Ниже речь пойдет о том, как спроектировать и реализовать довольно гибкую систему авторизации для вашего проекта.
Для начала неплохо было бы зафиксировать понятия. Далее по тексту под авторизацией понимается процесс проверки прав субъекта на доступ к определенному ресурсу, в том числе на совершение определенных действий, например, по модификации ресурса.
Ресурс - любой объект, служба, данные или программный компонент, доступ к которым его владелец хочет ограничить.
Субъект или актор - конкретный пользователь или система, который хочет получить доступ к ресурсу.
После того, как мы определились с ключевыми понятиями, можно приступить к проектированию системы.
Как следует из заголовка статьи авторизация будет проходить на основе политик, а значит будет логично описать интерфейс этой самой политики, но перед этим необходимо понять, что и как политика будет принимать и какой результат возвращать.
Читать далееСнаружи китайский рынок AI Security не прозрачный, у половины продуктов нет даже английского лендинга, а внутри там за последнюю пару лет выросла полноценная индустрия, которая близка по зрелости к штатовским и израильским ИБ-игрокам.
Задача защиты ИИ в Китае ровно такая же, как везде. Нужны гардрейлы, которые проверяют вход и выход модели, нужны системы мониторинга, и нужна отдельная защита агентов, которые уже не просто отвечают текстом, а ходят по инструментам, файлам и корпоративным API. Модель угроз тоже знакомая: промпт-инъекции, утечки данных и секретов, неправильное использование инструментов, отравленные скиллы агентов. При схожей задаче различие кроется в контексте: суверенный стек железа и ОС, определяемое партией понимание безопасного AI и целая экосистема продуктов, о которых мы и не слышали. Об этих отличиях и поговорим.
Читать далееЕще пару лет назад треки от нейросетей напоминали забавный, но кривой аттракцион. ИИ мог выдать либо странный электронный скрежет, либо вокал, похожий на пение робота-пылесоса, застрявшего в стиральной машине. Чтобы собрать что-то вменяемое, приходилось часами шаманить с промптами.
Читать далееЕще в 2023 году, после всколыхнувшего индустрию ошеломительного успеха Baldur's Gate 3, трудяги из Larian Studios занялись разработкой новой части Divinity.
О том, что известно об игре уже сейчас, почему нас ждет именно Divinity 3, а не «Балда 4», и что представляет собой фэнтези-вселенная, в которой разворачивается действие — поговорим прямо сейчас!
Читать далееМожет ли ИИ собрать болванку Django-проекта из одного предложения? Несколько недель экспериментов, 200+ коммитов и разбор всего, что модель ломала по дороге — и как я вынес знания за пределы модели с помощью плагина seedkit.
Читать далееАвтотесты падают, а разбор занимает время: нужно открыть отчёт в системе управления тестами, понять причину падения, залезть в репозиторий, найти нужный тест и решить, где ошибка: в самом тесте или в приложении. Veai умеет забирать эту рутину на себя. Агент подключается к TMS (Test Management System), читает данные о падении по ссылке и предлагает правку прямо в открытом проекте.
В статье разберём, что такое TMS в контексте Veai, как подключить Allure TestOps и Test IT, и как агент разбирает причину падения автотеста: от инфраструктуры до флаков.
Читать далееMIK32 Амур (К1948ВК018) — первый российский 32-битный микроконтроллер на ядре RISC-V от АО «Микрон». Для работы с ним разработчики предлагают связку VS Code + PlatformIO. Казалось бы, всё просто — но на практике сталкиваешься с множеством неочевидных шагов, которые нигде не собраны в одном месте. В этой статье я пошагово покажу, как развернуть полноценную среду разработки для MIK32 Амур на Windows.
Читать далееВсем привет, меня зовут Олег. В прошлой статье я рассказывал, как генерить автотесты из Swagger и тест-кейсов при помощи OpenAPI Generator + Cursor AI / Claude Code и как с этого всего автоматически снимать покрытие через Swagger Coverage.
В этой статье я хочу рассказать, как мы разбираем упавшие автотесты при помощи интеграции ТестОпс с Яндекс Трекером, MCP TestOps, MCP Яндекс Трекера и Cursor AI / Claude Code.
Но начнем не с AI. Сначала расскажу про сам процесс: зачем нам дефекты в TestOps, как мы руками разбираем запуск автотестов, почему без matcher-правил это быстро превращается в рутину и что именно мы потом автоматизировали.
Читать далееТелеком-кейс о том, как управленческая аналитика помогла руководителям увидеть потери в процессах, сократить издержки и вернуть бизнес к положительному финансовому результату
Последние несколько лет телеком-бизнес все больше похож на белку в колесе.
Снаружи компании продолжают расти: подключают новых абонентов, запускают дополнительные услуги, модернизируют сети, делают репрайсинг и расширяют продуктовую линейку. На уровне выручки все выглядит как движение вперед. Но внутри P&L картина часто оказывается куда менее радостной.
Издержки растут быстрее выручки. Увеличивается ФОТ, сеть требует новых инвестиций, новые услуги создают новые бизнес-процессы, а каждый новый процесс почти неизбежно приносит с собой дополнительные затраты. Чем сложнее становится компания, тем больше внутри нее мест, где деньги незаметно застревают, расползаются или теряются.
Для телеком-рынка это особенно болезненно.
Закон Яровой, СОРМ-2, СОРМ-3, антифрод — для человека со стороны это просто набор отраслевых аббревиатур. Для тех, кто работает в телекоме, за каждой из них стоят новые обязательные расходы. Это не инвестиции в рост и не развитие продукта, а затраты, которые нужно нести просто для того, чтобы продолжать работать.
В итоге многие телеком-компании попадают в неприятную ловушку: абонентская база растет, выручка растет, продукты развиваются, а прибыль не появляется. Иногда компания формально становится больше, но финансово чувствует себя хуже. Рост базы, репрайсинг и выручка от новых услуг не перекрывают рост издержек.
Читать далееПодготовили свежий дайджест об изменениях в регулировании вопросов защиты информации. В этот раз расскажем о проектах и инициативах, которые появились в апреле-июне 2026.
Читать далееВ данной статье рассмотрим функциональность Engee для построения моделей электропривода из физических блоков (не используя блоки с переменной Лапласа и математические блоки). В качестве нагрузки для инвертора выбрано параллельное включение резистора и асинхронного двигателя, асинхронный двигатель вращает маховик через понижающий редуктор, на каждом этапе проводятся измерения угловых скоростей. Исследуемую схему можно условно разбить на части: постоянное напряжение (источник постоянного напряжения), переменное напряжение (инвертор, трансформатор, асинхронный двигатель), механическое вращение (ротор двигателя, редуктор, маховик). Построение схемы начну с настройки инвертора, для его настройки не буду сразу подключать всю запланированную нагрузку, вместо этого будет использоваться чисто активная нагрузка, это ускорит процесс моделирования и сделает минимальными переходные процессы в схеме
Читать далееМикроэлектромеханические системы, или сокращённо МЭМС, представляют собой удивительный гибрид, в котором на одном крошечном кристалле соединяются электронные микросхемы и крошечные движущиеся механизмы. По сути, это «умные» микромашины, способные чувствовать, измерять и даже действовать, занимая при этом площадь в несколько квадратных миллиметров. Сегодня они незаметно, но прочно вошли в нашу повседневную жизнь. О них сегодня мы и поговорим.
Читать далее8 июля у PostgreSQL юбилей — ей исполняется 30 лет. В 1996 году Марк Фурнье из компании Networking Services предоставил первый внешний сервер для разработки опенсорсного проекта Postgres. До этого СУБД разрабатывали на мощностях Калифорнийского университета в Беркли .
В день рожденья PostgreSQL мы публикуем перевод статьи, которая послужила основой СУБД. Кстати, у неё тоже юбилей — 40 лет с момента выхода.
Читать далее1 июля компания runZero сообщила об обнаружении семи уязвимостей в библиотеке FatFs. Это свободно распространяемое ПО, предназначенное для использования преимущественно во встраиваемых устройствах с ограниченной производительностью. По этой причине важной особенностью данной истории является не столько серьезность уязвимостей, сколько варианты их последующего устранения. В любом случае, обнаруженные проблемы на момент подготовки этой статьи остаются незакрытыми — разработчик библиотеки не отреагировал на сообщения исследователей, а те решили не задерживать публикацию, так как, по их словам, с помощью ИИ данные проблемы скоро обязательно найдет кто-нибудь еще.
FatFs зачастую интегрируется непосредственно в код проектов встраиваемых устройств и повсеместно используется там, где требуется чтение/запись с карты памяти, флешки и вообще любого съемного носителя данных. Библиотека также имеется в крупных embedded-платформах и проектах, таких как Espressif ESP-IDF, STMicroelectronics STM32Cube, Zephyr RTOS, ArduPilot, Samsung TizenRT и других. Напрямую или опосредованно она попадает в конечные устройства — будь то любительские изделия или готовые промышленные микроконтроллеры.
Читать далееУ кого дома стоит старый, но ещё вполне живой ПК, тот последний год точно провёл на нервах. Windows 10 с поддержки сняли, обновления безопасности для нее выпускать перестали, а возможностей для обновления не дали. Windows 11 старый компьютер не проходит по требованиям, а купить новый сейчас – тот еще квест, учитывая, сколько стоит оперативная память. И вот, когда деваться уже было некуда, Microsoft возьми да и подкинь таким людям ещё год форы.
Читать далееВ России обсуждают законопроект об искусственном интеллекте и один из самых спорных пунктов касается авторских прав.
Сейчас в российском праве по общему правилу у автора или правообладателя есть исключительное право на произведение. Если кто-то хочет использовать книгу, музыку, изображение, фотографию, текст или ПО, обычно нужно согласие правообладателя, если нет специального исключения в законе.
По новому законопроекту использование информации из произведений и объектов смежных прав для обучения суверенных и национальных больших моделей ИИ не будет считаться нарушением при соблюдении условий: например, если у разработчика есть правомерно полученный экземпляр произведения (покупка экземпляра, подписка) или объект был доведён до всеобщего сведения и доступен для анализа без технических ограничений (выложен в публичный доступ автором).
Если проще: контент потенциально смогут использовать для обучения ИИ без отдельного согласия автора.
Для разработчиков это звучит логично: большой модели нужны большие данные. Для авторов это звучит иначе: «моё произведение взяли, на нём обучили коммерческую технологию, а меня даже не спросили».
И это не только российский спор.
В США сейчас нет единого ответа «можно» или «нельзя». Там всё крутится вокруг доктрины fair use. AI-компании придерживаются позиции: обучение модели - это трансформативное использование. Правообладатели считают: нет, это массовое копирование чужого труда для коммерческого продукта.
Именно вокруг этого идут громкие процессы, включая спор The New York Times против OpenAI и Microsoft. Бюро авторского права США в своём отчёте сформулировало осторожно: некоторые случаи обучения ИИ могут быть fair use, а некоторые - нет. Всё зависит от источника данных, цели использования, коммерческого эффекта и того, конкурирует ли результат с оригинальными произведениями.
Читать далееОшибки в работе компонент DNS могут приводить к инцидентам: нагрузка за секунды возрастает на порядки, а с учётом политики обработки ошибок timeout и retry на клиентах — быстро приобретает лавинообразный характер. Такое случалось в истории эксплуатации нашего внутреннего рекурсивного контура DNS. Отказы в обслуживании создавались небольшим числом внешних запросов, которые обрабатывались параллельно с внутренними. Но в результате их расследования нам удалось преодолеть фундаментальные ограничения функционирования DNS‑сервисов.
Меня зовут Олег Горохов, в Yandex Infrastructure я работаю в команде управления трафиком. В этой статье поделюсь, как мы оптимизировали процессы обработки в задаче классификации и изоляции DNS‑запросов — и в итоге исключили влияние внешних запросов на внутренние благодаря перераспределению ресурсов. 2 мкс — ровно столько сейчас требуется выбранному методу для ответа на запросы в прод‑контуре. Это на три порядка быстрее, если сравнивать с традиционными ответами обычных DNS‑серверов.
Читать далееПривет, Хабр! На связи Дмитрий, инженер по инфраструктурным решениям в компании РЕД СОФТ. Сегодня будем расширять парольные политики в РЕД АДМ — минимум теории, больше практики. Покажу, как подготовить инфраструктуру, создать и применить расширенную политику, а также расскажу, какие нюансы стоит учитывать при работе со схемой. Даже самый требовательный офицер безопасности будет вами гордиться.
Читать далее9 мая пост «I’m going back to writing code by hand» набрал на Hacker News 1038 баллов и 617 комментариев. Автор семь месяцев вайб-кодил Kubernetes-дашборд с Claude, дошёл до god object на 1690 строк и бросил AI-кодинг. Я узнал в этом свою историю полугодовой давности, но вывод сделал другой.
Читать далееМеня зовут Андрей Шантарин, я ИТ-директор на машиностроительном предприятии.
В этой статье разберу ситуацию, знакомую многим производственным компаниям: руководителям нужны управленческие срезы по данным из учётной системы, но в текущей конфигурации 1С нет нужного аналитического функционала.
Читать далее