Учебный процесс в IT

SRE vs ИБ: как не сломать продакшен, пока его защищаешь

Есть две команды, которые искренне хотят одного и того же — чтобы всё работало. Только вот «работало» они понимают немного по-разному. SRE хочет, чтобы сервис не падал. ИБ хочет, чтобы его не взломали. И в точке их встречи рождается… продуктивное напряжение. Об этом и поговорили Михаил Савин, Александр Глухих и Александр Трифанов с гостем подкаста Владимиром Кочетковым — руководителем AppSec Research из Positive Technologies. Получился разговор, в котором никто не делал вид, что всё под контролем.

Что на повестке

Зоны ответственности SRE и ИБ пересекаются там, где цена ошибки выше всего: в продакшене, в инцидентах и в CI/CD. В выпуске обсуждаем, почему автоматические сканеры закрывают не все проблемы, как приоритизировать уязвимости, не останавливая релизы, и кто в итоге отвечает за безопасность системы — особенно в тех самых «ничейных зонах».

Отдельно досталось теме ИИ: почему код, сгенерированный нейросетью, часто приходит с бонусными уязвимостями в комплекте — и что с этим делать.

Если вы когда-нибудь наблюдали конфликт между «нам нужно катить быстрее» и «нам нужно закрыть эту дыру» — этот выпуск про вас.

Слушайте и смотрите на площадках

• 📺 YouTube

• 💻 Rutube

• 🛫 На любимой платформе

И подписывайтесь на телеграм-канал Avito SREда

Ещё больше экспертизы собрали для вас на сайте: смотрите наши лонгриды, новости, плейлисты видео. А узнать, как стать частью команды AvitoTech, можно вот здесь.

Маркетологи и пиарщики, привет!

Кажется, сейчас все на нервах из-за грядущей блокировки телеграма — и в этот момент у многих возникает вопрос: «а где теперь брать трафик и аудиторию?»

Если это про вас — у нас есть штука, на которую стоить обратить внимание. Мы обновили и расширили наш бесплатный мини-курс про продвижение на Хабре — специально для не-ИТ компаний.

Внутри – не учебный кейс и не красивая легенда, а настоящая переписка директора по маркетингу не-ИТ бренда и менеджера Хабра. Вместе с ними вы узнаете, кто на самом деле читает Хабр и чем эта аудитория интересуется, какие рекламные форматы здесь работают и под какие задачи они подходят, а ещё как собрать понятную стратегию и протестировать площадку без лишних затрат.

У курса нет даты старта и окончания, просто записываетесь — и письма начинают приходить на почту одно за другим за каждый день. Первое придёт сразу после регистрации

Осенью курс уже прошли 600 маркетологов. Может, теперь пора и вам?

→ Записаться на бесплатный курс

5 правил программирования Роба Пайка:

• Правило 1. Невозможно предсказать, где программа будет тратить время. Узкие места возникают в неожиданных местах, поэтому не пытайтесь угадывать и использовать ускорение, пока не докажете, что именно там находится узкое место.

• Правило 2. Измеряйте. Не оптимизируйте скорость, пока не измерите, и даже тогда не делайте этого, если только одна часть кода не превосходит остальную.

• Правило 3. Сложные алгоритмы медленны, когда n мало, а n обычно мало. Сложные алгоритмы имеют большие константы. Пока вы не узнаете, что n часто будет большим, не усложняйте алгоритмы. (Даже если n станет большим, сначала используйте Правило 2.)

• Правило 4. Сложные алгоритмы содержат больше ошибок, чем простые, и их гораздо сложнее реализовать. Используйте простые алгоритмы, а также простые структуры данных.

• Правило 5. Данные доминируют. Если вы выбрали правильные структуры данных и хорошо всё организовали, алгоритмы почти всегда будут очевидны. В программировании центральное место занимают структуры данных, а не алгоритмы.

Уточнения:

• Правила 1 и 2 Пайка перефразируют знаменитую максиму Тони Хоара: «Преждевременная оптимизация — корень всех зол».

• Кен Томпсон перефразировал правила 3 ​​и 4 Пайка как «В случае сомнений используйте грубую силу».

• Правила 3 ​​и 4 являются примерами философии проектирования KISS (Keep It Simple, Stupid).

• Правило 5 ранее было сформулировано Фредом Бруксом в книге «Мифический человеко‑месяц». Правило 5 часто сокращают до «пишите глупый код, использующий умные объекты».

Представлен открытый проект AutoResearchClaw. Это доработанная под исследования версия агента OpenClaw, которая:

• детально анализирует идею пользователя и выдаёт готовый PDF‑документ с исследованием гипотезы;

• агент сам пишет код и все формулы, а также запускает тесты, исправляет ошибки;

• почти не имеет галлюцинаций;

• вся работа бота проходит 4-этапный процесс верификации по научным базам;

• умеет работать с LaTeX, чтобы создавать понятные и эффективные графики;

• сам агент бесплатный — нужен только API.

Для Claude представлен модуль антиплагиата Stop Slop, который убирает из текста все маркеры ИИ. Проект вырезает шаблонные фразы, лишний пафос и делает текст более живым. Можно использовать как в Claude Code, так и в веб‑версии, просто добавив SKILL.md в проект.

Anthropic представила исследование, которое показывает, что влияние ИИ на рынок труда пока значительно ниже его теоретического потенциала. В статье представлена новая метрика под названием observed exposure («наблюдаемое воздействие»). Она сравнивает теоретические возможности языковых моделей с реальными данными их использования, в данном случае на основе разговоров пользователей с чат-ботом Claude. Для анализа были объединены данные базы профессий O*NET, оценки того, какие задачи теоретически могут ускоряться с помощью ИИ, а также статистика фактического использования Claude в рабочих сценариях.

Результаты показали значительный разрыв между потенциалом и практикой. По оценкам исследователей, языковые модели теоретически способны ускорить выполнение 94% задач в компьютерных и математических профессиях. Однако на практике ИИ применяется лишь примерно в 33% таких задач. Большинство возможностей технологий остаётся нереализованным из-за ограничений самих моделей, юридических требований, необходимости человеческого контроля или сложной интеграции с профессиональными системами.

Исследование также выявило, какие профессии сейчас наиболее подвержены влиянию ИИ. На первом месте оказались программисты — около 75% их задач могут выполняться или ускоряться с помощью моделей. Далее следуют специалисты службы поддержки, операторы ввода данных и аналитики. В то же время примерно 30% работников практически не затронуты использованием ИИ: среди них повара, бармены, спасатели, механики и другие профессии, связанные с физическим трудом.

Компания Mistral AI представила большую языковую модель Leanstral. Это проект для разработки приложений с помощью вайб‑кодинга и оптимизированный для формальной верификации кода. Предполагается, что Leanstral может применяться для создания ИИ‑ассистентов, позволяющих не просто генерировать код, но и гарантировать отсутствие в нём ошибок.

Leanstral стала первой открытой моделью, поддерживающей язык программирования Lean 4 и связанный с ним инструментарий для проверки математических доказательств. Lean 4 предоставляет возможности для математического доказательства корректности кода и его соответствия спецификации, что в контексте вайб‑кодинга позволяет подтвердить, что сгенерированный ИИ‑моделью код делает именно то, что задумано.

Модель Leanstral охватывает 119 миллиардов параметров (6.5 млрд активируемых параметров на токен), учитывает контекст в 256 тысяч токенов и опубликована под лицензией Apache 2.0. Загружаемый архив с Leanstral занимает 121 ГБ и пригоден для использования на локальных системах. Для локального запуска могут применяться библиотеки vllm, transformers и SGLang.

Для оценки возможностей ИИ-моделей с учётом качества проведения формальной верификации кода и написания математических доказательств разработан новый набор тестов FLTEval. В проведённых тестах модель Leanstral обогнала существующие открытые модели Qwen3.5 397B‑A17B, Kimi‑K2.5 1T‑A32B и GLM5 744B‑A40B, показала сходные результаты с моделями Claude Haiku 4.5 и Claude Sonnet 4.6 от компании Anthropic, но отстала от модели Claude Opus 4.6. В частности, модель Opus набрала 39.6 баллов, а Leanstral — 21.9 при одном проходе и 31.9 при 16 проходах. При этом затраты при использовании Opus составили $1650, а Leanstral — $18 при одном проходе и $290 при 16 проходах. Модель Haiku набрала 23 балла при затратах $184, а модель Sonnet — 23.7 при затратах $549.

Obsidian Hybrid Search | GitHub

Разработал MCP-сервер и CLI для гибридного поиска по хранилищу в Obsidian.

Приглашаем на встречу о профессии «Специалист по информационной безопасности»!

• Как превратить интерес к поиску уязвимостей в карьеру?

• Как устроена работа в департаментах по реагированию на инциденты, и почему здесь важна скорость реакции и аналитический склад ума?

• Какие навыки и знания необходимы новичку для успешного старта в индустрии?

Обо всём этом в эту субботу расскажет Борис Степанов, руководитель направления по анализу безопасности в «Криптоните», вместе с представителями других ИБ-компаний!

Где: в Музее криптографии (Москва, улица Ботаническая, дом 25, строение 4)
Когда: 21 марта, суббота, начало в 15:00
Как попасть: посещение встречи бесплатное. Нужно только зарегистрироваться по ссылке

Встреча проходит в рамках профориентационного проекта «Ключ к профессии», которые проводит Музей криптографии. Эти встречи полезны для старшеклассников и студентов младших курсов, планирующих связать жизнь с наукой и инженерией.

Три онлайн-ресурса для тех, кто выгорел и хочет разгрузить свои мысли:

• Slowroads — бесконечная дорога, по которой можно ехать под спокойную музыку. Никакой цели — нужно наслаждаться видами и самой поездкой.

• Window-Swap — виды из окон людей со всего мира. Можно смотреть на дождь в Японии, ночные огни в Австралии или на озеро в Канаде.

• Asoftmurmur — генератор фоновых звуков: дождь, ветер, шум кафе, камин и другие уютные шумы для работы или отдыха.

Андрей Карпаты представил проект US Job Market Visualizer, где можно узнать, когда ИИ заберёт определённую работу — это карта рисков автоматизации по 342 профессиям.

Автор проанализировал данные по рынку США: с требованиями к образованию работников, средней зарплате и обязанностям, превратив всё это в интерактивную карту. Чем больше блок, тем больше людей в профессии, а цвет показывает шанс остаться без работы по десятибалльной шкале.

Представлен открытый проект JobSync — Job Search Assistant для поиска работы с помощью ИИ:

• ИИ мониторит подходящие для вакансии, правит резюме и адаптирует под каждый отклик.

• мониторинг и трекинг вакансий: можно вести учет заявок, офферов, компаний, должностей и текущих статусов.

• анализ рынка труда делают, например, Llama 3.2 или Deepseek, можно подключить и другие модели с помощью Ollama.

• есть встроенный трекер задач и созвонов с рекрутерами.

• создаёт и корректирует различные версии резюме — сервис за секунду адаптирует портфолио под любую вакансию.

• работает полностью локально.

Генеральный директор стартап в сфере ИИ и разработки ПО Emergent Мукунд Джа предупредил о ключевых рисках для быстро набирающего популярность вайб-кодинга:

• главной угрозой остается качество создаваемого кода. По словам Джа, современные инструменты способны быстро генерировать приложения, однако такие решения часто оказываются нестабильными, содержат ошибки или плохо масштабируются. «Есть большая ставка на то, что качество создаваемого программного обеспечения будет экспоненциально расти. Если этого не произойдет, это станет серьезной угрозой», — отметил Джа;

• вторым риском для индустрии Джа назвал сам дальнейший прогресс ИИ. По мнению эксперта, развитие автономных ИИ-систем может привести к тому, что рынок «перепрыгнет» традиционный этап разработки приложений. «Мы прошли путь от телефонов Nokia к BlackBerry, а затем все перешли на iPhone. Возможно, программное обеспечение окажется тем самым BlackBerry», — сказал Джа. В будущем пользователи могут все чаще полагаться на ИИ-агентов и языковые модели, которые выполняют задачи напрямую, без необходимости устанавливать отдельные приложения.

Представлен проект DigitalDefynd — большая база IT‑курсов от лучших университетов мира. Материал на ресурсе обновлён на 2026 год. Там актуализировали курсы и оставили только те навыки, которые пригодятся при устройстве на работу и росте по карьерной лестнице. Есть сотни воркшопов, в том числе от Google и IBM. Большая часть курсов с лицензированными сертификатами и дипломами, которые можно положить в портфолио.

Хотите выяснить, где учиться IT? В экосистеме Хабра есть маркетплейс курсов на Хабр Карьере, на котором собраны сотни онлайн-обучений в самых разных специализациях: программировании, аналитике, дизайне, менеджменте и других. Чтобы пользователи могли проверить качество курсов, там показаны отзывы от тех, кто уже прошел обучение — изучайте и выбирайте лучшее для себя.

«Оки» в переписке снижает тревожность у собеседника, выяснили в НИУ ВШЭ. Использование уменьшительной формы активирует у собеседника нейронные связи, связанные с безопасностью и комфортом. В цифровой среде, где отсутствуют мимика и интонация, уменьшительные формы сигнализируют о дружелюбии и отсутствии злых намерений у собеседника.

Если собеседник ответит вам «оки», у вас сразу активируются нейронные связи, связанные с безопасностью и комфортом. И наоборот. Разгадка простая: милые уменьшительные формы как бы говорят: «всё хорошо, ты в безопасности». Обычное «ок» сегодня воспринимается слишком холодно и агрессивно.

Совершать опечатки в публикациях стало престижно — ошибки в сообщениях стали символом статуса и надёжности, пишет Business Insider. Причина — ИИ‑бум. Из‑за него идеальные тексты кажутся нейрослопом и неуважением к собеседнику. Тексты с ошибками, с маленькой буквы и странной пунктуацией — наоборот, говорят о том, что с вами общается живой человек, заинтересованный в диалоге. Фишку уже активно используют многие топ‑менеджеры — они специально пишут неидеально, потому что слишком вылизанный текст ассоциируется с использованием ИИ.

Основатель маркетинговой компании DigitalMarketer Райан Дайсс считает, что главный риск ИИ не в том, что он заменит людей, а в том, что люди перестанут думать сами.

«Раньше людям не нужно было отдельно тренироваться — работа поддерживала нас в форме. Индустриализация это изменила. Теперь мы ходим в зал, потому что работа больше не делает нас физически сильнее», — пояснил Дайсс.

По его мнению, с мышлением может произойти то же самое: если переложить все задачи на ИИ, умственная «форма» начнёт ухудшаться. «Технологии, которые сделали нас толще, могут сделать нас и глупее», — добавил Дайсс.

В качестве решения Дайсс предлагает правило 10-80-10. Первые 10% задачи человек должен делать сам — сформулировать идею и направление. Затем 80% работы можно отдать ИИ. Финальные 10% снова за человеком — оценка результата, доработка и то, что он называет «de-slopification», то есть очистка выводов ИИ от «шлака», низкокачественного контента.

AlphaXiv выкатили свой TikTok для научных статей и свежих исследований. Внутри есть всё для просмотра: самые хайповые работы в одном потоке, ИИ-выжимки и чат-ассистент, если лень вникать в суть, а также переход к полному тексту в один клик.

Представлен обновлённый список из 200 ресурсов для поиска работы в мире. В нём 78 полезных платформ и инструментов и 122 компании с удалёнкой.

Прокачиваем своё резюме на максимум и обходим все ИИ-фильтры. Продуктовый дизайнер из бигтеха выкатил топ сайтов, которые обеспечат вам собеседования с живым рекрутером. Они помогут обмануть ИИ-фильтры, оптимизируют резюме и проверят итоговый результат на совместимость с ATS:

• Jobscan — показывает процент совпадения резюме с вакансией и подсвечивает недостающие ключевые слова.

• Resume Worded — анализирует структуру и ATS-соответствие. Бесплатного анализа хватает, чтобы понять слабые места.

• SkillSyncer — сравнивает текст вакансии и резюме, показывает, какие навыки добавить.

• Rezi — проверяет ATS-совместимость и помогает красиво переформулировать опыт.

• Enhancv Resume Checker — быстрая оценка читаемости и структуры резюме.

• Kickresume — генератор резюме с ATS-проверкой и стильным дизайном.

• VisualCV — делает резюме понятным для людей и ATS.

• Resumake — простая генерация резюме с шаблонами.

• CV Compiler — для IT: анализирует ключевые навыки и стек технологий.

• Novoresume — проверяет резюме и подсказывает формулировки под вакансию.