Альфа-Банк увеличил выплаты по программе поиска уязвимостей до 1 000 000 рублей

Программа вознаграждения Альфа-Банка за обнаружение уязвимостей в наших сервисах в июле стала доступна для всех багхантеров на платформе BI.ZONE. В октябре мы увеличиваем максимальные выплаты по программе: тестируйте сервисы Альфа-Банка на предмет уязвимостей и получайте вознаграждение до 1 000 000 рублей. Размер вознаграждения зависит от критичности найденной уязвимости.

Новые диапазоны вознаграждений будут следующими:

• Critical: 400 000 – 1 000 000 ₽.

• High: 80 000 – 400 000 ₽.

• Medium: 15 000 – 80 000 ₽.

• Low: 0 – 15 000 ₽.

Программа bug bounty Альфа-Банка действует на платформе BI.ZONE Bug Bounty и охватывает широкий спектр продуктов и сервисов — мобильные и веб-приложения, публичные API, а также инфраструктуру. Исследователи могут проверить безопасность систем и получить вознаграждение за найденные уязвимости, которые могут повлиять на защиту клиентских данных, платёжной информации или стабильность сервисов.

Для исследования доступны веб- и мобильные приложения сервисов Альфа-Онлайн, Альфа-Инвестиции, Альфа-Бизнес и другие ресурсы.

По ссылке присоединяйтесь к публичной программе обнаружения уязвимостей в наших сервисах.

Открываем набор на бесплатное обучение по IT-направлениям по программе Альфа-Будущее Кампус

Открываем новый набор на обучение по разным IT-направлениям в рамках образовательной программы Альфа-Будущее Кампус: 

• QA

• Android-разработка

• Бизнес-анализ

• Системный анализ

Сроки программ — от 3 месяцев до полугода, за которые вы научитесь создавать современные цифровые продукты под руководством ведущих экспертов Альфа-Банка в разработке, системной аналитике, QA и бизнес-аналитике.

Выбирайте курс, переходите по ссылке, изучайте программу и подавайте заявку. Успейте присоединиться до 27 октября! ❤️

Обучение бесплатно.

А если хотите узнать, есть ли польза от курсов, как проходит обучение (на примере факультета аналитики), и подойдет ли вам онлайн-обучение IT-специальности, читайте нашу статью по ссылке ниже. На примере факультета системной аналитики рассказали, как готовится программа, как проводятся собеседования с людьми и помогло ли ученикам обучение:

Если эффективность есть, то зрение опционально

Хотите узнать, как люди с инвалидностью строят карьеру, преодолевая сложные барьеры и раскрывая свой потенциал? В нашей новой статье  «Если эффективность есть, то зрение опционально» раскрываем личный опыт и вдохновляющие истории, которые разрушают стереотипы и мотивируют на активные действия.

Вы узнаете:

• Почему важна самомотивация и как она изменяет жизнь.

• Как проактивность помогает достигать целей несмотря ни на что.

• Что такое байесовское мышление и как обновлять свои стратегии.

• Почему саморазвитие и коммуникативность — ключевые переменные успеха.

• Как превратить ограничения в сильные стороны и найти своё место в профессии.

Это глубокий взгляд на вызовы и возможности, которые открываются при активной жизненной позиции, а также призыв к обществу быть более осознанным и поддерживающим. Статья помогает понять, что настоящая сила — внутри каждого из нас, вне зависимости от обстоятельств.

Проверяем интерфейс на реальных пользователях

Хотите создавать интерфейсы, которые действительно работают и не вызывают вопросов у пользователей? Тогда вам точно стоит познакомиться с нашим новым пособием по коридорному тестированию — простому и эффективному методу UX-исследований!

В статье «Как проводить коридорные тесты: памятка» от продуктового дизайнера Альфа-Банка вы найдете пошаговый гайд по проведению коридорных тестов, которые помогают обнаружить узкие места интерфейса еще на стадии прототипа.

Читайте статью и переводите свои прототипы из разряда «красивых картинок» в удобные и понятные решения для реальных пользователей!

Разбор полётов: вся правда о падениях Android-приложений

Почему Android-приложение вылетает с ошибкой и что на самом деле происходит под капотом? Абакар, главный технический лидер разработки в Альфа-Банке, раскрывает наглядно и увлекательно этапы срабатывания необработанных исключений: от простого деления на ноль до глубоких слоёв архитектуры Android

В статье «Почему моё Android-приложение крашится?» — понятные пошаговые разборы, примеры реальных трейс-лодов, ссылки на исходный код Android и даже инсайты, почему приложение лучше сразу завершить, чем пытаться спасти после критической ошибки.

Идеально для разработчиков, которые хотят разобраться в механике аварийных завершений своих приложений, настроить обработку ошибок и узнать, как глобальные обработчики реально работают в Android.

Квесты вместо тестов

Устали от скучных и однообразных UX-тестов? В Альфа-Банке нашли креативное решение — UX-квест! Это новый подход к юзабилити-тестированию, который предлагает сделать процесс исследования интерактивным и увлекательным для пользователей.

В статье «Не UX-тест, а UX-квест: как отойти от стандартных юзабилити-тестирований, когда они совсем наскучили» рассказываем, как команда Альфа-Банка отказалась от традиционных шаблонов тестирования и придумала захватывающий UX-квест, который не только помогает выявить реальные проблемы интерфейса, но и делает процесс максимально вовлекающим для участников. Подобные тесты показывают реальные барьеры: что мешает использовать фичу, а выводы помогут улучшить не только тестируемый объект, но и сценарии вокруг (в нашем случае точку входа, подсказки, текст кнопок). Что интересно, обычные исследования не показали бы этих ответов. Нужна была реальная среда, реальные задачи и немного хаоса.

Если хочется вывести UX-исследования на новый уровень и получить действительно ценные данные, то приглашаем к прочтению.

Когда дедлайн вчера

В начале квартала бизнес поставил задачу — разработать CJM для сложного пользовательского сценария в сжатые сроки. Первоначально планировалось проведение UX-исследования в лабораторных условиях, однако сроки были сокращены, и карту потребовалось подготовить уже на следующей неделе.

Вместо классического исследования команда решила использовать ИИ-инструменты, включая Scholar GPT, чтобы оперативно получить доступ к актуальным академическим данным и выделить основные боли пользователей. Рабочий процесс включал серию поэтапных запросов на английском языке: от поиска релевантных исследований до уточнения характеристик участников, выявления барьеров и получения рекомендаций авторов. На заключительном этапе нейросеть сформировала список ключевых взаимодействий в табличном виде, что стало основой почти готовой карты пользовательского пути.

Подробнее о процессе создания CJM с помощью искусственного интеллекта — в статье: «Когда CJM нужен через 3 дня (а не месяца)»

Мощный инструмент для Android-разработчиков

Retrofit — это библиотека, которая стала стандартом для работы с REST API в Android-приложениях. В нашей статье «Погружаемся в недра Retrofit» мы подробно разбираем, как использовать Retrofit максимально эффективно, чтобы упростить код и повысить стабильность приложений.

Что внутри?

• Обзор основных возможностей Retrofit: от простой отправки запросов до работы с асинхронностью и обработкой ошибок.

• Интеграция с OkHttp — что дает и как использовать на полную мощность.

• Механизмы конвертации данных: Gson, Moshi и как кастомизировать парсинг.

• Реальные примеры кода, которые можно сразу применять в своих проектах.

• Советы по тестированию Retrofit-клиентов и особенностям работы с сетевыми вызовами.

Для кого статья? Для Android-разработчиков всех уровней, которые хотят улучшить качество сетевого кода и сделать его более поддерживаемым. Для тех, кто только пробует Retrofit и тех, кто хочет расширить свои знания и узнать внутренние тонкости работы этой библиотеки.

Ускоряем релизы и улучшаем качество с помощью Unleash

Сейчас в Альфа-Банке мы рассматриваем возможность внедрения фича-тоглов в наш проект и проводим исследование уже существующих решений. В рамках него мне удалось глубоко познакомиться с Unleash — самой популярной платформой для фича-тоглов на данный момент.

В статье «Разбираемся с Feature Toggle на примере Unleash» подробно объясняем ключевые понятия и возможности Unleash — от определения тоглов до сложных стратегий и сегментов. Демонстрируем реальные примеры кода и архитектурных подходов на Java и Spring и рассказываем о практических плюсах Unleash

Статья будет полезна Backend-разработчикам и тимлидам, DevOps и SRE-инженерам, менеджерам продуктов и качества и всем, кто планирует масштабировать систему с десятками и сотнями микросервисов, где требуется централизованный и удобный контроль остаточного риска внедрения новых функций.

Настоящий джедайский опыт для любого PM

Проекты с легаси — это всегда испытание для любого менеджера. В Альфа-Банке наш PM столкнулась с задачей, которая уже три года «тянулась» на 85% и угрожала застрять навсегда. Аудит вернул прогресс на 79%, но запустил настоящую перезагрузку управления.

В итоге проект реально ожил: команды чётко знают, что от них требуется и в какие сроки, руководитель держит в руках инструмент влияния на результат, а любой менеджер видит актуальный статус продукта — и почему тот «засветился» на дашборде.

Главное — проект сдвинулся с мёртвой точки, процент выполнения восстановили и прогноз — 95% к концу года. 

Подробнее читайте в статье «Зачем мы откатили прогресс с 85% до 79% в легаси-проекте?»

Как мы ушли с Airflow и упростили MLOps

Привет! Меня зовут Александр Егоров, я MLOps-инженер в Альфа-Банке, куда попал через проект компании KTS. За свою карьеру я построил четыре ML-платформы (одна из которых сейчас в Росреестре) и развиваю с командой пятую. Недавно мы полностью пересобрали пайплайны и мигрировали c Airflow на Argo Workflows + Argo CD. Делимся подробностями!

Почему Airflow стал мешать?

Airflow отлично подходит для десятков DAG’ов, но на масштабе сотен моделей появляются проблемы: всё усложняется, теряется Kubernetes-нативность, GitOps работает через костыли, а обновления DAG’ов становятся ручным трудом. Версионирование ломается, пайплайны идут десятками минут, и отлаживать их настоящая боль.

Почему Argo Workflows?

Argo — это K8s-native решение, декларативный подход, совместимость с GitOps, простейшее развертывание и минимум лишних компонентов. Для нас это был буквально глоток свежего воздуха. Вместо монолитного Kubeflow — один контроллер, никаких лишних слоёв и масштабируемость из коробки

Подробнее читайте в статье «GitOps для Airflow: как мы перешли на лёгкий K8s-native Argo Workflows»

Корпоративный «Оскар» Альфа-Банка

В Альфа-Банке каждый год запускаются тысячи проектов — от клиентского сервиса до внедрения ИИ-платформ и автоматизации процессов. Для поддержки внутренней культуры лидерства и инноваций создана премия Alfa Award, где победителей выбирают сами сотрудники.

Alfa Award — это корпоративный «Оскар» Альфа-Банка, который ежегодно отмечает лучшие финтех-инициативы и технологические проекты внутри организации.

Например, в этом году победителем премии Alfa Award в номинации «Инновация года» стал проект «Нейроофис — экосистема виртуальных ассистентов Альфа-Банка для российского бизнеса. 

В команде восемь «узких» ИИ-ассистентов, которые помогают предпринимателям с рутиной: от поиска идей и генерации контента до юридических задач и продаж. Мы экономим время и деньги бизнеса, а к концу года ждём более 100 тысяч пользователей. Мы первые в банке запускали сервисы на базе генеративного искусственного интеллекта. Это интересно и сложно одновременно — зато открывает путь и нам, и коллегам.

В проекте участвовало 18 специалистов из «Нейроофиса» (а к запуску присоединились маркетинг, юристы, ИТ-безопасность и другие департаменты). Для нас главное — видеть команду на одной встрече: это особая ценность.

В 2025 году между победителями распределили 12,5 млн рублей — призовые ушли непосредственно авторам и командам проектов. Победители направляют призовые не только на тимбилдинг и командные события — к примеру, поездки, спорт, совместные активности — но и на полезные покупки для комфортной работы: геймерские и массажные кресла, техника, игровые консоли.

Как правильно внедрить SRI и обезопасить свой проект от атак через CDN?

Subresource Integrity (SRI) — это функция безопасности, которая позволяет браузерам проверять, не были ли данные, загруженные посредством CDN, изменены. SRI — важный инструмент для повышения безопасности веб-приложений. Он защищает от атак, в которых злоумышленник может внедрить вредоносный код в сторонние ресурсы.

В статье «Как настроить SRI, если у нас микрофронты» рассказываем, что это такое и зачем он нужен, как устроена технология на практике и почему она особенно важна в проектах с микрофронтами. Если вы работаете с микрофронтами или хотите повысить безопасность фронтенда — эта статья поможет сделать всё грамотно и без лишних головных болей.

Альфа-Банк совместно с ИТМО запускает бесплатную программу повышения квалификации для преподавателей

Совместно с Университетом ИТМО (лидером рейтинга вузов по качеству подготовки специалистов в области искусственного интеллекта) разработали программу повышения квалификации для преподавателей вузов. В программе научим работать с искусственным интеллектом, встраивать его в образовательный процесс и смело использовать со студентами.

Что ждёт участников:

• Курс пройдёт с октября по декабрь (72 академических часа).

• Вебинары с экспертами (прямые эфиры).

• Онлайн-консультации для ответов на все интересующие вопросы.

• Видеоуроки и практика, чтобы изучать темы в удобное время.

• Финальная защита проектов в Санкт-Петербурге.

• Удостоверение о повышении квалификации установленного образца.

Если вы преподаватель, то оставляйте заявки по ссылке, чтобы работать с искусственным интеллектом рука об руку ❤️

Вы изучите широкий спектр тем — от общих вопросов и этики ИИ до практических задач и методических особенностей преподавания искусственного интеллекта в вузах.

Записаться можно на один из 3 образовательных треков:

• Базовый — про введение в возможности ИИ.

• Средний — про технологии ИИ и их применение.

• Продвинутый — про преподавание ИИ в университетах.

Больше информации, контакты и форма для заявки на обучение по ссылке ❤️

Почему азиатский UX работает по другим законам?

Почему западные интерфейсы стремятся к минимализму и упрощению, а азиатские, напротив, демонстрируют переизбыток информации? Почему в азиатских культурах, особенно в Восточной Азии, пользователи привыкли к большому объему визуального контента и считают важным иметь доступ ко всей необходимой информации сразу, а небольшое количества информации или выбора может вызвать недоверие? Почему то, что может показаться хаосом для европейца, для азиата — удобный и информативный интерфейс? 

Если вы тоже задаете эти вопросы, то статья «Как проектировать интерфейсы по азиатски: холистически и беспощадно» точно для вас! Расскажем чему западным и российским дизайнерам стоит учиться у WeChat, Naver, KakaoTalk, Alipay, Rakuten и TaoBaо.

Если хотите выйти за границы привычных паттернов и понять, как строится неочевидный, но очень эффективный UX восточных продуктов — обязательно прочтите!

Тебе не нужны курсы, чтобы стать дизайнером

Настоящие специалисты учатся иначе — и об этом честный и дерзкий разбор от Серафимы Михеевой в статье «Давайте разорим школы дизайна?». 

Почему курсы не превращают новичка в эксперта в UI/UX и зачем вместо «волшебной таблетки» брать в руки YouTube, стажировки, комьюнити и самостоятельные проекты? Серафима делиться своим мнением о том, почему  даже после дорогих курсов по дизайну остаются серьезные пробелах в знаниях. Автор делится лайфхаками по поиску ментора, оптимальным учебным алгоритмам и бесплатным ресурсам без ущерба качеству.

Идеальная формула обучения дизайнера от опытного ментора уже ждет вас в новой статье!

Как связаны игра «Что? Где? Когда?» и работа в IT?

А вы знали, что методы легендарной интеллектуальной игры могут стать ключом к эффективной работе вашей команды? Рассказываем в нашей новой статье!

 «За зеркальным столом я капитан команды, а на работе — бизнес-аналитик. Но в последнее время эти роли размываются, потому что параллели между поведением команды за столом и во время обсуждения рабочих задач…как-то уж очень близки. И однажды мне захотелось исследовать, как методы из игры работают в реальной жизни. Как оказалось, большинство моментов применимо» — пишет автор статьи Евдокия Аверина. 

Если хочется идти дальше стандартных подходов и строить по-настоящему слаженную команду — статья «Что? Где? Когда?» и эмоциональный интеллект в бизнес-команде для вас!

Продакт, отпусти! Как перестать всё тащить на себе и взрастить сильную команд

Знакомый сценарий: продакт тащит на себе весь бэклог, фаерфайтит задачи, теряет остатки личного времени — и думать о развитии продукта просто некогда. А ведь можно иначе: делегировать, вдохновлять и вместе добиваться реальных результатов — без выгорания!

Меня зовут Даша Алексеева, и я выстроила работу с IT командой так, чтобы всем было хорошо. В статье «Возвращаем команде ответственность на все деньги» простые профилактические принципы работы, которые помогли мне освободить время, достичь целей и больше не выгорать. Расскажу:

• Почему важно отдавать команде право самим планировать сроки и брать ответственность.

• Как простое делегирование делает метрики прозрачнее, а тимлида — свободнее.

• Про проверенные практики взросления команды.

• Как поддерживать моральный климат и не дать команде выгореть.

От TODO-листа к анимационному шедевру

Начал разбираться с Motion для React, но оказалось, что свежих обзорных статей почти нет? В нашей статье полный обзор библиотеки Motion — идеального инструмента для создания современных UI-анимаций. Внутри:

• Разбор ключевых motion-компонентов.

• Практические примеры кода с плавной анимацией TODO-листа.

• Как настроить анимации появления, исчезновения и перетаскивания элементов.

• Советы по оптимизации с LazyMotion и управлению анимациями через хуки.

• Интересные лайфхаки для создания интерактивных интерфейсов без потери производительности.

В статье «Попробовал библиотеку Motion в React: делюсь обзором» есть примеры кода, GIF-анимации и описание хуков, которых, достаточно, чтобы понять Motion, и, возможно, попробовать его руками, сэкономив время на чтении документации.

Роняем прод в облаке быстро и качественно

Думаете, ваши облачные сервисы защищены от случайного (или намеренного) уничтожения? А если для «апокалипсиса» нужно отправить всего один GET-запрос?..

В новой статье «Один GET и облака нет: роняем прод в надежном облаке быстро и качественно» разложим по шагам, как устроена атака на инфраструктуру в Яндекс.Облаке:

• с чего начинается уязвимость и как её обнаружить

• как работает сервис метаданных и IAM-токены

• пошаговый разбор kill chain: от SSRF до полного удаления прод-ресурсов

• что именно можно уронить, имея доступ к облаку

• простые и эффективные превентивные меры — и почему их раньше не внедряли

Проверьте свои облачные настройки — пока кто-то не проверил их за вас!