Все потоки

Приглашаем на экскурсии с криптографами!

27 июня в Музее криптографии мы запускаем серию экскурсий, которые проведут практикующие криптографы «Криптонита».

Посетители смогут не просто ознакомиться с постоянной экспозицией, но и обсудить с экспертами реальные механизмы защиты данных.

Первую экскурсию проведёт Василий Шишкин, руководитель лаборатории криптографии «Криптонита»!

Он расскажет:
• чем криптографический ключ принципиально отличается от пароля;
• про логику работы TLS-сертификатов, на которых держится защита сайтов;
• есть ли слабые места у протокола Signal и многое другое!

Экскурсии будут проходить раз в месяц. Они рассчитаны на студентов, абитуриентов и молодых технических специалистов.

Следить за расписанием можно по ссылке

30 июня эксперты «Тантор Лабс» представят разбор Tantor XData Gen3 — третьего поколения машины баз данных для высоконагруженных корпоративных систем, реализующей ряд технологий, ранее доступных в таких западных продуктах как Oracle Exadata, SAP HANA и IBM Netezza.

В программе:

• эволюция архитектуры Tantor XData и ключевые изменения в Gen3: независимое масштабирование подсистем вычислений и хранения, полноценная обработка смешанной нагрузки (HTAP) на едином наборе данных;

• новые возможности платформы и сценарии их применения;

• устройство и особенности распределенной СУБД Tantor Polar;

• организация вычислительных ресурсов и ресурсов хранения;

• инструменты управления и мониторинга.

Отдельный блок будет посвящён практической работе с машиной баз данных. Пройдем интерактив с реальным ситуациями, демонстрирующими преимущества новой машины баз данных перед классическими СУБД.

Эксперты мероприятия:

• Вадим Яценко, генеральный директор «Тантор Лабс»

• Сергей Серегин, руководитель технического пресейл «Тантор Лабс».

Когда: 30 июня, начало в 11:00 (онлайн)

Зарегистрироваться

Теологическая модель законов физики

Краткое изложение идеи из статьи физика Пола Дэвиса 'Вселенная из битов'.

В хорошо известной метафоре башни черепах поиск фундаментальной реальности ведет к бесконечному регрессу. Обрыв башни на уровне левитирующей сверхчерепахи требует либо скачок, основанный на вере - приняв нижний уровень как необъяснимый факт - или определенную ментальную гимнастику, такую как введение необходимой сущности, отрицание бытия которой логически невозможно. Классическая христианская теология выбирает второй вариант, где Бог выражен в качестве необходимой сущности, от которой начинается вселенная. К сожалению, концепция необходимого бытия Бога приводит к серьезным философским и теологическим проблемам и в настоящей момент большинство теологов отвергают идею необходимого существования Бога.

Наука приняла как основу реальности физическую вселенную саму по себе. В дебатах с Фредериком Коплестоном британский философ Бертран Расселл прямиком заявил 'Я должен сказать, что вселенная находится всего лишь там и это все.' Правда, по ходу двадцатого века в науке произошли серьезные изменения. Теория относительности отменила абсолютное пространство и абсолютное время, разделяемое всей вселенной. Квантовая механика разрушила концепцию внешней реальности, когда всем физическим величинам можно было приписать хорошо определенные значения в любой момент времени. Таким образом реальность, по крайней мере среди физиков-теоретиков, перешла вначале в сами законы физики, а затем в их математические суррогаты, такие как Лагранжианы, пространства Гильберта и т.д. Сегодня математические законы физики рассматриваются большинством ученых как левитирующая сверхчерепаха, описанная выше.

Ортодоксальная позиция, по-видимому, заключается в том, что наличие существующих законов природы должно быть принято как грубый факт, без дальнейшего объяснения. Шон Кэрролл выразил эту позицию в ответ на вопрос, почему существуют данные законы физики, таким образом 'Это так, как обстоят дела.'

Ортодоксальный взгляд на законы физики содержит длинный список свойств, принимаемых по умолчанию. Законы рассматриваются как вечные, неизменные, действующие с бесконечной математической точностью. Физические законы выходят за пределы вселенной и были напечатаны на вселенной снаружи в момент ее создания. Физический мир подвержен влиянию законов, но сами законы не зависят от того, что происходит во вселенной. Нетрудно увидеть, что данная картина произошла от монотеизма, где рациональное создание создало вселенную согласно набору идеальных законов. Асимметрия между неизменными законами и зависящими состояниями вселенной соответствует асимметрии между Богом и природой. Вселенная в ее существовании зависит от Бога, в то же время как Бог не зависит от вселенной.

Без всякого сомнения ортодоксальная концепция законов физики произошла напрямую из теологии. Самое удивительное, что данная точка зрения осталась без изменения даже после трехсотлетнего развития светской науки. 'Теологическая модель' законов физики так укоренилась в сознании ученых, что она рассматривается просто как сама собой разумеющаяся.

Другое сильное влияние на ортодоксальную концепцию законов физики оказал Платонизм. Многие математики являются платонистами и уверены в том, что математические объекты реально существуют, хотя они не находятся в физической вселенной. Физики-теоретики также погрузились в Платонизм и они согласны поместить математические законы физики в Платонию. Слияние Платонизма и монотеизма создало мощную ортодоксальную научную концепцию законов физики как идеальных, совершенных, бесконечно точных, неизменных, вечных математических форм и отношений, которые выходят за рамки физической вселенной и находятся в абстрактных небесах Платонии вне пространства и времени.

Paul Davies, Universe from Bit, in Information and the Nature of Reality: From Physics to Metaphysics.

ГОСТ Р 56939-2024 на практике: что мы сделали, чтобы получить сертификат РБПО

🔎 Контекст
У Cloud.ru есть платформа, созданная специально для заказчиков, которые обязаны соблюдать особые требования к хранению данных и разработке ПО. Вся инфраструктура, которую они используют, должна быть аттестована на соответствие стандартам безопасности, а платформенные сервисы должны пройти жесткую проверку у регуляторов. Ранее платформа уже получала сертификат ФСТЭК России №4979, но при внесении определенной массы изменений в продукт, процесс требуется пройти заново, а сделать это невозможно без привлечения сторонней лаборатории и многомесячных ожиданий. Чтобы иметь возможность развивать продукт более оперативно, требовалось сертифицировать не только платформу для создания частного, гибридного или распределенного облака Cloud.ru Evolution Stack, но и все процессы вокруг нее, т.е. подтвердить соответствие ГОСТу Р 56939-2024.

🚀 Задача
Стандарт требует выстроить 25 взаимосвязанных регламентов и поддерживать более 200 артефактов в актуальном состоянии постоянно. Но этого мало: ведь стандарт есть, но конкретной методологии его реализации не существует, нужно было приземлить элементы процесса на орг.структуру нашей компании. Осложнялось всё тем, что в любой крупной ИТ-компании команды непрерывно перетасовываются, ответственные меняются, а любое кадровое изменение должно быть тут же отражено во всей документации сразу.

Аудиторы во время сертификации проверяют всё: опрашивают разработчиков, смотрят трекер задач, оценивают стек применяемых технологий, сверяют, соответствуют ли реальные процессы тому, что закреплено «на бумаге». Соответственно, ситуации, когда документация устаревает быстрее, чем обновляется, а новые исполнители не успевают вникнуть в свои обязанности, нужно было истребить полностью.

☁️ Что мы сделали
Применили существующую в компании BPM-систему как единый источник правды: описали в ней ключевые процессы РБПО, зафиксировали роли, связали их с командами через орг.структуру, разместили все артефакты, точки контроля и указали их взаимосвязи. Следующим этапом автоматизировали конвертацию и публикацию свежих документов: по расписанию из BPM-модели экспортируется HTML, который автоматически конвертируется в Markdown и публикуется во внутреннюю Wiki. Изменился владелец роли — один раз вносишь правки в BPM, все документы актуализируются и тут же становятся доступны всем и каждому. Чтобы новички не впадали в ступор от количества регламентов, поверх Wiki добавили ассистента с RAG под капотом. Можно написать в корпоративный чат любой вопрос и получить структурированную информацию о том, кто за что отвечает и как действовать в любой ситуации, причем сразу со ссылками на конкретный документ в базе знаний. 

🦾 Что получили в итоге
В компании появилась полная живая и взаимосвязанная база элементов, включающая организационные единицы, роли, артефакты и инструкции по процессам. То есть на аудите мы показываем не просто набор Word'овских файлов, а живую модель с автоматически собранными артефактами. Каждый сотрудник, причастный к процессу безопасной разработки ПО, четко знает, что в какой ситуации делать и уверен в том, что данные не устарели. ИИ-ассистент сокращает время погружения в регламенты и процессы с дней до пары десятков минут, что значительно упрощает онбординг при смене роли. 

Также такой подход позволил снизить затраты на устранение уязвимостей, поскольку их выявление предусмотрено на самых ранних стадиях процесса. Мы получили подтверждение качества платформы и стали первым облачным провайдером в России с сертификатом РБПО. У нас появилось больше контроля над собственным релизным циклом и теперь мы можем планировать обновления на годы вперед. 

🧠 Рефлексия
Можем смело рекомендовать аналогичный пайплайн командам, которые: 

• сами готовятся к сертификации процессов РБПО;

• хотят упростить адаптацию сотрудников на новых ролях; 

• хотят убрать «слепые зоны» из разработки;

• ищут способ более предметно демонстрировать работу руководству или инвесторам. 

Бесплатные 1700 курсов от топовых вузов мира доступны в одной библиотеке. В подборке есть буквально всё: от курсов по археологии и дизайну, до экономики и финансов.

Лето и ИТ: как их совместить с прицелом на будущее? Отправьте резюме к нам в SSP SOFT

Про нас как работодателя: компания SSP SOFT работает в сфере заказной разработкой ПО и предоставляет выделенные команды по модели ИТ-аутсорсинга для крупных клиентов. Размер компании — мы «средний бизнес» с числом сотрудников около 500 человек, и с проектами федерального уровня.

Рабочие места у нас в московском офисе, в ЦАО у самой Красной площади. А еще вакансии в департамент в Томске и почти всегда на «удаленку» из любой точки России.

Ищем сотрудников — живых, неравнодушных, готовых пробовать новое. Тех, кто не боится сложного, не бежит от нестандартного и умеет видеть результат за строчками кода.

Почему вам у нас понравится:
— Здесь интересно применять знания на реальных проектах, а не просто «отрабатывать ставку»
— Здесь не боятся обсуждать сложные вопросы
— Здесь работа оставляет силы на семью, хобби и желание развиваться

Что мы даем взамен:
— Гибкость: удаленка, офис в Москве или Томске, гибридный формат
— Поддержку здоровья и обучения (ДМС и курсы по твоему выбору)
— Атмосферу, где твое мнение важно

📢 Мы ищем прямо сейчас (актуальность проверяйте по ссылке на хх ниже):

1️⃣ DevOps Engineer (MLOps)
2️⃣ Ведущего аналитика 1С (финансовый контур, КТ 2000)
3️⃣ Функционального архитектора 1С
4️⃣ SAP WMS Консультанта
5️⃣ Tech Lead (финтех, инвестиции)

Подробности о вакансиях читайте на нашей странице ХХ.ру, но там откликаться необязательно. Ждем резюме напрямую в ЛС нашей HR Lead (https://t.me/AONikitina).
Не забудьте добавить «секретную фразу» в сопроводительное письмо, «Увидел(а) вашу вакансию на Хабре».

Желаем всем хабровцам успешной карьеры в 2026 году 🚀

VK Tech усилил защиту корпоративных данных в VK WorkSpace

В супераппе VK WorkSpace добавили новые настройки для управления безопасностью и возможности шифрования данных. 

В VK WorkSpace теперь можно на уровне домена запретить скриншоты и запись экрана супераппа, скачивание, копирование и передачу данных за пределы приложения VK WorkSpace, а также сделать обязательным код-пароль для входа. Обновление снижает риск утечки данных, при этом настройки действуют только внутри супераппа VK WorkSpace и не затрагивают работу устройства: телефон или ПК сотрудника работает как обычно, а корпоративные данные остаются под контролем организации. 

Также в VK WorkSpace реализовано шифрование локальных данных: оно защищает от вмешательства из сторонних программ, и в случае, если устройство попало к злоумышленнику, но он не знает код-пароль. Почта и Календарь VK WorkSpace шифруются на мобильных устройствах, а кеш чатов Мессенджера — и на мобильных устройствах, и на ПК под управлением ОС семейства Linux и Windows. Данные на устройстве хранятся с доступом только для приложения VK WorkSpace. Шифрование работает на всех тарифах, включено автоматически и не требует настройки со стороны администратора или пользователя.

Настройки безопасности доступны на тарифах «Расширенный» и «Индивидуальный» в облачной версии VK WorkSpace, а также появятся в On-Premise, начиная с версии 26.2. Для мобильных приложений можно использовать все опции, а для настольных — защиту от скриншотов и записи экрана, обязательный код-пароль.

Чеклист перед запуском торгового бота

Заперли физика, химика и экономиста,на необитаемом острове с банкой консервов.  Физик предлагает разбить её камнем, химик — нагреть на костре. Экономист говорит: «Предположим, у нас есть открывашка».

• Path-aware exits
  
  Плохо: PnL считается по close, ни одна сделка не закрыта по SL
  Хорошо: OHLC-реплей внутри свечи, intra-candle SL/TP
  

• Look-ahead bias
  
  Плохо: Ручной параметр времени, индикатор на всём массиве
  Хорошо: Ambient-контекст, данные только до текущего тика
  

• Комиссии + слиппедж + leverage
  
  Плохо: PnL по миду, без комиссий, +0.3% это минусовая статегия ниже комиссии
  Хорошо: На момент холда считается стоимость обслуживания leverage, fees
  

• Размер выборки
  
  Плохо: <30 сделок, Sharpe Ratio в космосе, tail-driven
  Хорошо: N/A вместо фейка при недостатке данных, гейты ≥10 сигналов / ≥14 дней
  

• Crash-recovery
  
  Плохо: Нет атомарной записи, рестарт с нуля
  Хорошо: Atomic writes, graceful shutdown
  

• Адаптер биржи
  
  Плохо: Не отправлял реальный ордер
  Хорошо: Если покупателя/продавца не нашлось, не закрываем позицию и в бд

РБПО по ГОСТ Р 56939—2024: вебинар №26 из 30 — Сертификация ПО согласно требованиям ФСТЭК и МО

Предлагаю вашему вниманию запись вебинара, где мы разбираем безопасную разработку ПО. Мы добрались до дополнительных (бонусных) вебинаров цикла. Рассмотрим "Сертификация ПО согласно требованиям ФСТЭК и Минобороны". На YouTube. Слайды.

В вебинаре обсуждается, что на самом деле даёт сертификат и почему он не гарантирует безопасность ПО. Какие программы обязаны проходить проверку, а какие — нет. Чем отличается сертификация от аттестации, и что происходит после получения сертификата. На эти и другие вопросы ответили в бонусном вебинаре цикла с Виталием Вареницей, ведущим специалистом ЗАО "НПО "Эшелон" по сертификации и тестированию на проникновение ПО

Общее количество вебинаров — 30. Каждому из 25 процессов ГОСТа посвящён отдельный вебинар и ещё 5 записано дополнительно на смежные темы. Запись всех вебинаров и подборка дополнительной информации доступна по ссылке: ГОСТ56939.РФ.

Методика ВУ и НДВ в ПО приведена в соответствие с ГОСТ Р 56939—2024

Материалы будут полезны всем, кто знакомится с темой РБПО и заинтересован во внедрении зрелых подходов в работу по созданию и сопровождению качественных программных продуктов. Материал по ГОСТ Р 56939—2024 весьма актуален, так как 12 мая 2026 утверждена обновлённая "Методика ВУ и НДВ в ПО". См. заметку "Методика выявления уязвимостей и недекларированных возможностей — 2026".

НЕкурс про РБПО

Суммарное время предлагаемых к изучению вебинаров составляет около 50 часов. Это достаточно большая задача, поэтому мы решили помочь и разбили материалы на отдельные уроки по РБПО. Возможно, так вам будет проще усваивать материал, а интерфейс позволяет отмечать, с чем вы уже ознакомились.

Нейросети против фрилансеров: тест 11 сайтов за 321 рубль

Решил провести эксперимент. Взял платформу YPage, где сайт собирается в чате с нейросетью, и заставил ИИ делать лендинги для реальных бизнесов. Без сложных промптов, без уточнений. Один запрос - одна модель. Одинаковое условие для всех: "Сделай сайт для доставки еды. Контент придумай сам". И так 11 раз подряд.

Результат удивил даже меня, хотя я уже видел много разных ИИ-экспериментов.

Условия эксперимента

Платформа: YPage. 

Всего проектов: 11. 

Успешно сгенерировалось с первого раза: 9. 

Полный провал: 2. 

Задание: одна короткая фраза в чат. 

Сколько это стоило

Внутри тестового пространства 1 кредит = 10 копеек. За все успешные проекты я заплатил 321 рубль. Это меньше, чем средний чек в кофейне на троих.

Самый дорогой сайт потянул на 89,50 рубля. Самый дешёвый, но рабочий - всего 9 рублей. Средняя цена одного лендинга - около 36 рублей. Среднее время генерации - 3 минуты.

Что получилось

Доставка еды от DeepSeek V4 Pro (24 рубля, почти 6 минут) - полноценный лендинг FoodGo с навигацией, геройским блоком с призывом, меню и отзывами. Вёрстка на Bootstrap, структура продуманная. Самый долгий по времени, но качество топовое за такие деньги.

Кофейня от Qwen 3.7 Max (25,70 рубля, 4:32) - "Зёрна & Вкус". Уютно, есть меню, галерея, мобильное меню работает. Идеальный вариант за полцены обеда.

Салон красоты от Claude Sonnet 4.6 (72,40 рубля, 3:49) - уже уровень "дорого-богато". Кастомная типографика, золотая палитра, каждая секция проработана. Самый красивый сайт в тесте.

Агентство недвижимости от StepFun 3.7 Flash (11 рублей, 1:43) - "Городские Решения". Каталог объектов, форма заявки. Создался за полторы минуты и почти даром.

Курсы программирования от GPT-5.3 Codex (28 рублей, 2:05) - "КодКидс". Чистая структура, пробный урок, тарифы. Всё ровно, без косяков. Быстрее, чем у старшего брата GPT-5.4.

А вот здесь нейросети облажались

Gemini 3.5 Flash и Gemini 2.5 Flash Lite - полный провал. На сайте пустая заготовка с текстом "Новая страница". Генерация оборвалась через 10–15 секунд. Денег не взяли, но и сайта нет. Единственные модели, которые не смогли сделать вообще ничего.

Ветеринарная клиника от Claude Opus 4.8 - самый дорогой проект за 89,50 рубля. Сайт хороший: услуги, врачи, цены, контакты. Но нейросеть вставила в HTML технический мусор - слово "Новая страница" над шапкой. За такие деньги могла бы и без косяков.

Курсы программирования от GPT-5.4 (37,20 рубля) - контент сильный, дизайн современный. Косяк в блоке с тарифами: средняя карточка приподнята и висит выше соседних. Выглядит неровно.

Фитнес-клуб от Qwen 3.5 Flash (9 рублей, рекордсмен по дешевизне) - сайт есть, но выглядит как типовой шаблон Bootstrap. Синяя палитра, стандартные блоки. Дёшево и сердито, но без души.

Юридические услуги от GLM-5.1 (24,20 рубля) - структура и контент хорошие. Проблема в блоке "Опытные юристы": у двух карточек не портреты специалистов, а какие-то общие картинки из других разделов.

Сравниваем модели

Anthropic (Claude) - стабильно выдают полноценные лендинги. Sonnet 4.6 дал лучшее качество в тесте, но дороже среднего. Opus 4.8 - глубокий контент, продуманная структура, но самый дорогой и с мусором в коде. Sonnet - мой фаворит.

OpenAI (GPT) - обе модели надёжны, ни одного сбоя. GPT-5.4 даёт хороший контент и современный дизайн, но мелкий косяк с карточками цен. GPT-5.3 Codex быстрее и дешевле, визуально чуть проще, но результат чистый. Codex - оптимальный выбор по цене и скорости.

Google (Gemini) - единственные, кто полностью провалился. Обе модели выдали пустые заготовки.

Qwen - 3.7 Max даёт хороший результат за 26 рублей. Flash версия - самый дешёвый и быстрый вариант, но дизайн шаблонный, есть технический мусор.

DeepSeek V4 Pro - один из лучших в тесте за 24 рубля. Долго генерировал, но результат профессиональный.

StepFun 3.7 Flash - 11 рублей за полноценный сайт. Отличное соотношение цены и качества.

Z-AI GLM-5.1 - хорошая структура за 24 рубля, но картинки в блоке команды не соответствуют теме.

Что не так с Гранд-Смета?..

Некоторые приложения не растут не развиваются от слова совсем, некоторые на острие атаки хватают всё самое лучшее новое и используют это в ущерб стабильности.

Но есть и такие консерваторы, которые по прежнему остаются где-то в начале 2000-х и упорно считают, что золотой стандарт выходных данных это документы МелокоМякгих.

Сегодня в век технологий, интеграций уже давно очевидным стала необходимость уметь выдавать результат в машиночитаемом виде. Это может быть json, xml - что-то, что можно однозначно прочитать машиной, интерпретировать в какую-то объектную модель или табличную, и дальше использовать в своём приложении. Гранд-Смета весьма мощный инструмент в руках сметчика, в некоторых организациях бизнес не возможен без Гранд-Смета. Но при такой нишевой значимости этого инструмента, его разработчики совершенно отказываются шагать в ногу со временем. Для получения сметы в электронном виде у вас есть два пути:

1. выгрузить смету в эксель файл, который вы в последствии можете успешно распечатать на бумагу,

2. выгрузить в xml-файл с которым не понятно что дальше можно сделать и зачем оно... вероятно для того, чтобы повторно загрузить это добро в Гранд-Смета

Второй вариант событий заслуживает отдельного внимания. Дело в том, что всё суть собирательства конечных чисел заложена в самой Гранд-Смета, а в xml-файле хранятся лишь первичные введённые данные. Как получить конечный документ, чтобы не вычислять все показатели на основе первичных данных? Вы можете парить выходной файл эксель, ведь это ж "стандарт", ведь это так "просто".

Если вы крупная компания, занимающаяся сметной деятельностью, и обрабатывающая сметы как-то дальше за пределами сметной программы, то Гранд-Смета для вас тупиковая ветвь развития. Вы никогда не сможете написать автоматизацию, которая вам будет получать из xml такой же по наполнению документ, как выпускает Гранд-Смета в эксель, но только чтобы это было машиночитаемо. Результатами сметной деятельности можно насладиться тольк визуально - программно это не получить никак.
Описание формата xsd - не дают всей информации о используемых формулах. Вы обречены на реверсинижиниринг путём заполнения сметы и попытками загадать, какие показатели, как посчитались.

Пост навеян проектом реализации переноса смет из Гранд-Смета в 1С для дальнейшей работы со сметами.

Зачем провайдеру помогать клиенту снижать счёт за облако

Обычно всё растёт постепенно: сервисов стало больше, команды активнее используют инфраструктуру, появились новые тестовые среды, где-то добавились AI-нагрузки, где-то остались временные инстансы после задачи.

Потом приходит счёт, и начинается разбор.

— Кто создал ресурс?
— Он ещё нужен?
— Можно ли его выключить?
— Почему рост увидели только в конце месяца?
— Кто должен отвечать за такие расходы: финансы, инженеры, продуктовая команда или владелец сервиса?

На этом месте появляется ещё один вопрос, уже к рынку:

зачем облачному провайдеру помогать клиенту платить меньше?

На первый взгляд это конфликт интересов. Клиент оптимизирует расходы, провайдер получает меньше. Но в облачной модели всё устроено сложнее, чем простая связка «меньше потребил, меньше заплатил».

В новом выпуске «Практики FinOps» мы поговорили об этом с Александром Либкиндом, руководителем направления развития сервисов управления затратами в Cloud.ru.

О чём выпуск

Разговор получился не про разовые скидки и не про универсальный способ «порезать облако».

В центре выпуска, управление затратами на инфраструктуру: как компании начинают видеть расходы, где возникают первые сложности, почему месячного отчёта часто недостаточно и что меняется, когда облако становится заметной частью ИТ-бюджета.

Отдельно обсудили, как провайдер смотрит на оптимизацию со своей стороны и почему снижение счёта клиента не всегда означает прямую потерю для облачной платформы.

Какие вопросы разобрали

• почему FinOps в России развивается медленнее, чем на западных рынках;

• зачем Cloud.ru помогает клиентам снижать счета;

• где обычно находятся первые 15–30% экономии;

• почему отчёт раз в месяц плохо работает для управления затратами;

• чем FinOps для AI отличается от классического FinOps;

• почему автоматические рекомендации не решают проблему без владельцев ресурсов и процессов;

• как компании проходят этап Inform и почему на нём часто начинаются сложности.

Для кого выпуск

Для команд, которые уже используют облако и сталкиваются с вопросами стоимости инфраструктуры.
Для инженеров, которые видят ресурсы, но не всегда видят их финансовый эффект.
Для финансовых и продуктовых команд, которым важно понимать, из чего складываются облачные расходы и почему общий счёт сам по себе не помогает принимать технические решения.
Для тех, кто только подходит к FinOps и хочет понять, с чего обычно начинается системное управление затратами.

Смотреть выпуск:
YouTube
Rutube
VK Видео

Мы в телеграм. Подписывайтесь.

Язык, с которым у ИИ плохо

В подкасте Радио-Т 1018 был интересный момент, что у ИИ сейчас гораздо меньше опенсорсных репозиториев и датасетов на Swift, чем условно на Python или Go. И поэтому, как Claude Code, так и Codex хреново пишут нативные iOS приложения. А ведь API языка обновляется, имеющиеся данные в нейронках устаревают с каждым WWDC.

Я как бэкендер с этой темой не сталкиваюсь. Стало интересно, как в Apple вайбкодят разрабы и влияет ли это как-то на темпы разработки по сравнению с конкурентами. Apple Intelligence пока пытались запустить для обычных потребителей, или когда анонсировали переход на Gemini-бэкенд, это повлияло как-то на пайплайн разработчиков? Есть ли у их моделей какой-то секретный проприетарный датасет, чтобы повысить качество работы с их экосистемой?

Мне короткий гуглеж выдал, что анонсировался Swift Assist в 2024, но в 2025 году от него отказались в пользу доступа к любым моделям с помощью API-ключей. То есть сама компания не может предоставить продакшн тулинг за счет доступа к самому большому в мире закрытому репозиторию Swift-кода. Получается, Apple со своей закрытой инфраструктурой не может оставаться верной своей концепции. В эпоху агентской разработки у компании не получается замыкать на своем решении инженеров, чтобы не уступать конкурентам.

Тут у меня котелок начал накидывать вопросы.

Apple ладно, а какое будущее у новых языков программирования? Будут ли авторы новых языков задаваться вопросом «как мой язык будут поддерживать нейросети?» Их популяризация будет целиком и полностью за счет опен-сорс коммьюнити теперь, пока остальные языки будут писать агенты? Сообщества сами генерят синтетические данные для языков программирования, чтобы локальные модели лучше умели в определенный скилл? Или может для языков будут сразу разрабатываться скиллы или MCP? Какую роль в адаптации к агентсткой разработке будут играть компилируемые языки со строгой типизацией по сравнению с нестрогими, скриптовыми языками? А поддержка нового языка агентами на сносном уровне, - это повод для флекса в презентации у компании?

В интересное время живем.

Perplexity заходит в юридический сегмент.

24 июня в Нью-Йорке анонсировано мероприятие «Computer for Counsel» - для юристов, которые хотят встроить ИИ в исследование, подготовку документов и управление делами. Perplexity может стать одним из крупных ИИ-игроков, которые идут в Legal, наравне с Anthropic, OpenAI, Microsoft.

Почему мне это интересно не как новость, а лично: я использую Perplexity в юридической работе каждый день. Основное, для чего применяю, - факт-чекинг и проверка источников. По моему опыту их модель с цитированием работает неплохо: получаешь тезис, получаешь источник, можешь проверить. Для юриста верифицируемый след может быть критически важен.

Perplexity заявляют, что в пост-тренинге они поощряют модель только за фактически точные ответы и дообучают на точность, а не на стиль. Заявка серьёзная. Мой опыт отчасти подтверждает: когда нужно найти первоисточник, цепочки источников у Perplexity точнее, чем те, что дают, например, Claude или ChatGPT.

Отчасти. Потому что Perplexity тоже галлюцинирует. Я ловил их и на несуществующих цитатах, и на ненадёжных источниках. Да, в Perplexity след есть, но по нему также нужно пройти, чтобы верифицировать. «Есть ссылка» не значит «проверено».

В общем, заявления уху приятные, но, думаю, особо подход в работе не изменят - перепроверять меньше не придётся.

Ну и сам факт того, что уже столько крупных ИИ-игроков в сегменте Legal за пару лет впечатляет. Возможно, у меня туннельное зрение, но виден явный интерес к рынку, где работают юристы. Радоваться такому интересу или грустить о том, что «нас всех заменят», пока непонятно. Но рынок перестаёт быть нишевым, а значит инструменты будут дешеветь и улучшаться, что с профессиональной точки зрения не может не радовать.

Ссылка на страницу мероприятия Perplexity в комментах.

Вебинар «Злоумышленник на крючке: практические кейсы применения Threat Deception Platform»

Злоумышленник не всегда начинает с громкой атаки. Часто он действует тихо: изучает инфраструктуру, ищет доступы, проверяет сетевые ресурсы и пробует подключиться к перспективным системам.

На вебинаре 25 июня (с 11:00 до 12:00, онлайн) расскажем, как технологии класса Deception помогают заметить такие действия на раннем этапе с помощью системы ловушек и приманок.

Покажем конкретные кейсы из практики проектов R‑Vision и разберём:

• как технологии класса deception дополняют существующие средства защиты;

• какие ловушки лучше всего срабатывают на практике;

• какие атаки можно обнаружить до развития инцидента;

• как работает и какие задачи решает платформа R‑Vision TDP;

• как понять, что вашей компании уже нужен этот инструмент.

Отдельно обсудим, как R‑Vision TDP можно использовать в киберучениях для проверки готовности команд реагирования, а также как инструмент подтверждения выполнения регулярных требований.

Вебинар будет полезен руководителям ИБ, специалистам SOC, инженерам по мониторингу и реагированию, а также командам, которые хотят повысить качество обнаружения без сложного и ресурсоёмкого внедрения.

Регистрируйтесь, чтобы присоединиться к вебинару.

Представлена мощную опция автоматизацию для Codex от президента OpenAI Грега Брокмана. Промпт loop тестирует каждую фичу приложения и проводит полноценный аудит проекта:

• ИИ разложит по полочкам каждую фичу приложения: как ее используют, удобна ли она, как должна работать на самом деле.

• Тестирует все сценарии использования и записывает ошибки в отчет.

• Исправляет логику, баги, а также UX.

• После фиксов тестирует проект заново и оттачивает его до идеала, повторяя итерации.

Промпт loop ИИ‑агента:

/goal go over every single feature in this app create a user story with expected behaviour based on the code keep a single canonical spreadsheet tracking the features status

• when done switch loop to testing every user story and documenting all errors

• when done fix every logistical error or ux error

• test every user behaviour again post fix

Хотел просто тестировать свои OTP, а выкинул почтовый сервер

Я пилю штуки, где есть регистрация и 2FA. И регулярно упираюсь в одно и то же. Чтобы проверить, что письмо с кодом доходит и парсится на фронте правильно, мне на каждый прогон нужен свежий ящик. Заводить настоящие почты муторно. Сервисы временной почты это отдельная боль: их выпиливают, лимитируют, суют рекламу, а код то приходит через три минуты, когда он уже не нужен, то не приходит вовсе. В какой-то момент надоело.

И тут дошло, что задача сформулирована неправильно. Мне не нужен ящик. Мне нужно поймать одно входящее письмо и достать из него код. А для этого почтовый сервер не нужен вообще.

Приёмник почты без приёмника почты

Cloudflare Email Routing бесплатно ловит catch-all на мой домен и отдаёт письмо прямо в Worker, в email()-handler. Не пересылкой на другой ящик, а сырым письмом в код. Ни sendmail, ни Postfix, ни IMAP-поллинга. MX поднимается за меня, я только пишу обработчик.

Дальше то, ради чего я, собственно, и сел писать. Приём держит Email Routing. Доставку готового результата мне в чат держит Telegram Bot API. И то, и другое это инфраструктура, которую я не админю. На выходе рабочий транспорт для входящей почты без единого своего сервера, без SMTP, без IMAP и без своего IP, который можно потерять под блокировкой.

письмо → MX → Email Routing (catch-all) → Worker.email() → разбор → Telegram

По команде /start выдаётся адрес, вставляешь куда надо, письмо падает в чат. Адрес живёт сутки и умирает сам.

Самое интересное это достать код

Транспорт собирается за вечер. Реальная инженерия начинается там, где из произвольного письма надо надёжно вытащить именно код. Потому что «код» в письме конкурирует с номером заказа, годом, куском телефона, суммой, id внутри ссылки. Наивное «первые шесть цифр» хватает мусор примерно в половине случаев.

Поэтому не регэксп в лоб, а скоринг. Сначала нормализую тело: срезаю шапки пересылки, невидимый мусор, превращаю Текст <url> в нормальные ссылки, иначе скорер спотыкается об id из урлов. Потом собираю кандидатов: цифровые и буквенно-цифровые последовательности правдоподобной длины, от 4 до 8 символов. И раздаю баллы.

Вверх:

• близость к триггерам: код, code, verification, OTP, подтвержд…;

• стоит на отдельной строке;

• выделен жирным или моноширинным.

Вниз, анти-паттерны:

• похоже на год (19xx/20xx);

• похоже на телефон;

• стоит после заказ/order;

• сидит внутри ссылки;

• рядом знак валюты.

Кто набрал больше, тот и код. Уезжает в первую строку сообщения, тап, скопировал. Вот эта часть и заняла итерации, остальное обвязка.

Честные границы

Чтобы не выглядело рекламой бесплатного волшебства, сразу про ограничения.

Сервис эфемерный by design. Сутки, и адреса нет. На стороне бота ничего не хранится: письмо разбирается на эдже и улетает в чат, где живёт уже у тебя. Это не замена нормальной почте, а одноразовый ящик под отлов кодов.

Inbound-only. Отправить с него нельзя. Под мою задачу, тестировать собственные флоу, этого ровно достаточно.

И про экономику честно. Лично мне бесплатного тира хватало за глаза. Но KV на free это 1000 записей в сутки, и стоило решить сделать из поделки сервис для братьев по клаве, как квота на записи кончилась. Так что перед тем как открыть доступ наружу, я доплатил за Workers. «На чужой инфре» это правда, но не «бесплатно из воздуха»: транспорт всё равно стоит пять долларов в месяц.

Итог

Завернул в опенсорс: https://github.com/investblog/mailbot. Если тоже гоняешь регистрации и 2FA и устал от рулетки временной почты, может пригодиться целиком. А нет, забирай хотя бы скоринг OTP к себе, он отвязан от Telegram и переносится легко.

Представлен открытый проект Navidrome Music Server, который позволяет слушать музыку с ПК где угодно. Работает очень просто: пользовательский ПК превращается в сервер, к которому можно получить доступ с любого устройства. Есть демо-версия проекта, чтобы понять принцип работы.

Неделю назад здесь пробегала новость про "белый VPN" от Билайна - мол, запустили легальный доступ к Spotify, Netflix и паре других сервисов через подписку. Звучало как анонс без деталей: ни механизма, ни цены, ни внятного списка.

А сегодня в смс упала рассылка с конкретикой. И это уже не "планируется" - это работает.

Что именно включили

Механизм оказался прозаичным до приятного: услуга «статический IP-адрес» для домашнего интернета. 180 рублей в месяц. Подключаешь - и устройства в твоей домашней сети (ПК, ноут, Smart TV, телефон по тому же Wi-Fi) ходят на список зарубежных сервисов напрямую, без VPN-клиента, без настроек, без плясок с конфигами.

Сам Билайн называет это "белым VPN". Формулировка гендиректора простая: есть сервисы, которые не попали под ограничения Роскомнадзора, но сами перестали работать с Россией. Вот к ним и открывают прямую дорогу. Концепцию, к слову, ещё весной показывали на ПМЭФ - но одно дело слайд на форуме, другое дело строчка в личном кабинете, которую можно нажать.

Я полез в список

Дальше начинается интересное. В рассылке приложен список сервисов, доступных с этой услугой. Больше сотни наименований в четыре колонки. И если первая новость крутилась вокруг развлечений (стриминги, игры), то здесь видно совсем другую картину.

Я читаю его глазами человека, который пилит пет-проект на LLM и половину дня живёт в AI-инструментах. И вижу там почти весь свой рабочий стек:

• OpenAI / ChatGPT, Perplexity, Hugging Face, Character.AI, Pi AI;

• Cursor, JetBrains, Replit, Windsurf, Trae, Bolt, Qodo - то есть среды и AI-помощники для кода;

• генеративка: Midjourney, Ideogram, Leonardo, Flux, Runway, Kling, Suno, Udio;

• рабочее окружение: Figma, Miro, Notion-смежные Coda и Gamma, Slack, HubSpot, Make.

Плюс привычное - Steam (???), Spotify, Netflix, PayPal, Wise, Revolut, Stripe. Но лично для меня ключевое не это. Ключевое - что в список наконец-то попали инструменты, на которых реально работаешь, а не только те, которыми отдыхаешь.

Чем это отличается от обычного VPN - и почему для AI это важно

VPN для работы с нейросетями - это отдельный жанр боли. Канал то падает, то лагает, ответ модели обрывается на середине, стрим токенов рвётся. А ещё многие сервисы не любят, когда ты заходишь с явного VPN-адреса из публичного пула: можно словить капчу на каждый чих, а то и подвесить аккаунт «за подозрительную активность».

Статический белый IP от оператора - это другое. Это твой постоянный адрес, легальный с точки зрения сервиса, не из шумного VPN-пула. Для модельки, которая отвечает потоком, стабильность канала важнее, чем кажется. И когда твой основной VPN в очередной раз ложится отдохнуть, приятно знать, что Cursor и ChatGPT на домашней машине продолжают работать как ни в чём не бывало.

Где подвох

Трезвая часть.

• Только домашний интернет Билайна. Это не мобильная сеть и не твой ноут в кафе. Работает ровно в той домашней сети, где висит статический IP. Ушёл из дома - ушёл и доступ.

• Регистрация и оплата сервисов - по-прежнему на тебе. Услуга открывает сетевую дорогу, но подписку на ChatGPT Plus или Midjourney за тебя никто не оплатит, и в стоимость 180 рублей она не входит. Как платить зарубежному сервису из РФ - отдельный квест, который эта услуга не решает.

• Список закрытый и может меняться. Сегодня сервис в списке, завтра - нет. И обратное тоже верно: список явно будут расширять.

• IP всё равно может попасть в бан-листы. Белый он для оператора, но сам сервис вправе вводить свои ограничения.

Почему это всё-таки хорошая новость

При всех оговорках - это первый звоночек, который мне правда нравится. Не очередной костыль на стороне пользователя, а доступ, встроенный в инфраструктуру оператора, легально и в один клик. И судя по тому, что про "открытие доступа без VPN" заговорил уже не один оператор, это не разовая акция Билайна, а тренд, к которому остальные, скорее всего, подтянутся.

24 июня в 11:00 МСК проведем бесплатный вебинар «От затрат к прибыли: строим эффективную и окупаемую систему обучения сотрудников».

Вместе с Центром компетенции по образованию «Русские Решения» разберем, как автоматизировать корпоративное обучение и выстроить единую систему развития персонала на базе «1С:Электронное обучение. Корпоративный университет».

Во многих компаниях обучение остается разрозненным: материалы хранятся в разных системах, курсы назначаются вручную, согласования занимают время, а отчетность сложно собрать в единую картину. В результате обучение часто воспринимается как статья затрат, хотя может стать управляемым процессом с понятными показателями эффективности. Особенно это важно для компаний с филиальной структурой, распределенными командами и удаленными объектами.

Покажем, как перевести обучение сотрудников в единую цифровую среду и централизованно управлять образовательными процессами. Обсудим:

• автоматизацию назначения курсов, адаптации, повышения квалификации и аттестации;

• контроль прохождения обучения по всей компании;

• аналитику затрат, результатов и окупаемости программ;

• снижение ручной работы для HR, учебных центров и администраторов;

• интеграцию с 1С:ЗУП КОРП для синхронизации данных о сотрудниках, оргструктуры и штатного расписания.

Также рассмотрим практику внедрения LMS в крупных российских компаниях с распределенной структурой.

Этот вебинар будет полезен HR-директорам и руководителям учебных центров, специалистам по обучению и развитию, ИТ-специалистам

Спикер - Валерий Денисенко, заместитель директора по корпоративному сектору Центра компетенции по образованию «Русские Решения». Эксперт по автоматизации обучения персонала и дистанционного обучения. Участвовал более чем в 20 проектах внедрения, включая проекты для ПАО «Газпром», АО «Полиметалл» и ГК «НафтаГаз».

Участники получат чек-лист «5 показателей, которые докажут топ-менеджменту эффективность работы корпоративного учебного центра».

24 июня 2026 года, 11:00 МСК
Онлайн, бесплатно, требуется регистрация.

Зарегистрироваться