вопросы ценятся не меньше хороших ответов

Вопрос может направить работу в нужную сторону, а может растянуть обсуждение на несколько кругов уточнений. Часто все упирается не в сложность задачи, а в то, насколько понятно сформулирован запрос.

Хороший вопрос не обязан быть длинным. Достаточно обозначить, что происходит, где нужна помощь и какого результата вы ждете. Так собеседнику проще включиться, дать точный ответ и не тратить время на догадки.

Вот несколько ошибок, из-за которых вопросы чаще запутывают, чем помогают.

Спрашиваем «как», не разобравшись с «зачем»

«Как нам реализовать эту фичу?»

✔️ «Какую задачу решаем этой фичей? Есть ли другие способы?»

В первом варианте обсуждение сразу уходит в реализацию, хотя цель еще не до конца понятна. Во втором — сначала проясняем задачу, а уже потом выбираем решение. Так меньше риск потратить время на работу, которая не закрывает настоящую потребность.

Не проверяем, был ли похожий опыт в команде

«Как правильно настроить X?» 

✔️ «Кто-нибудь в команде уже настраивал X или сталкивался с похожей задачей?»

Документация и самостоятельный поиск полезны, но иногда быстрее сначала проверить, был ли похожий опыт внутри команды. Возможно, кто-то уже сталкивался с такой задачей, знает внутренние договоренности, помнит ограничения или может подсказать, где не стоит терять время.

Не даем контекста

«У меня ошибка, можете помочь?»

✔️ «Получаю ошибку X при действии Y. Уже проверил A и B, но проблема осталась. Вот лог / скрин / ссылка. Подскажите, где еще посмотреть?»

Вопрос без контекста заставляет собеседника сначала разбираться в исходных данных: что произошло, где именно, после каких действий и что уже пробовали. Чем понятнее вводные, тем быстрее человек сможет перейти к сути и предложить решение.

Просим оценку, когда нужна обратная связь

«Правильно ли я сделал?»

✔️ «Что можно улучшить в этом решении? Есть ли риски, которые я не учел?»

Вопрос «правильно ли?» часто сводит ответ к короткому «да» или «нет». Но в работе важны нюансы: возможные риски, альтернативы, слабые места. Если сразу попросить не оценку, а обратную связь, обсуждение получится полезнее.

Не задаем фокус для ответа

❌ «Что думаешь?»

✔️ «Посмотри, пожалуйста, логику: понятно ли, какую проблему решаем и почему предлагаем именно такое решение?»

«Что думаешь?» кажется удобным вопросом на все случаи, но в нем слишком много свободы для ответа. Собеседник может оценить формулировки, логику, детали реализации, сроки и при этом не попасть в то, что действительно важно. Когда фокус задан сразу, обратная связь получается точнее.

Теги:
+4
Комментарии1

Заряжаемся перед Робозоном: решаем задачу и погружаемся в атмосферу хакатона от Ozon Tech

«Подумаешь, коробка», — скажете вы. И правда, что может быть проще коробки… когда она одна. А что насчёт миллионов коробок? Бесконечный поток товаров, текущий по сортировочному центру. Конвейеры, сканеры, роботы — элементы сложной логистической системы — направляют и упорядочивают этот поток. И от разработчиков, от их способности создавать эффективные алгоритмы обработки товаров и устранять узкие места зависит, насколько быстро и безошибочно будут двигаться коробки.

Не верите? Тогда попробуйте сами решить задачку из серии «не дай конвейеру захлебнуться коробками».

Представьте: в логистическом центре два конвейера, 1 и 2, сливаются в один основной — конвейер 3, ведущий к сканеру штрихкодов. Поток на линии 1 — 1000 товаров в час, на линии 2 — 500 товаров в час. Сканер на линии 3 обрабатывает до 2000 товаров в час. Но вот беда: в точке слияния конвейеров товары сталкиваются, что приводит к затору. Датчики фиксируют «аварию», система постоянно делает микроостановки, поэтому реальная пропускная способность линии 3 падает до 1100 товаров в час.

Вам поручили придумать решение, которое поможет устранить заторы. Что вы выберете?

А. Увеличить скорость линии 3 до 2500 товаров в час, чтобы она моментально «выдёргивала» товары из точки слияния.

Б. Установить на линиях 1 и 2 логику «светофора» (накопительные буферы), пуская товары пачками по очереди.

В. Ускорить линию 2, чтобы её поток «проскакивал» в окна между товарами с линии 1.

Уверены в своём решении? Тогда проверьте его правильность под спойлером.

Вариант А кажется хорошим решением, но на деле не спасёт ситуацию. Запас по скорости на линии 3 есть и так (2000 > суммарных 1500), и если ускорить принимающий конвейер ещё больше, товары просто будут ехать по нему с большими просветами, но коробки с линий 1 и 2 всё равно будут приходить в точку слияния одновременно и застревать.

Вариант В не только не устранит заторы, но может и усугубить проблему: товары будут сталкиваться на ещё большей скорости, увеличивая риск повреждений.

Вариант Б — единственно верный в данной ситуации. Искусственное притормаживание потоков для формирования управляемых «пачек» (плотный поток с линии 1, затем пауза и сброс товаров с линии 2) повышает общую скорость системы, убирая хаос и микроостановки. Парадоксально, не правда ли?

Ладно, это была всего лишь разминка. Настоящие сложные задачи мы приберегли для хакатона Робозон с призовым фондом 15 000 000 рублей.

Участвовать в Робозоне

На Робозоне вас ждут три трека:

  • имитационное моделирование сортировочного центра;

  • конструкция автоматизированного сортировщика товаров сортировочного центра;

  • интеллектуальная роботизированная система сортировки товаров.

Робозон стартовал 2 июля, регистрация продлится до 23:59 11 июля. Хакатон пройдёт в два этапа. Первый завершится 2 августа, и 11 августа будут известны финалисты. Во второй этап пройдут по 5 лучших команд из каждого трека, чтобы до 6 сентября доработать свои решения и побороться за победу на очной защите 12 сентября в Москве. Победителей наградят 13 сентября на конференции E-CODE.

Ещё больше информации о правилах участия, призах и даже подсказки, кого стоит набирать в команды для разных треков, — на сайте ozon-robozon.ru.

Участвуйте в хакатоне — пусть инженерная мысль помогает управлять многомиллионным потоком товаров.

Теги:
+10
Комментарии7

Управление людьми с нуля

С Оксаной Фаст мы познакомились в беговом клубе. «Фамилия прямо для бега» — подумал я тогда. Год назад она перешла в WB, и мы стали коллегами.

Недавно у Оксаны вышла книга «Управление людьми с нуля».

Везёт мне на талантливых коллег, которые не только достигают мастерства в какой-то области, но и умеют делиться своими знаниями.

В этой книге вы найдёте:

  • истории из личного опыта;

  • примеры из разных компаний;

  • чек-листы по каждой теме;

  • лайф-хаки, как делать хорошо;

  • рецепты, если всё уже плохо.

Самой интересной для меня оказалась последняя глава: «Личная эффективность: как управлять собой, чтобы управлять другими?». Она короткая, но, на мой взгляд, самая важная во всей книге.

Рекомендую всем руководителям, а также тем, кто только собирается им стать.

Теги:
+3
Комментарии0

Что изучить на неделе: 13 открытых уроков по LLM, Go, QA, ЦОД и управлению

С 6 по 13 июля проведём серию бесплатных уроков для тех, кто занимается разработкой, архитектурой, ИИ, инфраструктурой, безопасностью, тестированием и управлением.

Это темы, которые помогут в решении реальных рабочих задач: от LLM‑приложений и RAG до метрик CTO, балансировки трафика в ЦОД и чистой архитектуры на Go.

ИИ и LLM

  • 6 июля, 20:00 «Как сделать LLM-приложение, которое отвечает клиентам по базе знаний компании». Записаться
    Разберём, как устроить приложение, которое ищет ответы в корпоративной базе знаний и помогает автоматизировать клиентские коммуникации.

  • 7 июля, 20:00 «Обучение с подкреплением — гибкий подход для сложных задач. Создаём собственные окружения». Записаться
    Поговорим о том, как работает reinforcement learning и как создавать собственные окружения для экспериментов и обучения агентов.

  • 7 июля, 20:00 «OWASP Top 10 для LLM-приложений: карта угроз, которую должен знать каждый». Записаться
    Разберём основные риски LLM-приложений: prompt injection, утечки данных, небезопасные плагины и другие типовые угрозы.

  • 13 июля, 18:00 «LoRA и RAG: как адаптировать LLM под свои данные и задачи». Записаться
    Покажем, чем отличаются подходы LoRA и RAG и как использовать их для настройки LLM под конкретные бизнес-сценарии.

Разработка и архитектура

  • 8 июля, 20:00 «Чистая архитектура на Go без карго-культа: слои, DTO и интерфейсы». Записаться
    Разберём, как применять принципы чистой архитектуры в Go-проектах без лишних абстракций и усложнения кода.

  • 8 июля, 20:00 «Продвинутое использование отладчика GDB». Записаться
    Поговорим о возможностях GDB, которые помогают глубже анализировать поведение программы и быстрее находить сложные ошибки.

  • 8 июля, 20:00 «Новшества языка ArchiMate 4.0». Записаться
    Посмотрим, что изменилось в ArchiMate 4.0 и как эти изменения могут пригодиться при описании архитектуры.

Инфраструктура и ЦОД

  • 7 июля, 20:00 «Особенности балансировки трафика ЦОД, чтобы не случилось “всё упало, всё пропало”». Записаться
    Разберём, как устроена балансировка трафика в дата-центрах и какие ошибки могут привести к отказам и перегрузкам.

QA, управление и процессы

  • 7 июля, 19:00 «Как читать баги: метрики для руководителей команд тестирования (QA Lead)». Записаться
    Покажем, какие метрики помогают QA Lead видеть реальное состояние продукта, команды и процесса тестирования.

  • 7 июля, 20:00 «Операция "Воркшоп": как получить поддержку руководства для новой инициативы». Записаться
    Разберём, как подготовить инициативу, провести воркшоп и аргументировать идею так, чтобы её поддержали стейкхолдеры.

  • 8 июля, 20:00 «Метрики CTO: как доказать бизнесу, что инженерная команда работает эффективно». Записаться
    Обсудим, какие инженерные метрики понятны бизнесу и как с их помощью показывать вклад команды в результат.

  • 8 июля, 20:00 «Как писать PRD, ТЗ и user stories с помощью ИИ — быстро, структурно и без мусора». Записаться
    Разберём, как использовать ИИ для подготовки требований, пользовательских историй и технических заданий без потери смысла и структуры.

HR и стратегия

  • 9 июля, 20:00 «HR на языке цифр: от кадров к стратегии». Записаться
    Поговорим о том, как HR-метрики помогают переходить от операционной работы с кадрами к стратегическому управлению людьми.

Больше открытых уроков июля смотрите в дайджесте.

Теги:
+5
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №30 из 30 — Сертификация процессов РБПО: требования ФСТЭК России, новые стандарты и практика

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Сертификация процессов РБПО: требования ФСТЭК России, новые стандарты и практика". На YouTube. Слайды.

Финальный дополнительный вебинар прошёл при участии ведущих экспертов: Дмитрия Шмойлова, Алексея Щербакова и Виталия Вареницы. Участники обсудили практику сертификации, новые национальные стандарты и методику подготовки, опыт компаний, а также подводные камни аудита и преимущества внедрения РБПО.

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
+3
Комментарии0

C-level в кулуарах: о миссии, ошибках и AI — семь топов говорят честно

Что происходит, когда IT-руководители высшего звена собираются не на сцене, а в кулуарах? Правильно — начинается настоящий разговор.

Этот выпуск «Свободного слота» записали прямо на конференции SouthHub в Красной Поляне. Саша Афёнов и Саша Прокшина поговорили с семью топами из крупнейших IT-компаний: Алексеем Молчановым (Cloud.ru), Татьяной Фоминой (HeadHunter), Александром Швецом (Авито), Иваном Самсоновым (MWS), Дмитрием Молочниковым (Альфа-Банк), Сергеем Паращенко (Product Vision) и Кириллом Евсеенко (Звук).

Что обсудили

Зачем CTO и CPO вообще ездят на конференции, если они и так всё знают. Кто такой настоящий C-level — и почему «уникальная снежинка» на высокой должности это проблема. Как превратить личную мечту в рабочую миссию и не спутать её с синдромом отложенной жизни. Как бизнесу не сливать бюджеты на LLM — и почему разговор об AI всё равно случился, хотя никто не планировал.


Слушайте и смотрите новый выпуск на площадках:

📺 YouTube
🔵 ВК Видео
📌 RuTube
🎧 Яндекс Музыка
Ⓜ️ Mave

Ещё больше новостей — в нашем телеграм-канале

«Свободный слот» — терапевтичный контент для тимлидов и тех, кто хочет ими стать

Теги:
+2
Комментарии0

Ближайшие события

Представлен открытый проект Ghostprovider — терминальный инструмент для быстрого запуска GitHub‑проектов у себя на localhost.

Принцип работы проекта: предоставляется ссылка на репозиторий, а инструмент сам анализирует проект: ищет Dockerfile, docker‑compose, package.json, requirements.txt, Go/Rust/Python/Node‑признаки, определяет тип приложения и пытается развернуть его в Docker. После запуска показывает локальный URL, контейнеры, логи и дает управлять сервисами прямо из TUI: старт, стоп, рестарт, удаление. По сути это автоматизированная оболочка над git clone, docker build, docker run и docker compose up, только с автоанализом проекта и удобным интерфейсом в терминале.

Важно: инструмент реально запускает код из чужих репозиториев, поэтому случайные проекты лучше гонять в VM/песочнице и внимательно смотреть Dockerfile/docker‑compose перед запуском. Сам Ghostprovider выглядит прозрачным, но риск всегда в том, что именно вы через него запускаете.

Теги:
+3
Комментарии0

Автоматизировать, нельзя делать вручную

С помощью ИИ можно автоматизировать почти что угодно, и именно поэтому многим сложно встроить его в повседневную работу. Непонятно, с чего начинать и какие процессы действительно стоит отдавать ИИ. В итоге идеи часто остаются на уровне «надо бы попробовать», но до реального использования так и не доходят.

Константин, специалист по ИИ в Naumen, рассказал, какие задачи стоит автоматизировать в первую очередь и по каким признакам понять, что процесс действительно подходит для ИИ.

Проверьте процесс по трем критериям

Перед тем как автоматизировать любую задачу, ответьте на три вопроса.

  1. Боль. Насколько процесс раздражает, отнимает время или приводит к ошибкам?

  2. Частота. Как часто вы его выполняете: каждый день, каждую неделю или раз в месяц?

  3. Стоимость автоматизации. Есть ли понятные правила, по которым выполняется задача, или каждый делает ее по-своему?

Идеальный процесс для автоматизации выглядит так: часто повторяется, на него уходит много времени и это раздражает, выполняется по понятным правилам.

В первую очередь автоматизируйте работу с информацией

Практически любая задача, связанная с обработкой информации, — хороший кандидат для автоматизации.

Например:

  • Парсинг сайтов конкурентов, изучение технической документации, сбор данных из отчетов — в 90% случаев это можно доверить ИИ. Человек подключается только для валидации результата: проверить, не упущено ли что‑то важное, адекватен ли вывод.

  • Изучение документации — нет смысла читать 50 страниц документации вручную, когда ассистент справляется за минуту и выдает выжимку.

  • Любая работа с форматированием данных — привести таблицу к единому виду, объединить информацию из нескольких документов, удалить дубли или преобразовать данные в нужный формат.

Следующий шаг — база знаний команды

Во многих командах нужная информация существует, но хранится сразу в нескольких местах: в чатах, документах, личных заметках, папках или переписках.

Если собрать материалы по конкретным рабочим сценариям в единую базу знаний, можно создать ассистента, который:

  • отвечает на вопросы;

  • находит нужные фрагменты;

  • помогает новым сотрудникам быстрее разобраться в теме;

  • снижает количество однотипных вопросов внутри команды.

Важно, чтобы в базе была только полезная и актуальная информация. Чем больше шума и лишних документов, тем выше вероятность ошибок и неточных ответов.

Например, вместо поиска по нескольким чатам можно просто спросить ассистента: «Как у нас проходит релиз продукта?» или «Какие требования сейчас действуют для этой интеграции?».

А еще ИИ помогает командам лучше понимать друг друга. У каждой команды постепенно появляется свой язык: внутренние термины, сокращения, привычные формулировки. То, что разработчики считают очевидным, может быть непонятно продажам или менеджерам. Ассистент помогает быстрее переводить этот контекст между командами и снижает количество недопониманий в коммуникации.

Например, менеджер по продажам может попросить: «Объясни простыми словами, как работает эта функция, чтобы я мог рассказать о ней заказчику без технических терминов».

Создать такого ассистента сегодня можно несколькими способами

  • Для команды

Мы, например, создали платформу на базе Open WebUI. Любой сотрудник может создать ассистента, загрузить в него документы и открыть доступ коллегам. Ассистент помогает быстро находить информацию по вебинарам и рабочим материалам.

  • Для общей базы знаний

Можно подключить Claude Code к внешним репозиториям и использовать их как общую базу знаний команды. В таком сценарии ассистент получает доступ к рабочим материалам, заметкам и документам, которыми пользуются сразу несколько сотрудников. 

  • Для личной работы

Можно собрать локальную базу знаний для себя: все рабочие материалы хранятся прямо на компьютере и никуда не передаются.

Главное — не пытаться автоматизировать все сразу. Найдите процесс, который часто повторяется, действительно мешает работать и выполняется по понятным правилам. Именно он обычно дает самый заметный результат.

Теги:
+3
Комментарии0

РБПО по ГОСТ Р 56939—2024: вебинар №29 из 30 — Системы с конструктивной информационной безопасностью (ГОСТ Р 72118—2025)

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Системы с конструктивной информационной безопасностью". На YouTube. Слайды.

С помощью приглашённого эксперта Екатерины Рудиной, аналитиком департамента перспективных технологий "Лаборатории Касперского", мы разобрались, в чём сходство и различие таких систем с безопасным ПО, как соотносятся создание систем с КИБ и разработка безопасного ПО, чем полезен в работе специалистов по ИБ новый ГОСТ Р 72118—2025 "Защита информации. Системы с конструктивной информационной безопасностью. Методология разработки".

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Теги:
+4
Комментарии0
Свежие задачи на Бирже заказов Инфостарта для 1С-специалистов
Свежие задачи на Бирже заказов Инфостарта для 1С-специалистов

На Бирже заказов Инфостарта опубликована новая подборка задач по 1С. В списке за неделю - внедрение «1С:Управление торговлей», обмены с бухгалтерией, настройка УПД и ЭДО, интеграция с Битрикс, подготовка технического задания на драйвер связи и другие работы.

В этой подборке — заказы, размещенные с 24 июня по 1 июля. На этой неделе в подборку вошли задачи для специалистов по «1С:Управление торговлей», «1С:Комплексной автоматизации», ЭДО, УПД, обменам с бухгалтерией, интеграциям с Битрикс и разработке решений на платформе 1С.

Биржа заказов Инфостарта помогает быстро найти исполнителя под задачу по 1С - от консультации и небольшой доработки до внедрения, настройки обменов, интеграции с внешними сервисами или сопровождения системы.

Формат подходит и заказчикам, которым нужен специалист под конкретную задачу, и исполнителям, которые хотят выбирать проекты по стеку, объему работ и срокам.

На площадке доступны:

  • 0% комиссии — расчеты напрямую с подрядчиком;

  • исполнители разного масштаба — от одного разработчика до ИТ-команды;

  • прямой обмен контактами;

  • безопасная сделка по желанию;

  • рейтинги, кейсы и прозрачность откликов.

Теги:
+9
Комментарии0

Два Claude Desktop на одном Mac в одну кнопку

Sergey Gordeychik

Обычно я пишу всякое сложное — про кибербез, кризис воспроизводства профессий и прочий АйАй-ужас. Сегодня коротко и практично: как удобно работать с двумя Claude на одном macOS — под разными аккаунтами, одновременно, чтобы личное и рабочее не смешивалось.

Проблема

Claude Desktop хранит сессию в одном фиксированном профиле (~/Library/Application Support/Claude). Второе окно — тот же аккаунт. Даже open -n не помогает: профиль общий. А держать личный и рабочий аккаунт хочется рядом, не разлогиниваясь по десять раз в день.

Идея

Оказывается, приложение умеет запускаться с другим профилем — но не через флаг командной строки, а через переменную окружения. В коде main-процесса (Electron) буквально:

if (process.env.CLAUDE_USER_DATA_DIR) {
  app.setPath("userData", process.env.CLAUDE_USER_DATA_DIR)
}

Значит, можно обернуть тот же самый подписанный бинарник в маленький .app-лаунчер, который выставляет CLAUDE_USER_DATA_DIR в отдельную папку. Никакой второй закачки и копии на 400 МБ — просто другой профиль. Блокировка «один экземпляр» у Claude привязана к профилю, поэтому два разных профиля — это два полноценных инстанса рядом.

Две засады

1. Ловушка Rosetta. Бинарник универсальный (x86_64 + arm64). При «наивном» запуске второй экземпляр стартовал под Rosetta как транслируемый x86_64 — и Chromium начинал жечь ядро под 100%, всё дико тормозило.

sample "Claude Work" 1 | grep 'Code Type'
# Code Type: X86-64 (translated)   ← вот она, беда

Лечится форсом arm64 в лаунчере (exec /usr/bin/arch -arm64 …) плюс LSArchitecturePriority/LSRequiresNativeExecution в Info.plist. После этого — Code Type: ARM64, CPU в норме.

2. Сессии Claude Code. Транскрипты лежат глобально в ~/.claude/projects и общие для всех. Но десктоп ведёт свой индекс сессий по каждому профилю и аккаунту (claude-code-sessions/<account>/<org>/…). Новый профиль этот индекс не видит — список пустой, хотя транскрипты на месте. Достаточно скопировать папку нужного аккаунта — и сессии возвращаются.

Как поставить

Я собрал это в маленький репозиторий claude-clone с деплоем в одну команду:

git clone https://github.com/<you>/claude-clone && cd claude-clone
chmod +x install.sh sync-sessions.sh
./install.sh -n "Claude Work" -b W --copy-settings --copy-sessions

Скрипт создаёт .app-обёртку, изолированный профиль и отдельную иконку (перекрашенный фон + буква-бейдж в углу), чтобы два Claude не путались в Доке. Флаг --copy-sessions подтянет существующие сессии Claude Code (а если их нет — просто начнёт с чистого листа). Дальше — запускаешь «Claude Work», логинишься вторым аккаунтом, и всё.

Что осознанно не копируется: токены логина, куки, локальное хранилище — весь смысл в другом аккаунте. Системный прокси, если он у вас есть, оба инстанса подхватывают сами (Chromium читает системные настройки).

Итог

Пять минут работы — и два независимых Claude живут рядом: личный и рабочий, каждый со своей историей, своей иконкой и нормальной нативной скоростью.

Репозиторий со скриптами: https://github.com/scadastrangelove/claude-clone

P.S. Это неофициальный трюк на основе поведения приложения (переменная окружения CLAUDE_USER_DATA_DIR) — в будущих версиях может измениться. На момент написания работает на Apple Silicon, Claude Desktop 1.17.x.

Теги:
+6
Комментарии2

🤖 🤖 🤖 К счастью или сожалению, ИИ-инструменты стали нормой в сфере разработки софта. И если раньше ещё был некоторый скепсис, что «стрельнет» эта штука или нет, то теперь очевидно — либо вы освоите ИИ-инструменты, либо вы пойдёте на мороз.

Фишка ИИ заключается в том, что с ним достаточно легко получить какой-то результат, который в ряде случаев будет уместным. Однако добиться нужного результата нужного качества — достаточно сложно.

И тут у нас есть три пути:

1) Двигаться маленькими шагами, задавая ожидаемый результат ИИ-агенту. В данном случае агент полностью полагается на ваше руководство и вашу постановку и выполняет исключительно работу руками. До текущего момента я использовал именно эту технику и был вполне доволен.

2) Полагаться на итерации и самопроверку. Этот подход рекламируют разработчики ИИ-сервисов, когда вы задаёте финальную точку, а дальше ИИ-агент генерит много кода, выполняет самопроверку, удаляет большую часть, генерит её снова и так по кругу, пока не получится нужный результат. На демках это в целом работает, в реальных проектах — большие сомнения. Ну и те самые мемчики, когда разработчик тратит на токены больше, чем он зарабатывает в месяц.

 3) Идеологом третьего подхода является Мэтт Покок (Matt Pocock), который предлагает технику разработки, основанную на скилах, которые сначала опрашивают тебя обо всех нюансах проекта, потом готовят документ, содержащий доменное знание. После этого разбивает задачу на маленькие таски и выполняет их, основываясь на доменное знание. Т.е. что-то из мира TDD, DDD и прочих техник.

Мне в своё время не очень зашло TDD в силу инверсии принципа разработки, которым я всегда работал. Но после ознакомления с тем, как предлагает работать Мэтт, кажется, эта штука может работать.

Cобственно, на этой неделе разбирал, как он предполагает работать, знакомился с его репозиторием скилов и дальше буду пробовать — https://github.com/mattpocock/skills

Теги:
+1
Комментарии0

Claude и Codex научились проходить модерацию App Store вместо разработчиков — инструмент greenlight сам находит причины будущего отказа и тут же их исправляет. Htitybt проверяет приложение по требованиям Apple, автоматически устраняет найденные ошибки и повторяет проверки до тех пор, пока шанс получить отказ не станет минимальным.

Теги:
+3
Комментарии0
1
23 ...