6795
До Декарта никогда не существовало рационализма. Музыкальный Болт Генона: @mus_b0lt_Genona Мемный Болт Генона: @mem_b0lt_Genona Кадровый Болт Генона @kadr_b0lt_Genona Обратная связь: @rusdacent
В начале этого года ФСТЭК провела встречу, которая была посвящена испытаниям статических анализаторов кода.
https://ib-bank.ru/bisjournal/news/21667
Цели испытаний:
- Оценка технологических возможностей отечественных и открытых статических анализаторов исходного кода
- Формирование публичных методик оценки и критериев применимости анализаторов в различных видах исследований и испытаний
Участники:
- ИСП РАН (Svace)
- ООО "ПВС" (PVS-Studio)
- АО "Позитив Текнолоджиз" (PT Application Inspector)
- АО "СОЛАР СЕКЬЮРИТИ" (Solar AppScreener)
- АО "НПО "Эшелон" (АК-ВС 3)
- OOO "Базальт СПО" (CodeChecker alt-suite)
Подробней о старте и целях испытаний можно почитать в BIS Journal №2 (57) 2025 (PDF положу в комменты)
https://ib-bank.ru/rpbo_pdf/4
На ТБ Форуме был доклад в котором был слайд с информацией (14, прицепил к посту)
https://www.tbforum.ru/hubfs/Digital/SS/SS_ADAPT/TBF_12-02-25_FSTEC_Lutikov.pdf?hsLang=ru
На данный момент завершён этап под названием «Домашнее задание». Условия этапа предполагают декларативный, неверифицируемый характер сведений о результатах, представленных в отчётах. Все участники испытаний самостоятельно запускали инструменты на базовом комплекте тестов и предоставляли жюри ими же заполненные таблицы с результатами разметки срабатываний. В задачи жюри не входило оценивать достоверность данных сведений — основной задачей было оценить эффективность предложенной системы оценки и определить порядок её доработки к началу «Основного этапа».
Подробности и комментарии участников по ссылке
Итоги этапа «Домашнее задание» испытаний статических анализаторов под патронажем ФСТЭК России
https://ib-bank.ru/bisjournal/post/2508
Я к посту прицеплю результаты
Следующий шагом будет «Основной этап», который будет состоять из двух блоков (цитирую частично):
- Блок закрытого комплекта условно-атомарных тестов (Блок А) предназначен для оценки того, реализован ли конкретный предписанный ГОСТом Р 71207–2024 вид анализа в проверяемом инструменте. Также он позволит проверить наличие в инструментах функционала перехвата сборки, анализа распространения помеченных данных, предоставит возможность оценить работоспособность инструмента на больших проектах
- Блок разметки открытых компонентов (Блок Б) предназначен для подсчёта процента ложноположительных / ложноотрицательных срабатываний по методике ГОСТа Р 71207–2024. Вводятся три класса разметки: False Positive, Wont Fix и Confirmed. Для определения случаев Wont Fix и Confirmed служит методика Центра исследований безопасности системного ПО
В целом я рад этой инициативе. Потому что подобные испытания проводятся публично и открыто, а это позволяет оценить, что за инструментарий есть на рынке и что он умеет.
Пять лет назад писал про эту прелесть (/channel/tech_b0lt_Genona/1383), с тех пор уже даже денег попытались зарабатывать и, видимо, не полетело (судя по последнему скрину 🌝)
Сайт
https://skysedge.com/telecom/RUSP/index.html
Там есть ссылка на фирмварь, но она ведёт теперь на закрытую репу. Я нашёл форк (в комменты тоже скину)
https://github.com/skysedge/RotaryUnSmartphone
Так же в комменты положу все сопутствующие файлы
Читатели моего канала знают, что я слежу за ReactOS и радуюсь её развитию. И вот очередная хорошая новость
В ReactOS заключен контракт для улучшения набора тестов
https://habr.com/ru/companies/reactos/articles/925430/
Фонд ReactOS Deutschland eV заключил контракт с одним из участников сообщества и разработчиком проекта, Карлом Дж. Бялоруцким. Он начал участвовать в проекте внеся несколько улучшений в оболочку ReactOS. В мае 2024 года он вступил в основную команду разработчиков, а в марте 2025 года возглавил выпуск релиза ReactOS 0.4.15 после того, как предыдущий релиз-менеджер не смог продолжить работу над проектом.
В мае 2025 года с ним был заключен контракт, рассчитанный до августа 2025 года.
. . .
В настоящее время Карл Бялоруцкий работает над устранением сбоев, зависаний и ошибок в наборе тестов, которые запускаются в Windows. Он работает как над тестами, которые выполняются в режиме ядра (kmtests), так и над тестами, которые выполняются в режиме пользователя (apitests); для версий Windows Server 2003 и новее; а также для архитектур x86 и x86_64.
Кроме того, он синхронизирует наши тесты Wine с Wine 10.0. Хотя это и не самая последняя версия, это последний основной релиз, и наличие общей цели упростит будущую синхронизацию этих тестов.
. . .
В долгосрочной перспективе проекту нужна надежная автоматизированная платформа тестирования, которая выявляет регрессии и проблемы с новыми pull-request-ами до проверок вручную; особенно с учетом того, что мы переходим к поддержке драйверов и программ для версий Windows новее Server 2003.
В GitHub принесли issue
C# Math.Pow(-1, 2) doesn't output correct value on Windows 11 Insider Preview, Canary channel (27881.1000)
https://github.com/dotnet/runtime/issues/117233
Reproduction Steps
Console.WriteLine(Math.Pow(-1, 2));
or
std::cout << std::pow(-1, 2) << std::endl;
Expected behavior
It should output 1.
Actual behavior
It outputs -1 on Windows 11 Insider Preview, Canary channel (27881.1000).
@s9w It does if you follow a short process at https://careers.microsoft.com/
j/k, yes, internal only tracker, sorry
That's not really how things work. Microsoft isn't some small company where someone can necessarily pop next door and go "hey, I've got a problem". It is a large enterprise with multiple divisions, some 200k employees, and it takes in tens of thousands (on the low end) of issues, feedback, and bug reports per day (many of which are low effort, don't provide enough detail, are actually user error, etc).
. . .
I expect that is the internal bug number filed to track the external bug report, there won't be anything publicly visible or accessible on this.
Last time I checked, "the internet" and "message forwarding" are not some alien tech to be invented yet. Surely, an established multi-billion-dollar company could afford to use that occasionally, especially when it comes to such serious issues. Blaming the user for not using the correct issue tracker ought to be the lamest excuse. No one is to blame here, but Microsoft, for even letting that issue slip by in the first place.
В статье подробно с примерами показано, что можно восстановить удалённые коммиты, а значит и всё что в нём было, просто коммит будет "висеть" без ветки.
TL;DR
- GitHub Archive logs every public commit, even the ones developers try to delete. Force pushes often cover up mistakes like leaked credentials by rewriting Git history. GitHub keeps these dangling commits, from what we can tell, forever. In the archive, they show up as “zero-commit” PushEvents.
- I scanned every force push event since 2020 and uncovered secrets worth $25k in bug bounties.
- Together with Truffle Security, we're open sourcing a new tool to scan your own GitHub organization for these hidden commits.
wget https://data.gharchive.org/2015-01-01-15.json.gz
cat 2015-01-01-15.json.gz | zcat | grep PushEvent | grep 'commits"\:\[\]'
Автор Node.js добивается отмены торговой марки JavaScript
https://www.opennet.ru/opennews/art.shtml?num=63494
Райан Даль (Ryan Dahl), создатель JavaScript-платформ Node.js и Deno, добивается отзыва у компании Oracle торговой марки "JavaScript". Первым шагом стала публикация в прошлом году открытого письма к компании Oracle c призывом отказаться от торговой марки JavaScript, так как данное слово стало общеупотребительным термином, не связанным с конкретными продуктами Oracle и широко используемым людьми и компаниями.
Компания Oracle никак не отреагировала на призыв и Райан попытался добиться отмены торговой марки в Агентстве по патентам и товарным знакам США (USPTO). В Апелляционный совет по товарным знакам (TTAB) было направлено ходатайство об отмене торговой марки, в котором были указаны три претензии: введение в заблуждение при продлении торговой марки, использование торговой марки на термин общего назначения и неиспользование торговой марки в продуктах её владельца.
Несколько дней назад Апелляционный совет отклонил первую претензию, суть которой в том, что во время продления своих прав на торговую марку "JavaScript" в 2019 году компания Oracle ввела USPTO в заблуждение и указала сведения, не соответствующие действительности. В качестве демонстрации своих продуктов, использующих торговую марку "JavaScript", компания Oracle привела скриншот с сайта платформы Node.js, которая никак не связана c Oracle и никогда не была её продуктом.
Решено сосредоточить усилия на оставшихся двух претензиях - общем характере термина "JavaScript" и неиспользовании торговой марки в продуктах Oracle:
- Слово "JavaScript" повсеместно используется для описания языка программирования, определяемого спецификацией ECMA-262, а не бренда или продукта компании Oracle, которая никак не связана с эволюцией языка JavaScript. Термин JavaScript используется миллионами разработчиков по всему миру, независимо от Oracle.
- Торговая марка "JavaScript" досталась компании Oracle вместе с активами Sun Microsystems и на практике напрямую не ассоциируется ни с одним из продуктов Oracle.
. . .
Отмечается, что наличие действующей торговой марки вынуждает компании, развивающие продукты, связанные с языком JavaScript, действовать в серой зоне, используя данное название постольку, поскольку компания Oracle пока не заявляет никаких требований.
Я как-то пропустил, а оказывается ещё в прошлом году в Harbor, который я нежно люблю, завезли генератор SBOM-ов
> Harbor now provides robust support for generating Software Bill of Materials (SBOM) either manually or automatically. Users can conveniently view, download, and replicate SBOMs across different instances of Harbor.
https://github.com/goharbor/harbor/releases/tag/v2.11.0
Включается для образов в настройках проектов
https://goharbor.io/docs/2.13.0/administration/sbom-integration/
Так же SBOM-ы будут переезжать между инстансами Harbor при настройке реплики
"Под капотом" Trivy (кто бы сомневался 🌝), поэтому если кто-то пользует Harbor, то можно в принципе не гонять pipeline с Trivy для SBOM, а забирать через API из реджистри.
Хороший пост о том, что средний разработчик в open source не получает ничего
> A Tidelift survey of nearly 400 open-source maintainers said 46% are paid nothing for their work. Of those who do get paid, only about half receive over $1,000 a year.
А результат этого можно видеть, например, в таких случаях /channel/tech_b0lt_Genona/5409
Big tech companies invest a lot of effort to sell us the point that every good programmer must have their own open source project. Many programmers have open source side projects, but quite few of them can explain why they waste their time on it. As a result, they work for free, to make big tech rich. Actually, open source can’t make money for programmers, but may be useful as a promotion tool for them.
NCSC (Национальный центр кибербезопасности Великобритании) запилил Software Security Code of Practice (PDF-версию положу в комменты)
Я хотел сделать вольный перевод, но так как переводчик из меня так себе, то решил всё же на оригинале остановиться, но отмечу интересное на мой взгляд
- должен быть всегда назначен человек, который будет нести ответственность за то как и что работает
- должны знать и понимать состав ПО; осознавать риски, которые несут сторонние зависимости
- защищать свои пайплайны
- должен быть процесс управления уязвимостями в своих продуктах, а так же уведомлять о них
- сообщать клиентам минимум за 1 год о том, что продукт больше поддерживаться не будет
Voluntary Software Security Code of Practice
1.Secure design and development
These principles ensure that the software is appropriately secure when provided.
1.1 Follow an established secure development framework.
1.2 Understand the composition of the software and assess risks linked to the ingestion and maintenance of third-party components throughout the development lifecycle.
1.3 Have a clear process for testing software and software updates before distribution.
1.4 Follow secure by design and secure by default principles throughout the development lifecycle of the software.
2.Build environment security
These principles ensure that the appropriate steps are taken to minimise the risk of build environments becoming compromised and protect the integrity and quality of the software.
2.1 Protect the build environment against unauthorised access.
2.2 Control and log changes to the build environment.
3.Secure deployment and maintenance
These principles ensure that the software remains secure throughout its lifetime, to minimise the likelihood and impact of vulnerabilities.
3.1 Distribute software securely to customers.
3.2 Implement and publish an effective vulnerability disclosure process.
3.3 Have processes and documentation in place for proactively detecting, prioritising and managing vulnerabilities in software components.
3.4 Report vulnerabilities to relevant parties where appropriate.
3.5 Provide timely security updates, patches and notifications to customers.
4.Communication with customers
These principles ensure that vendor organisations provide sufficient information to customers to enable effective risk and incident management.
4.1 Provide information to the customer specifying the level of support and maintenance provided for the software being sold.
4.2 Provides at least 1 year’s notice to customers of when the software will no longer be supported or maintained by the vendor.
4.3 Make information available to customers about notable incidents that may cause significant impact to customer organisations.
Настало время охуительных историй, берите кота и лампу!
Вчера рандомно решил проверить кредитную историю, всё ли в порядке (наученный опытом прошлых лет проверяю её пару раз в год. В результате обнаружил что появился новый кредит от Совкомбанка, услугами которого я не пользуюсь. Дата выдачи кредита - 2020 года. В старой выгрузке за прошлый год этого кредита ещё не было. Позвонил по телефону, сказали что кредита с таким номером договора нет.
Приехал разбираться в банк. Выяснили что кредитов никаких нет, но есть кредитная карта "совесть", которую получил в 2020 году (этого я не делал естественно). Закрыли кредитную карту. Написал заявление на предоставление подробностей. Судя по тому, что я сам накопал - неделю назад было два обращения к НБКИ: маркетинговое исследование за 1000 рублей и запрос о среднемесячной ЗП по реквизитам банка (такие запросы обычно поступают из банка при оформлении кредита). Ещё на месте с сотрудником удалось выяснить, что в начале года поступал запрос на выдачу кредита на 1.7кк (был отказ из-за устаревших данных); данные для кредитки были использованы внутренние, полученные при слиянии от ХоумКредитБанка.
Вот вам и защита персональных данных
Мы к себе в Luntry (https://luntry.ru/) ищем Middle/Senior Go Developer
Вилка: от 300 000 до 500 000 ₽ на руки
Про нас:
- Делаем продукт для observability и security Kubernetes
- Разработка и поддержка высоконагруженной системы, обрабатывающий большие потоки данных с кластеров Kubernetes
Требования:
- Знания в области фундаментальной Computer Science
- Знакомство с паттернами проектирования, архитектурными паттернами
- Опыт промышленной разработки от 3 лет (на Go 1 год)
- Опыт работы с gRPC, SQL
- Опыт работы с контейнерами Docker
- Понимание концепций распределенных систем
- Опыт работы с микросервисной архитектурой на базе Docker и желательно Kubernetes
Всякие печеньки и ДМС присутствуют.
Вакансия на hh - https://spb.hh.ru/vacancy/121804583
Писать можно мне в личку - @rusdacent
🎯 Воу! Продолжение истории с “Ред Софт”: руководство The Free Software Foundation — создателя и хранителя лицензий GPL — по моей просьбе прокомментировало ситуацию и пообещало провести дополнительное расследование.
Напомню, речь идет о том, что разработчик отечественной операционки “Ред ОС”, созданной на базе Linux, не раскрывает полный исходный код компонентов, лицензированных по GPL и LGPL, тем самым нарушая условия этих лицензий. В “Ред Софт” заявляли, что эти лицензии “разработаны Фондом свободного программного обеспечения — частной некоммерческой организацией, инкорпорированной в юрисдикции США”, а значит, по мнению компании, “не являются обязательными к применению в России”.
Собственно, я без особой надежды обратилась в эту частную организацию, чтобы узнать, что они об этом думают — и неожиданно получила официальный ответ от исполнительного директора FSF, Zoë Kooyman.
📌 FSF однозначно подтвердили, что непредоставление полного исходного кода — это нарушение лицензии, которое влечет автоматическую потерю всех прав на использование программного обеспечения. Более того, любая дальнейшая дистрибуция такого ПО без соблюдения условий лицензии может считаться умышленным нарушением авторских прав.
“Если предложение предоставить исходный код отсутствует или оно не позволяет получить полный и соответствующий исходный код, это будет считаться нарушением лицензии. В случае нарушения, согласно разделу 8 GPL, нарушитель теряет все права на программное обеспечение с момента нарушения. […] Любое копирование, модификация или распространение программы после первоначального нарушения происходит без разрешения правообладателя и может считаться умышленным нарушением авторских прав”, — говорится в письме исполнительного директора FSF Zoë Kooyman.
📌 При этом в FSF сообщили, что не были осведомлены о ситуации с “Ред Софт” и пообещали разобраться:
“После быстрого изучения их веб-сайта и распространяемых бинарных файлов, нам не удалось найти информации о том, как они предоставляют исходный код для программ. Следовательно, данный случай потребует более тщательного расследования”, — сообщила исполнительный директор FSF.
Ник Велнхофер (Nick Wellnhofer), сопровождающий библиотеку libxml2, объявил, что отныне будет трактовать уязвимости как обычные ошибки. Сообщения об уязвимостях не будут рассматриваться в приоритетном порядке, а станут исправляться по мере появления свободного времени. Информация о сути уязвимости будет размещаться в публичном доступе сразу, не дожидаясь формирования патча и распространения исправления в дистрибутивах и операционных сиcтемах. Ник также снял с себя полномочия сопровождающего библиотеку libxslt и высказал сомнения в том, что найдётся кто-то готовый взять на себя её поддержку.
В описание проекта libxml2 добавлено примечание, указывающее на то, что библиотека написана энтузиастами, сопровождается одним добровольцем, плохо протестирована, написана на языке небезопасно работающем с памятью, содержит множество уязвимостей и не рекомендована для обработки не заслуживающих доверия данных. Сообщения о проблемах с безопасностью предписано отправлять через штатную публичную систему отслеживания ошибок и они будут обрабатываться как любые другие ошибки. За закрытыми дверями уязвимости больше устраняться не будут и все имеющиеся сведения о проблемах с безопасностью сразу будут публиковаться в открытом доступе, независимо от требований по неразглашению до заданной даты и без откладывания раскрытия информации до релиза.
Предполагается, что переход к обработке уязвимостей как обычных ошибок даст возможность Нику сосредоточиться на основной работе над libxml2, не прерываясь на внеплановые задачи. В текущем виде Нику приходится тратить несколько часов в неделю на обработку сообщений об уязвимостях и подготовку патчей, что создаёт достаточно большую нагрузку с учётом того, что сопровождение осуществляется на голом энтузиазме.
Отмечается, что скрытие сведений об уязвимостях до публикации обновлений и метрики типа OpenSSF Scorecard лишь попытка крупных компаний вызвать у сопровождающих чувство вины и заставить работать бесплатно. Предъявление дополнительных требований к сопровождающим-волонтёрам, работающим без компенсации, названо пагубной практикой.
По словам Ника, библиотека libxml2 не обладает уровнем качества, пригодным для использования в браузерах и операционных системах. Тем не менее, крупные компании, такие как Apple, Google и Microsoft, стали использовать libxml2 в своих операционных системах и продуктах. Подобные действия названы безответственными, а проводимая работа - попытками избавиться от симптомов, а не устранить причину проблем. По мнению Ника для проекта было бы лучше, если упомянутые компании прекратили использование libxml2.
На сайте WorkLifeNotes опубликовано подробное руководство по созданию SBOM, соответствующих требованиям NTIA.
NTIA (*National Telecommunications and Information Administration*) — это агентство Министерства коммерции США, которое играет ключевую роль в формировании политики в сфере телекоммуникаций и информационных технологий. В контексте кибербезопасности и управления цепочками поставок программного обеспечения, NTIA выступило с инициативой по стандартизации *Software Bill of Materials* (SBOM), чтобы улучшить прозрачность и безопасность ПО.
В статье рассматриваются:
📄 Основные требования NTIA к минимальному набору данных в SBOM
🧰 Инструменты для генерации SBOM: Syft, CycloneDX, SPDX и другие
🛠 Практические примеры создания, проверки и использования SBOM
✅ Рекомендации по автоматизации и интеграции SBOM в CI/CD
Этот материал будет полезен разработчикам, DevOps-инженерам, специалистам по безопасности и всем, кто хочет внедрить SBOM в свои процессы и соответствовать современным стандартам безопасности ПО.
🔗 Читать на WorkLifeNotes
#sbom #ntia #security #softwaresupplychain #devsecops #compliance
VictoriaMetrics запилили кластер VictoriaLogs
Key Benefits of VictoriaLogs Cluster:
- Linear Scalability: Break free from single-server limitations. The performance and capacity of VictoriaLogs Cluster scale linearly with the number of nodes added, allowing predictable expansion as your needs grow.
- Seamless Migration: Upgrading from a single-node setup is remarkably straightforward. Existing single-node instances can directly become vlstorage nodes in your new cluster – just upgrade the executable and update the configuration!
- Global Query View: Need to see logs across different sites or stages? vlselect enables querying across multiple vlstorage nodes or even entirely separate VictoriaLogs clusters (or single-node instances), consolidating results into a single view.
- Architectural Flexibility: Scale ingestion, querying, and storage independently. You can even build multi-level cluster setups for complex environments.
- Performance Focused: Designed for efficient distributed operation, including automatic performance tuning and options for managing network traffic via compression settings.
- Operational Simplicity: Despite being a distributed system, we’ve focused on maintaining the ease of use VictoriaMetrics products are known for, including clear configuration and leveraging the familiar single-node instance as the core storage component. By using HTTP, users are able to easily integrate tools to help secure, route, and modify data in transit.
Организаторы Ural Digital Weekend 2025, на котором я буду выступать (/channel/tech_b0lt_Genona/5421), организовали промокод, так что если кто-то ещё думает купить билет, но не сделал этого, то вот промокод на 10% - BOLT10
Уважаемые подписчики нужна ваша помощь!
Те кто видели меня оффлайн знают, что я пользуюсь кнопочным телефоном, как основным средством связи.
Есть проблема, что этому телефону 11 лет и он находится в не самом лучшем состоянии (увидеть можно это на первых трёх фотографиях). За это время он в прямом смысле прошёл со мной огонь, воду и грязь различной степени. Единственное, что менялось это аккумуляторы (последний раз 3 года назад)
Сделала его чешская китайская компания EVOLVEO, модель EVOLVEO STRONGPHONE WI-FI (которая уже канула в лету).
Это прекрасная модель, которая умеет в (помимо всякой стандартной хуйни)
- 3G
- WiFi
- Умеет раздавать WiFi
- Умеет в две SIM-ки (слот под microSDHC-карточку идёт отдельно, а это важно)
- Можно включить в режим COM (что важно, потому что я могу бэкапить контакты, смс и т.д. через gammu/wammu)
- В моём обычном режиме использования жить на одной зарядке две-три недели
Отработал этот телефон все вложенные в него бабки на 146%, но всё же мне нужна замена. И вот тут я столкнулся с проблемой, что заменить не за что. Я просмотрел кучу доступных моделей, но так и не смог выбрать ничего нормального.
Первым кандидатом из тех что мне пришлось выбрать на пробу стал BQ 2439 Bobber (четвёртая картинка)
https://bq.ru/catalog/telefony/bq-2439-bobber/
Я на одном из форумов увидел, что он умеет в COM, но оказалось что нет. Так же оказалось, что у него маленькая ёмкость для контактов - всего ~200 (в моём нынешнем 1000). До кучи туда какую-то хуйню платную поставляют с блобами. В общем я от него отказался, даже смирившись с отсутствием WiFi и его раздачей.
Из плюсов он реально, как и заявлено, плавает и не тонет 🌝
Вторым кандидатом стал Olmio X05 (пятая картинка)
https://olmio.com/ru/catalog/phones/mobile-phone-x05-black-yelow
У него те же проблемы, что и у BQ, но телефонная книга нормального размера. Я тоже от него отказался.
У обоих новых телефонов аккум держит меньше чем мой нынешний старый при том же режиме использования.
Если кто-то такой же шиз как я и может что-то толковое рекомендовать на замену, то делитесь в комментах или личке информацией и ссылками. Заранее спасибо!
ЗЫ Бэкап и работа через gammu/wammu, например, даёт вам возможность не привязываться к вендору, внешнему проприетарному софту и т.д.
Вот отличный гайд, как этим можно пользоваться
https://gist.github.com/bmaupin/7e34a9d1ec112db6e4bc3d4e4c50612d
Пока в нескольких регионах сидят без мобильных интернетов, который отключают из-за угроза БПЛА, я напомню о чудесном СМС-банкинге от Сбера
http://www.sberbank.ru/ru/person/dist_services/sms_commands
Я о нём писал ещё два с половиной года назад
/channel/tech_b0lt_Genona/3447
Когда вы сидите без нихуя и ваше банковское приложение даже не подключается, то перевод можно сделать так*900*12*9ХХ1234567*1000#
где 9ХХ1234567 — номер телефона получателя перевода,
а 1000 — сумма пополнения.
или
Отправьте СМС на номер 900 с текстом Перевод 9ХХ1234567 1000, где 9ХХ1234567 — номер телефона получателя, а 1000 — сумма перевода.
Отправьте СМС на номер 900 с текстом Перевод 1234ХХХХХХХХ5678 1000, где 1234ХХХХХХХХ5678 — номер карты получателя, а 1000 — сумма перевода.
*900*200# вызов,Отправьте СМС на номер 900 с текстом 200, где 200 — сумма пополнения.
Если у вас подключена не одна карта, нужно указать карту списания. Для этого отправьте СМС с текстом 200 1234, где 1234 — последние цифры карты, с которой будут списаны деньги, а 200 — сумма пополнения.
*900*9ХХ1234567*200# вызов,Отправьте СМС на номер 900 с текстом 9ХХ1234567 200, где 9ХХ1234567 — номер телефона, а 200 — сумма пополнения.
Если у вас подключена не одна карта, то нужно указать карту списания. Для этого отправьте СМС с текстом 9ХХ1234567 200 1234, где 200 — сумма пополнения, а 1234 — последние четыре цифры карты списания.
О том, что Флант перепилил Prometheus я писал тут /channel/tech_b0lt_Genona/5144
И вот вышла ещё одна статья с ОЧЕНЬ подробными подробностями
FastCGo: как мы ускорили вызов C-кода в Go в 16,5 раза
https://habr.com/ru/companies/flant/articles/923912/
Изначально мы использовали Prometheus — опенсорсную систему мониторинга, написанную на Go. По нашей статистике, она занимала около 20 % ресурсов каждого кластера. Мы не могли с этим мириться и поэтому разработали проект под названием Prom++, в котором многократно сократили потребление оперативной памяти и снизили нагрузку на центральный процессор.
Кратко о том, что мы сделали: переписали на С++ ядро хранения и обработки горячих данных, при этом вся оркестрация и периферия остались в Prometheus на Go, что позволило сохранить полную совместимость с Prometheus. Для частых вызовов кода C++ мы использовали механизм CGo, однако первые тесты показали, что производительность CPU практически не улучшилась из-за медлительности CGo. В итоге мы переписали CGo, создав собственный механизм вызова.
Вместо заключения
. . .
Кроме того, у FastCGo пока нет поддержки Go-коллбэков, но мы уже работаем над их реализацией.
Но самое главное отличие — это скорость работы: FastCGo работает в 16,5 раза быстрее обычного CGo-вызова. Это лишь одна из множества оптимизаций, реализованных в Deckhouse Prom++.
Из этого следует вывод: CGo — универсальное «коробочное» решение для редких вызовов или вызовов с поддержкой коллбэков, а FastCGo — специализированное решение для частых вызовов.
FastCGo, то найдёте https://github.com/petermattis/fastcgo или https://github.com/nitrix/fastcgo и это будет не то. FFastCGo - Flant FastCGo, что бы не путаться 🌝
Читать полностью…
I spent way too much time scrolling through these PRs. The pattern was always the same:
- AI: “I fixed the issue!”
- Human: “Your code isn’t working and you broke other tests.”
- AI: “You’re absolutely right! Fixed it now.”
- Still not fixed.
If you’re worried about AI layoffs, here’s your playbook:
- Become the AI expert on your team. Don't fight the tools, master them.
- Document everything AI can't do. Keep a running list of complex problems you solve that AI suggestions couldn't handle.
- Make it public. Share your real AI experiences on social media.
- Create the narrative. Every time you solve something AI couldn't, tweet about it. When AI helps you ship faster, share that too.
. . .
If your CEO is talking about AI layoffs, update your resume. Not because AI will replace you, but because you’re working for someone who thinks a technology that can’t understand a simple bug is ready to run their engineering org.
AI has become a part of software development, but it isn’t perfect. Humans are needed more than ever.
Лицензирование ПО это ёбаный пиздец. Каждый раз когда хочу что-то опубликовать я закапываюсь в эту тему, и каждый раз ахуеваю.
На поверхности кажется всё просто: если всё равно что люди будут делать с кодом - суешь пермиссивную лицензию вроде MIT и забиваешь хуй. Если боишься что злые капиталисты спиздят твой код и закроют - суешь под GPL.
Проблема с большинством пермиссивных лицензий в том, что они требуют сохранять copyright notice и текст лицензии. Соответственно если ты скопипастил даже 5 строчек из проекта лицензированного под MIT, ты обязан предоставить его лицензию вместе со своим проектом, причем как с исходниками, так и с билдами. Конечно, есть вроде такой прикол что если ты скопипастил "чуть-чуть" то это не нарушение копирайта, но как это работает и что такое "чуть-чуть" - зависит от юрисдикции и лучше на это не полагаться.
Может показаться хорошей идеей отказаться нахуй от копирайта и передать свой код в public domain.
Только вот что такое "public domain" тоже зависит от юрисдикции, и во многих странах добровольно сделать свою работу достоянием общественности вообще нельзя.
Есть "инструменты" для передачи работы в общественное достояние, такие как CC0 и Unlicense. В них есть костыль, что если в стране юзера public domain кривой, то они работают как "public domain equivalent" пермиссивная лицензия которая не требует attribution и тп.
Ну ладно, передали мы код в public domain, либо лицензировали его под public domain equivalent лицензией. Теперь то всё хорошо?
Хуй там плавал, копирайт это лишь один из многих юридических механизмов для ограничения свободы пользователей.
Один из самых вредных альтернативных механизмов - это патенты. Ты можешь запатентовать какую-то идею которую ты использовал в своей программе и пойти судиться с людьми for fun and profit за нарушение твоего патента, даже если программа является достоянием общественности.
Причем если например MIT не говорит ни слова о патентах, но в некоторых юрисдикциях она вроде как может неявно давать пользователям "лицензию на патенты", то например CC0 явно утверждает что на патентные права она никак не влияет.
Одна из немногих популярных пермиссивных лицензий которая явно решает проблему с патентами - это Apache 2.0. Но она мало того что требует attribution, там ещё и написано следующее "You must cause any modified files to carry prominent notices stating that You changed the files", т.е блядь если я форкнул какой-то проект под apache, я должен в каждом файле который я меняю что-то по этому поводу написать?
Окей, опубликовали мы худо-бедно проект. Хотим теперь принимать изменения от третьих лиц. Surely с этим никаких сложностей? Но увы. Во первых, если у тебя код например под MIT, вовсе не факт что отправленный тебе патч тоже будет под MIT. Соответственно контрибьютор может попытаться тебя засудить на основании того что ты нарушил его копирайт.
По хорошему нужно просить контрибьюторов явно лицензировать свои изменения под соответствующей лицензией. Как это правильно и надежно делать? Хрен его знает. Это отдельная тема, в ней тоже есть куча подводных камней, о которых я уже не помню.
Во вторых, может получиться так, что твой потенциальный контрибьютор является рабом (employee), и у него нет права контрибьютить в твой проект, потому что рабовладелец запрещает. Например google запрещает своим рабам контрибьютить в проекты под Unlicense или CC0.
Этот пост далеко не исчерпывающий, но он и так уже слишком длинный, так что пока на этом остановлюсь.
Мой доклад приняли на Ural Digital Weekend 2025
Анонсы доклада
/channel/ural_digital_weekend/496
https://vk.com/wall-221305921_409
Так что если кто-то собирается в Пермь на конфу 1 августа и хочет пересечься, то пишите в личку или комменты.
ЗЫ
На картинке я пытаюсь найти наиболее комфортное место после Питерских болот 🌝
Chainguard запилили инструмент под себя, что бы пользователь в своих образах быстрее мог мигрировать на их базовые
(d)ocker(f)ile (c)onverter: CLI to convert Dockerfiles to use Chainguard Images and APKs inFROM and RUN lines etc.
https://github.com/chainguard-dev/dfc
https://edu.chainguard.dev/chainguard/migration/dockerfile-conversion/
В целом задачи и цели инструмента понятны: у вас есть пачка Dockerfile, вы с помощью этой тулы можете легко перекатиться на реджистри и образы Chainguard
cat <<DOCKERFILE | dfc -
FROM node
RUN apt-get update && apt-get install -y nano
DOCKERFILE
FROM cgr.dev/ORG/node:latest-dev
USER root
RUN apk add --no-cache nano
$ dfc --registry="r.example.com/mirror" ./Dockerfile
FROM r.example.com/mirror/<image>
$ dfc --mappings="./custom-mappings.yaml" ./Dockerfile
FROM line modifications
For each FROM line in the Dockerfile, dfc attempts to replace the base image with an equivalent Chainguard Image.
RUN line modifications
For each RUN line in the Dockerfile, dfc attempts to detect the use of a known package manager (e.g. apt-get / yum / apk), extract the names of any packages being installed, try to map them via the package mappings in mappings.yaml, and replacing the old install with apk add --no-cache <packages>.
USER line modifications
If dfc has detected the use of a package manager and ended up converting a RUN line, then USER root will be appended under the last FROM line.
In the future we plan to handle this more elegantly, but this is the current state.
ARG line modifications
For each ARG line in the Dockerfile, dfc checks if the ARG is used as a base image in a subsequent FROM line. If it is, and the ARG has a default value that appears to be a base image, then dfc will modify the default value to use a Chainguard Image instead.
Самозапрет от выдачи кредитов распространяется только на кредиты после того как этот закон был принят, т.е. на кредиты после 05.25. На те же кредиты, что были выданы раньше соответственно данный запрет не действует.
Думаю схема такая, что сначала создают кредитку (для её представления достаточно наличия валидных документов). Дают ей отлежаться какое-то время, после чего по этой кредитке запрашивается увеличение баланса (на размер кредита). Нюанс в том, что для этого нужен доступ к банку, чтобы можно было задним числом данные добавить.
Слышал что такое много где и с кем сейчас происходит, на волне слияний и поглощений банков
Для тех кто не в теме и не хочет особо вникать, но вынужден кредитами пользуется посоветовали время от времени проверять информацию о кредитах в НБКИ (nbki.ru), которые верифицируют информацию при оформлении кредитных договоров
Microsoft релизнула редактор, который корнями из MS-DOS, но написан на Rust. Как я понял планируют затащить в поставку Windows.
Why build another CLI editor?
What motivated us to build Edit was the need for a default CLI text editor in 64-bit versions of Windows. 32-bit versions of Windows ship with the MS-DOS editor, but 64-bit versions do not have a CLI editor installed inbox. From there, we narrowed down our options…
Many of you are probably familiar with the “How do I exit vim?” meme. While it is relatively simple to learn the magic exit incantation, it’s certainly not a coincidence that this often turns up as a stumbling block for new and old programmers.
Because we wanted to avoid this for a built-in default editor, we decided that we wanted a modeless editor for Windows (versus a modal editor where new users would have to remember different modes of operation and how to switch between them).
This unfortunately limited our choices to a list of editors that either had no first-party support for Windows or were too big to bundle them with every version of the OS. As a result, Edit was born.
Не то что бы я против прогресса, но столько проблем с "вяленым" сейчас всплывает разных, что я максимально откладываю переезд на него 🌝
Новость раз
Нейт Грэм (Nate Graham), разработчик, занимающийся контролем качества в проекте KDE, обобщил планы, касающиеся поддержки работы KDE Plasma в окружениях на базе X-сервера. Прекращение поддержки сеанса на базе X11 рассматривается как неизбежность, но сроки пока не определены и маловероятно, что это произойдёт в ближайшие два года. В марте, при разделении композитного сервера kwin на kwin_x11 и kwin_wayland, предполагалось, что сопровождение kwin_x11 будет прекращено в ветке KDE 7.
Время прекращения поддержки сеанса X11 зависит от того, как быстро разработчики смогут решить проблемы, специфичные для сеанса на базе Wayland, такие как ограничения в сохранении и восстановлении позиции окон Wayland-приложений, недоработки в поддержке графических планшетов, невозможность использования глобального меню в приложениях, не на базе Qt. Предполагается, что ко времени прекращения поддержки сеанса X11, сеанс Wayland будет содержать все ранее доступные возможности и даже самые требовательные пользователи X11 не должны заметить потери функциональности.
Kubuntu should now be fully ready for this. In fact, on latest Questing daily ISO we no longer install the Plasma X11 session by default. It can be installed for users who want it via the package plasma-session-x11.
Rationale is that it is highly improbable that we can support the X11 session in 26.04 LTS (or now even), so like Ubuntu desktop it is probably better to rip off this sticking plaster in 25.10 and concentrate on wayland with less distraction.
🐧 Пиратский Linux – не оксюморон, а суровая российская реальность =)
Выпросила у юристов из Bytes & RIghts пакет документов о том, как уже год они пытаются добиться от разработчика отечественной операционки “Ред ОС” (создана на базе Linux) раскрытия исходных кодов компонентов, лицензированных по GPL и LGPL. Компания-разработчик Ред Софт примечательна тем, что активно растет на фоне импортозамещения (выручка только за прошлый год увеличилась на 80%, до 3,7 млрд руб.), поставляет свой софт в Минобороны, Генпрокуратуру и еще десяток ведомств, а один из ее владельцев, согласно открытым данным, является “помощником депутата Госдумы”.
📄Маленький ликбез. Лицензии GPL и LGPL — одни из самых распространённых в мире для свободного программного обеспечения. Их главный принцип довольно прост — свободное ПО можно бесплатно использовать, изменять и даже продавать, но есть обязательство делиться его исходным кодом с другими. Если в продукте есть компоненты, лицензированные по GPL или LGPL, разработчик обязан предоставить их исходный код по запросу пользователя. Не выполнил это требование — значит, нарушил условия лицензии. А нарушение лицензии делает программный продукт нелегальным, то есть софт, по сути, становится контрафактным.
Около года назад Bytes & Rights купили лицензии на “Ред ОС” и нашли в составе этой операционки около 90 компонентов под GPL/LGPL. Запросили исходники — и пошло-поехало. Сначала Ред Софт пообещал всё выдать, потом начал игнорить запросы. Жалобы в Минцифры и Генпрокуратуру тоже особого эффекта не дали: Минцифры не нашло оснований для исключения этой ОС из реестра отечественного ПО, а прокуратура отфутболила юристов обратно в Минцифры.
Под натиском и после длительной переписки Ред Софт недавно все же отправил исходники, но они оказались неполными – в них не было всех файлов и патчей, чтобы собрать работающие в “Ред ОС” компоненты. Минцифры после повторного обращения Bytes & Rights “умыло руки” и отправило заявителей разбираться с Ред Софт в суде. Предвкушаю интересные слушания)
🇺🇸 Примечательно, что Ред Софт на все претензии юристов говорит, что исходники они, конечно, не скрывают, но вообще соблюдать GPL/LGPL в России, по их мнению, необязательно. А все почему? Ну, потому что лицензии эти разработаны кем-то там в Америке =)
“Указанные лицензии были разработаны Фондом свободного программного обеспечения («ФСПО») – частной некоммерческой организацией, инкорпорированной в юрисдикции США и имеющей штаб-квартиру в городе Бостон. Таким образом, ФСПО – это частная организация, не имеющая международного либо государственного статуса, не являющаяся органом какого-либо государства или межгосударственным органом, следовательно, не может быть стороной международного договора Российской Федерации. Лицензии, разработанные ФСПО, не являются обязательными к применению и используются по желанию разработчиков программных продуктов. Обязательность применения лицензий, разработанных ФСПО, не закреплена на уровне международных договоров”, – написал Ред Софт в своем разъяснении для Минцифры.
Группа исследователей изучила 80 млн коммитов в проекты на хостинге ИТ-проектов GitHub, принятых в период с 2018 по 2024 гг. Анализ собранных данных, проведенный при помощи алгоритмов машинного обучения, показал, что 30,1% от всех функций, написанных на языке программирования Python за авторством разработчиков из США в 2024 г., был сгенерирован при помощи ИИ.
Помимо американцев, на ИИ-инструменты при написании кода в значительной степени полагаются разработчики из Франции (23,2%), Индии (21,6%), России (15,4%) и Китая (11,7%).
. . .
В работе также утверждается, что по достижении доли сгенерированного ИИ кода 30% в его общей массе, количество коммитов разработчика в среднем вырастает на 2,4% за квартал. Другими словами, применение ИИ-ассистентов в разработке ПО позволяет разработчикам писать больше кода за единицу времени. Однако о том, как это влияет на качество кода, не уточняется.
По оценке исследователей, повышение производительности в таком случае – с учетом американских зарплат – дает экономический эффект для США на уровне в $9,6-$14,4 млрд в год. Однако, ученые признают, что он может быть и более значительным, если за основу взять оценку повышения производительности труда за счет применения ИИ, предложенную другими группами исследователей.
Так, авторы препринта статьи “The Effects of Generative AI on High-Skilled Work: Evidence from Three Field Experiments with Software Developers” («Влияние генеративного ИИ на высококвалифицированный труд: данные трех полевых экспериментов с разработчиками программного обеспечения») приходят к выводу о том, что при применении инструментов ИИ продуктивность программистов в среднем возрастает на 26,08%, причем чем меньше опыта у разработчика, тем чаще он прибегает к использованию ИИ-ассистентов и тем выше в итоге наблюдаемый скачок продуктивности.
. . .
Автора работы признают и наличие недостатков в использованной ими методологии. Так, выбор именно принадлежащей Microsoft международной платформы GitHub в качестве источника кода для проведения исследования мог повлиять на итоговый результат. В Китае, к примеру, большой популярностью пользуется хостинг ИТ-проектов Gitee, который заработал в России в мае 2024 г. Кроме того, исследователи прямо говорят о том, не принимают во внимание возможность падения ценности услуг разработчика при интенсивном применении инструментов ИИ.
Другие факторы, которые могли сказаться на конечном результате, – наличие в выборке кода исключительно на Python, а также смелое предположение относительно сопоставимости масштабов использования ИИ-инструментов в проектах с открытым (в публичных репозитория на GitHub) и закрытым исходным кодом.
В целом же исследователи достаточно уверены в позитивном влиянии ИИ на продуктивность в разработке ПО. Авторы работы отмечают, что применение инструментов такого рода позволяет программистам открывать для себя новые библиотеки, побуждает к эксериментам с ними и различными их сочетаниями, в результате чего разработчики растут как специалисты, набираясь новых знаний.
Пользователь социальной сети Игнат сетует на зумеров в айти, потому что один из них не смог разобраться в интерфейсе гугл-мита, а именно что в дропдауне можно печатать, а не только выбирать опции из списка. «Чувак работает в ит уже 3-й год… 🥲», — пишет он.
А я вам вот что скажу. Я в айти уже двадцать с лишним лет. Более того, я предельно дотошно отношусь к интерфейсам, к лук-энд-филу, к соглашениям, к стайл гайдам, к аффордансам, для меня все это максимально серьезно. Я полжизни положил, чтобы разобраться, чем отличается круглый чекбокс от квадратного, кнопка от ссылки, сплошное подчеркивание от пунктирного.
И вот, несмотря на весь мой бэкграунд, я на стороне безымянного зумера. Потому что разбираться в шизоидной логике интерфейсов больших компаний — Гугла, Адобе, Атлассиана, Эпла, Микрософта — это прямой путь в дурку.
Разбираться — это искать логику. А логики нет. Аффордансов нет. Соглашения меняются каждый месяц. Элементы управления выглядят как любые другие элементы. Никто не парится что-то с чем-то согласовывать, выверять, систему придумывать. Захотят — сделают неактивное окно ярче активного. Захотят — поставят на тоггл выпадающее меню. Захотят — будут менять подпись у чекбокса при нажатии. Захотят — сделают выделение через другой бордер-радиус.
Главный скил современного пользователя компьютера — преодолевать мышкой огромные пустые пространства и угадывать по оттенку светло-серого, как взаимодействовать с очередным скругленным прямоугольником.
В общем, разбираться нет смысла, потому что вы ничего не получите, если разберетесь. Единственная логика, которая за всеми этими интерфейсами стоит — что так показалось правильно джуну, который его делал.
Самая здоровая реакция — смириться и игнорировать. Получилось что-то сделать? Зашибись. Не вышло? Ну чтож, значит не вышло. Это я вам как профессиональный айтишник говорю. Forget it Jake. It’s Chinatown.
GNOME уехал в AWS. Я правда так и не понял полностью или нет.
Cloud migration improvements
In 2024, during a hardware refresh cycle, we started evaluating the idea of migrating to the public cloud. We have been participating in the AWS Open Source Credits program for many years and received sponsorship for a set of Amazon Simple Storage Service (S3) buckets that we use widely across GNOME services. Based on our previous experience with the program and the people running it, we decided to request sponsorship from AWS for the entire infrastructure, which was kindly accepted.
I believe it’s crucial to understand how AWS resolved the architectural challenges we had as a small SRE team (just two engineers!). Most importantly, the move dramatically reduced the maintenance toil we had:
- Using AWS’s provided software-defined networking services, we no longer have to rely on an external team to apply changes to the underlying networking layout. This also gave us a way to use a redundant gateway and NAT without having to expose worker nodes to the internet.
- We now use AWS Elastic Load Balancing (ELB) instances (classic load balancers are the only type supported by OpenShift for now) as a traffic ingress for our OpenShift cluster. This reduces latency as we now operate within the same VPC instead of relying on an external load balancing provider. This also comes with the ability to have access to the security group APIs which we can use to dynamically add IP addresses. This is critical when we have individuals or organizations abusing specific GNOME services with thousands of queries per minute.
- We also use Amazon Elastic Block Store (EBS) and Amazon Elastic File System (EFS) via the OpenShift CSI driver. This allows us to avoid having to manage a Ceph cluster, which is a major win in terms of maintenance and operability.
With AWS Graviton instances, we now have access to ARM64 machines, which we heavily leverage as they’re generally cheaper than their Intel counterparts.
- Given how extensively we use Amazon S3 across the infrastructure, we were able to reduce latency and costs due to the use of internal VPC S3 endpoints.
- We took advantage of AWS Identity and Access Management (IAM) to provide granular access to AWS services, giving us the possibility to allow individual contributors to manage a limited set of resources without requiring higher privileges.
- We now have complete hardware management abstraction, which is vital for a team of only two engineers who are trying to avoid any additional maintenance burden.