Вайбкод это круто, пока не открываешь первый отчёт сканера безопасности и не видишь 234 проблемы. В статье разберём, как выстроить пайплайн вокруг LLM-проекта: подключить SAST-инструменты, настроить Quality Gate как блокировщик деплоя и использовать модель для исправлений — не вместо инструментов, а поверх них. Покажу на реальном проекте с реальными цифрами. Будет полезно тем, кто активно использует LLM для написания кода, и специалистам в области appsec/devsecops.

Часть 1 — контекст, данные из отчёта DryRun Security и немного теории про DevSecOps.

Часть 2 — подключаем SonarCloud, настраиваем Quality Gate, интегрируем в CI/CD.

Часть 3 — первый скан реального проекта: 234 проблемы, как их разбирать и исправлять через Claude 4.6.

Часть 4 — добавляем Semgrep, смотрим, где инструменты расходятся и где ломается подход.

Если вы когда-либо выставляли сервис в интернет и смотрели на логи — вы знаете, что происходит в первые минуты. Сканеры, боты, перебор паролей. Firewall помогает, но не всегда. VPN — хорошо, но не всегда удобно и сами протоколы в России к примеру не работают. А что если сервер будет просто отказывать в соединении всем, у кого нет нужного криптографического сертификата — ещё до того, как они увидят страницу логина? Это и есть mTLS.

В статье разберём: что такое mTLS и как работает рукопожатие, как это связано с Zero Trust, от каких атак защищает и где принципиально бессилен, какие риски несёт сама PKI-инфраструктура и где чаще всего ошибаются при реализации. В конце — практика: как мы в Opensophy сделали mtls.sh, bash-скрипт для управления mTLS-сертификатами под Traefik, и почему архитектура «промежуточный CA на каждого клиента» позволяет мгновенно отзывать доступ без CRL и OCSP в Traefik.

Статья будет полезна всем, кто хочет защитить свои сервисы — будь то домашняя лаборатория, панели управления вроде Proxmox или Portainer/Dokploy, внутренние API или любой сервис, который не должен быть доступен всем подряд. Если коротко: если вы выставляете что-то в интернет и не хотите, чтобы туда мог зайти кто угодно — mTLS для этого и существует.

Вместо объёмной теории, которой в интернете и так достаточно, держите чеклисты! Ниже представлены чеклисты по оптимизации сайта под SEO и GEO (AI-режим поиска) в виде таблиц: поэтапно, без воды, с приоритетами и инструментами проверки. Скопировать таблицы в Excel / Markdown можно на сайте.

Разбираем Common Vulnerability Scoring System – что скрывается за цифрой от 0 до 10, как читать базовые, временные и контекстные метрики, и где искать актуальную информацию об уязвимостях.

Продолжаем прохождение linux! Сразу уточню что статья может обновляться после адекватной критики и уточнений от сообществ @opensophy(там где офицально статья была опубликована от opensophy), свежие обновления всегда происходят на hub.opensophy.com, если вы только начинаете изучать линукс или хотите освежить память можете вернуться в прошлую серию рубрики “Учим Linux: Файлы, навигация и поиск”. В этой части я попытался расписать довольно кратко т.к. информации и так много и тот же новичок может не сразу все выучить но по комментариям из Хабра я буду создавать что-то вроде чеклиста оперативных вопросов(это если я пропустил что-то из важной информации). Приступим.

Статья объясняет, как в Linux устроена система пользователей и групп и как через неё управляется доступ к ресурсам. Разбирается, что такое UID/GID, как система хранит данные о пользователях (/etc/passwd, /etc/shadow), как создаются и изменяются аккаунты, как работают группы и права по умолчанию.

Отдельное внимание уделено практическому администрированию: useradd, usermod, sudo, управлению доступом, безопасности и типичным ошибкам.

Тема найма через автоматизированные системы сейчас довольно актуальна. Проблем с трудоустройством много — конкуренция, неправильно составленное резюме, неудачное собеседование. Но сегодня мы сосредоточимся на одной конкретной: ATS-фильтры. Именно они становятся первым и зачастую единственным барьером между кандидатом и живым человеком на другом конце.

Статья подготовлена на основе исследований, дополнительных источников и опыта авторов. Она будет полезна всем, кто сейчас ищет работу — неважно, джун вы или опытный специалист.

Авторы: Veilosophy, глава проекта Opensophy, и Аносов Роман, директор по маркетингу.

Начинаю серию «Linux Base» из 11 частей — структурированная база для DevOps, DevSecOps и всех, кто работает с Linux.

Часть 1 — Файлы, навигация и поиск: разбираем структуру каталогов (/etc, /proc, /var и др.), навигацию, работу с файлами, просмотр содержимого и поиск через grep, awk, sed.

в конце также вас ждет Linux commands cheatsheet!

В современном мире веб-разработки выбор стратегии рендеринга сайта является одним из ключевых решений, определяющих его производительность, оптимизацию для поисковых систем (SEO) и пользовательский опыт. От того, как и где генерируется HTML-код вашего приложения, зависит скорость загрузки, интерактивность и даже стоимость инфраструктуры. В этой статье мы подробно рассмотрим основные типы рендеринга — Client-Side Rendering (CSR), Server-Side Rendering (SSR), Static Site Generation (SSG), Incremental Static Regeneration (ISR) и набирающие популярность React Server Components (RSC) — их преимущества, недостатки, влияние на SEO и производительность, а также приведем примеры технологических стеков для каждого подхода.

Статья будет полезна для всех кто занимается разработкой сайта(вайбкодеры, веб-разработчки итп.)

Безопасность приложений — это не опция, а необходимость в современной разработке. С ростом числа кибератак и утечек данных разработчики и команды безопасности нуждаются в надежных инструментах для выявления уязвимостей на всех этапах жизненного цикла разработки программного обеспечения (SDLC).

В этой статье мы рассмотрим основные категории инструментов безопасности приложений: DAST (Dynamic Application Security Testing), SAST (Static Application Security Testing), SCA (Software Composition Analysis) и IAST/RASP (Interactive/Runtime Application Security Protection). Мы разберем их назначение, преимущества и недостатки, а также предоставим список бесплатных инструментов, которые можно интегрировать в вашу инфраструктуру разработки.

Это руководство объединяет две методологически таблицы - одну для концептуальных моделей (OSI и TCP/IP) и одну для конкретных протоколов и технологий. При обнаружении ошибок / неточностей - сообщите в комментариях, после проверки действительно ли есть ошибки / неточность - информация дополниться.

Обновлено 20.01.2026

В этой статье мы разберём Dokploy — open-source платформу для деплоя приложений. Узнаем, какие задачи она решает, какие функции предлагает и чем отличается от популярного конкурента Coolify. В конце вы поймёте, подходит ли Dokploy для ваших проектов.

Во многих случаях при разработке веб-сервисов и сайтов возникает необходимость в поиске готовых UI-компонентов — как для вдохновения, так и для ускорения работы над интерфейсом. Подобные решения будут полезны всем, кто занимается веб-дизайном и веб-разработкой.

В статье представлена подборка ресурсов с качественными и интересными UI-компонентами. Список будет дополняться по мере появления действительно достойных сайтов и сервисов.

❕ - пометка нового контента в статье.
[Статья обновлена 7 марта 2026 года]

Вообще, методы в статье подходят и для любого IT-направления, но давайте сделаем акцент на безопасности.

В последнее время всё чаще вижу одни и те же вопросы:

«С чего начать в кибербезопасности?» или «Всем привет, хочу работать в инфобезе в Red Team, посоветуйте книжки, курсы и т. д., чтобы я через месяц стал чемпионом джунов и уже работал по профессии!» В какой-то момент понял, что пора собрать свои мысли (и не только мои) в один текст. Возможно, он поможет тем, кто только начинает.