Все потоки

SRE vs ИБ: как не сломать продакшен, пока его защищаешь

Есть две команды, которые искренне хотят одного и того же — чтобы всё работало. Только вот «работало» они понимают немного по-разному. SRE хочет, чтобы сервис не падал. ИБ хочет, чтобы его не взломали. И в точке их встречи рождается… продуктивное напряжение. Об этом и поговорили Михаил Савин, Александр Глухих и Александр Трифанов с гостем подкаста Владимиром Кочетковым — руководителем AppSec Research из Positive Technologies. Получился разговор, в котором никто не делал вид, что всё под контролем.

Что на повестке

Зоны ответственности SRE и ИБ пересекаются там, где цена ошибки выше всего: в продакшене, в инцидентах и в CI/CD. В выпуске обсуждаем, почему автоматические сканеры закрывают не все проблемы, как приоритизировать уязвимости, не останавливая релизы, и кто в итоге отвечает за безопасность системы — особенно в тех самых «ничейных зонах».

Отдельно досталось теме ИИ: почему код, сгенерированный нейросетью, часто приходит с бонусными уязвимостями в комплекте — и что с этим делать.

Если вы когда-нибудь наблюдали конфликт между «нам нужно катить быстрее» и «нам нужно закрыть эту дыру» — этот выпуск про вас.

Слушайте и смотрите на площадках
📺 YouTube
💻 Rutube
🛫 На любимой платформе

И подписывайтесь на телеграм-канал Avito SREда

Ещё больше экспертизы собрали для вас на сайте: смотрите наши лонгриды, новости, плейлисты видео. А узнать, как стать частью команды AvitoTech, можно вот здесь.

5 правил программирования Роба Пайка:

• Правило 1. Невозможно предсказать, где программа будет тратить время. Узкие места возникают в неожиданных местах, поэтому не пытайтесь угадывать и использовать ускорение, пока не докажете, что именно там находится узкое место.

• Правило 2. Измеряйте. Не оптимизируйте скорость, пока не измерите, и даже тогда не делайте этого, если только одна часть кода не превосходит остальную.

• Правило 3. Сложные алгоритмы медленны, когда n мало, а n обычно мало. Сложные алгоритмы имеют большие константы. Пока вы не узнаете, что n часто будет большим, не усложняйте алгоритмы. (Даже если n станет большим, сначала используйте Правило 2.)

• Правило 4. Сложные алгоритмы содержат больше ошибок, чем простые, и их гораздо сложнее реализовать. Используйте простые алгоритмы, а также простые структуры данных.

• Правило 5. Данные доминируют. Если вы выбрали правильные структуры данных и хорошо всё организовали, алгоритмы почти всегда будут очевидны. В программировании центральное место занимают структуры данных, а не алгоритмы.

Уточнения:

• Правила 1 и 2 Пайка перефразируют знаменитую максиму Тони Хоара: «Преждевременная оптимизация — корень всех зол».

• Кен Томпсон перефразировал правила 3 ​​и 4 Пайка как «В случае сомнений используйте грубую силу».

• Правила 3 ​​и 4 являются примерами философии проектирования KISS (Keep It Simple, Stupid).

• Правило 5 ранее было сформулировано Фредом Бруксом в книге «Мифический человеко‑месяц». Правило 5 часто сокращают до «пишите глупый код, использующий умные объекты».

Разворачиваем macOS на ПК в Docker. Доступна полностью готовая сборка macOS в виртуальном контейнере. Ничего лишнего — ставится за один клик. Всё прямо как на Mac: дизайн, интерфейс и функционал. Работает прямо в браузере.

Когда инсайдер становится угрозой бизнесу. Интервью с ИБ-юристом

Где грань между безопасностью и контролем за сотрудниками? Как компании защититься от внутреннего нарушителя? Что по этому поводу говорит существующая судебная практика?

На эти (и не только) вопросы в интервью РКБ ответил Илья @ilya_bashkirov Башкиров.

По ссылке:

• Когда наступает ответственность за использование инсайдерской информации и как она устанавливается?

• Распространение инсайдерской информации это всегда вина сотрудника? Или может быть вина организации, которая не выстроила процессы защиты?

• Говоря о DLP-системах и контроле, где лежит грань между обеспечением безопасности и вторжением в частную жизнь сотрудника, которую компания не может переступать?

• Может ли снимок экрана стать цифровым доказательством?

• Какие действия необходимо предпринять компании, если работодатель заподозрил инсайдера?

… и многое другое

Представлен открытый проект AutoResearchClaw. Это доработанная под исследования версия агента OpenClaw, которая:

• детально анализирует идею пользователя и выдаёт готовый PDF‑документ с исследованием гипотезы;

• агент сам пишет код и все формулы, а также запускает тесты, исправляет ошибки;

• почти не имеет галлюцинаций;

• вся работа бота проходит 4-этапный процесс верификации по научным базам;

• умеет работать с LaTeX, чтобы создавать понятные и эффективные графики;

• сам агент бесплатный — нужен только API.

Самый мощный суперкомпьютер с искусственным интеллектом применят для исследований термоядерного синтеза

Похоже, на наших глазах оформляется следующая техническая революция: скрещивание ИИ, суперкомпьютеров и физического моделирования. Система Sunrise будет использовать методы моделирования на основе ИИ. Министерство энергетической безопасности Великобритании выделило на это $60 млн. Систему установят ​​на территории кампуса Управления по атомной энергии Великобритании. С её помощью учёные смогут лучше понять, что за процессы происходят в термоядерном реакторе. Мощность системы около 1,4 мегаватт. Работать она начнёт в июне.

По словам правительственных чиновников, суперкомпьютер Sunrise обеспечит производительность моделирования в области ИИ до 6,76 эксаФлопс. Это измерение относится к рабочим нагрузкам ИИ, а не к традиционным бенчмаркам суперкомпьютеров, но всё равно представляет значительный рост вычислительных мощностей для программ термоядерного синтеза в стране. Система будет работать на процессорах AMD EPYC и графических ускорителях AMD Instinct, установленных на серверах Dell PowerEdge.  Это уже не классический ИИ, а новый технологический слой, где модель должна не только находить корреляции, но и работать с физикой процесса.

Чуть раньше сообщалось о ещё одном суперкомпьютере Великобритании — Dawn. Его используют не просто для ускорения вычислений, а для задач, где нужно учить модели на стыке данных, симуляций и инженерной реальности. Проект получил поддержку от правительства в $49 млн. Финансирование сделано в рамках британской нацпрограммы AI Research Resource (AIRR), предоставляющей бесплатный доступ к высокопроизводительным вычислениям, обычно доступным только мировым технологическим гигантам. Пользователи AIRR получили доступ к новейшим ускорителям ИИ AMD MI355X.

Dawn, работающий в центре обработки данных в Кембридже, — самый мощный суперкомпьютер для ИИ в Великобритании (пока Sunrise не запустили). В его серверных комплексах работает более тысячи высокопроизводительных графических процессоров Intel (GPU). В настоящее время система Dawn используется учеными в Кембридже и по всей Великобритании в таких областях исследований, как чистая энергия, персонализированная медицина и климат.

За такими кейсами стоит следить. Правительство Великобритании в 2026 году отдельно отмечало применение системы  Dawn для ускорения разработки персонализированных вакцин от рака. А цифровой двойник термоядерного реактора — звучит ещё более фантастически. В таких задачах ИИ работает с научными данными, сложными симуляциями, инженерными ограничениями и цифровыми двойниками. Это революция инструментов, из которых потом и вырастают новые большие технологические платформы, которые и создают технологические революции.

Маркетологи и пиарщики, привет!

Кажется, сейчас все на нервах из-за грядущей блокировки телеграма — и в этот момент у многих возникает вопрос: «а где теперь брать трафик и аудиторию?»

Если это про вас — у нас есть штука, на которую стоить обратить внимание. Мы обновили и расширили наш бесплатный мини-курс про продвижение на Хабре — специально для не-ИТ компаний.

Внутри – не учебный кейс и не красивая легенда, а настоящая переписка директора по маркетингу не-ИТ бренда и менеджера Хабра. Вместе с ними вы узнаете, кто на самом деле читает Хабр и чем эта аудитория интересуется, какие рекламные форматы здесь работают и под какие задачи они подходят, а ещё как собрать понятную стратегию и протестировать площадку без лишних затрат.

У курса нет даты старта и окончания, просто записываетесь — и письма начинают приходить на почту одно за другим за каждый день. Первое придёт сразу после регистрации

Осенью курс уже прошли 600 маркетологов. Может, теперь пора и вам?

→ Записаться на бесплатный курс

Что такое GitOps? Обзор методологии и знакомство с Argo CD

Ручные операции при деплое — это не только медленно, но и опасно: одна неверная команда в проде, и разбирайся потом, кто и что поменял.

В блоге разобрали GitOps как подход, плюс познакомились с Argo CD — как он работает, чем отличается от Flux и как развернуть его с нуля.

Читайте полный разбор на сайте Рег.облака.

Какой ты гриб бизнес-аналитик? Пройди бесплатный пробный тест, чтобы определить свой уровень

Бизнес‑аналитика — это профессия на стыке нескольких специализаций. Здесь нужно уметь работать с требованиями, моделировать процессы, анализировать данные, выстраивать коммуникацию с разными командами и делать многое другое.

Чтобы расти в профессии и осознанно выстраивать карьеру, важно понимать:

• какие компетенции у тебя уже прокачаны;

• где есть пробелы;

• что именно стоит подтянуть в первую очередь.

Такую картину непросто собрать самостоятельно, поэтому мы сделали бесплатный пробный тест — он поможет сориентироваться в своем уровне подготовки и подсветит зоны роста.

За 20 минут ты получишь:

• оценку текущего уровня бизнес‑анализа — от базовых понятий до продвинутых техник;

• карту компетенций — наглядную схему всех навыков, необходимых для развития в профессии;

• подборку материалов для самостоятельного изучения — только то, что поможет закрыть конкретные пробелы.

Пройти тест

Кстати, мы подробно описывали ключевые навыки и компетенции бизнес‑аналитика в отдельной статье — рекомендуем прочитать её или перечитать, чтобы освежить и структурировать знания перед тестом.