Security Wine (бывший - DevSecOps Wine)

Vulncov - A tool that correlates Semgrep scans with Python test code coverageНебольшой тул-эксперимент недельной давности — VulnCov. Его цель — приоритизировать файндинги Semgrep, исключая уязвимости, найденные в "мертвом коде". Для этого тул берет файндинги из Semgrep и объединяет их с результатами работы юнит-тестов Pytest.Чтобы лучше разобраться, проще всего рассмотреть демонстрационный пример, где есть несколько уязвимостей внутри недостижимого участка кода:- Закомментированный роутер #@app.route- Невыполнимое условие if 1 == 2По результатам сканирования Semgrep, по очевидным причинам, выдаст все уязвимости, включая те, что находятся в недостижимом коде. В проекте также есть тесты, которые по итогам выполнения формируют файл coverage.json. Файл coverage из отчета юнит-тестов содержит информацию о том, какие строки кода были выполнены в процессе тестирования, а также предоставляет сводную статистику о покрытии кода тестами. Этот файл помогает разработчикам понять, какие части кода проверены тестами, а какие — нет, что создает идеальную базу для приоритизации результатов Semgrep. В результате VulnCov сравнивает два файла и выдает JSON с наиболее релевантными файндингами.А еще проект имеет поддержку приватной LLM ollama (хотя где-то без подключения OpenAI) для генерации баг-фиксов.В репозитории всего 21 ⭐️, но в домене корреляции результатов, даже в эпоху искусственного интеллекта, вряд ли стоит ожидать величайших прорывов. Сразу вспоминаются решения класса IAST и сопутствующие рассуждения о корреляции SAST и DAST из далекого 2020 года. Как мы можем видеть, гораздо быстрее и эффективнее развиваются практики reachability analysis и автоматического триажа с помощью AI.#sast #ai

GitHub Users Targeted by New Wave of Spambots Ищите чтиво на выходные? Если вдруг вы увидели спам в комментариях своего репозитория на GitHub на этой неделе, вы не одиноки. Недавно мы писали об атаках на разработчиков, но на этот раз методы напоминают устаревшие практики. Боты оставляют комментарии, предлагая загрузить файлы с платформы MediaFire, содержащие вредоносное ПО. Цель злоумышленников — убедить разработчиков загрузить эти файлы, что в итоге приводит к компрометации системы и аккаунта GitHub.GitHub пытается удалять такие комментарии, но проблема остается. Один из разработчиков создал GitHub Action, который фильтрует подобные комментарии."Это не должно быть задачей мейнтейнеров open-source — предотвращать спам с вредоносным ПО, но пока GitHub не решит эту проблему, я создал небольшой автоматизированный action, которая удаляет подозрительные ссылки из комментариев в задачах."В целом подобного рода атаки на open-source не первые и не последние. В феврале этого года волна спама обрушилась на проект Express.js в следствие того как популярный youtube блогер с почти 5 млн подписчиками продемонстрировал пример как делать PR на нетестовом Github репозитории (вот здесь можно увидить результат). Несмотря на то, что это может показаться безобидным, но дело дошло даже до того один из мейнтейнеров Express.js заявил, что люди начали отправлять электронные письма с угрозами и преследовать участников репозитория за открытие спам-запросов на слияние (PR).#supplychain #malware

Security TemplatesСегодня без сложных постов, уязвимостей и исследований. Вместо этого мы хотим поделиться парой полезных шаблонов!Первый из них — шаблон моделирования угроз по STRIDE для Miro от самого Head of Product Security Miro. Этот шаблон наглядно демонстрирует процесс моделирования угроз и включает сопутствующие диаграммы, которые помогают на каждом этапе составления списка угроз.Второй — это целый набор шаблонов от Robert Auger. Роберт делится материалами, которые помогали ему на его пути в построении программ bug bounty, управления уязвимостями, внешнего пентеста и реагирования на инциденты. Во всех своих шаблонах Роберт опирается на свой опыт в таких компаниях, как PayPal, eBay, Box, Workday и Coinbase. В качестве примера к посту приложена упрощенная диаграмма процесса bug bounty. Еще нам в целом понравился чеклист в подготовки построения процесса vulnerability management, который также учитывает AppSec-процессы. По нему хорошо можно проследить попытку автора передать именно свой личный опыт.#templates #process

В Apple поняли, что проигрывают ИИ-гонку и больше не хотят быть банком с айфонами⠀На отчёте за второй квартал 2026 года Apple убрала старую финансовую цель: держать долг и денежные запасы формально на одном уровне. Денег всё равно больше, чем долга: около $147 млрд кэша и бумаг против $85 млрд задолженности.⠀Как же это было удобно для Уолл-стрит: "лишний" кэш возвращается акционерам через байбеки и дивиденды. Баффет озолотился на такой вампирской истории с некогда крупнейшей публичной компанией, а ныне слабом подобии былого инновационного лидера. С новым руководством у Apple появляется больше места для капитальных трат. В ИИ-гонке нужны серверы, чипы, модели, новые форм-факторы и бесчисленные дорогие промахи.⠀Гурман из Bloomberg пишет, что Apple ускоряет AI-устройства: очки, AirPods с камерой, домашние гаджеты. Компания готовится собирать платформу вокруг персонального ИИ, а не отдельную функцию в iPhone.⠀Для Apple это смена режима. В смартфонах можно было заходить поздно и полировать категорию. В ИИ каждый квартал ожидания делает вход дороже.Я давно писал об этом, но стейк-холдерам пришлось самим догадаться убрать Тима Кука, чтобы новая метла, хоть и с опозданием, но собралась мести по-новому.⠀—📎 Apple · Bloomberg

Кто как использует AI в 2026Посмотрел список TIME100 в образовании за 2026. Расклад получился такой.AI как репетитор/ассистент— Khan Academy → Khanmigo, AI-репетитор, 1,4 млн пользователей— Squirrel Ai Learning → система ищет дырки в понимании базы и подстраивает уроки, чтобы ученик мог идти дальше. 52 млн учеников— Efekta Education → 4 млн студентов учат английский через адаптивную платформуПомогают учителям с помощью AI— MagicSchool AI → автоматизирует учителям рутину: планы уроков, проверка работ, админка. 13000+ школ в 173 странах— Turnitin → раньше ловили списывание, теперь сделали платформу Clarity, где ученики пишут с разрешенными AI-инструментами, а учитель видит историю версий— Quizlet → старая флешкарточная платформа, запустили AI-генератор учебных материалов, купили AI-конспектировщик CoconoteУчат пользоваться AI— Coursera → каждые 4 секунды кто-то записывается на курс по generative AI, запустили практику собеседований с AI-коучами— Code org → запустили учебную программу по generative AI для 8–12 классов— Goodwill Industries → сеть благотворительных секонд-хендов, финансируют программы переподготовки, партнерство с Google обучит 200 000 человек AI-навыкамОстались только College Board, которые делают SAT и AP-экзамены, тут скорее цифровая трансформация, чем AI-история. Тоже честно — не все в образовании про AI.Но AI в образовании уже не про «использовать или нет», а как именно использовать: репетитор для ученика, ассистент для учителя или сам предмет изучения.Отдельно про Squirrel Ai — самая радикальная история в списке, про них я раньше не слышал.Если учебник по математике покрывает около 3000 учебных целей, то Squirrel разбивает предмет на 10000+ нанообъектов. Это другой порядок гранулярности, другая операционная единица обучения — система ищет не «ребенок не понимает дроби», а конкретный микрозазор в логике, из-за которого дроби не складываются. Когда ребенок не понимает теорему Пифагора, система находит, что он, например, не понимает квадратные корни, и работает именно с этим.В декабре 2025 они поставили рекорд Гиннеса по «крупнейшему сравнительному эксперименту AI vs традиционное обучение». 1600+ учеников 5–6 классов, пять школ, целый семестр, независимый аудит.У пятиклассников группа с AI: средний балл 87 против 78 у традиционной (+8,78). Доля отличников — 67% против 38%. Доля провалов — 3,5% против 11,1%. У шестиклассников средний балл выше на 13,84 пункта из 120. Доля провалов 18,8% против 39,6%, почти в два раза меньше.Выиграли все группы учеников: и сильные, и средние, и слабые. Причём слабые выиграли больше всех. Это аргумент про образовательное равенство — AI не «делает сильных сильнее», а вытягивает слабых.В Китае у них 24+ миллиона учеников, и в части случаев AI полностью заменяет живые уроки — заменяет, не дополняет. Ребенок приходит в офлайн-центр Squirrel, садится за планшет, проходит диагностику, и дальше с ним работает система: 2–3 минутные видео от мастер-учителей, адаптивный план, ассистенты на подхвате.Выводы такие:— С одной стороны, исследование показало значимый прирост в математике против традиционных классов— С другой стороны, мы не знаем наверняка, как AI-тьюторы влияют на способность учиться самостоятельно в долгосроке. Решает ли система проблему или создает зависимость от персонализированной подачи — пока непонятно— С третьей стороны, при остром дефиците хороших учителей вопрос скорее стоит не «AI или живой учитель», а «AI или никто». Это меняет рамку разговора целиком.Передача знаний? Тогда Squirrel это нормально, лишь бы передавалось. Процесс становления человека через отношения с другим человеком? Тогда AI-замена — потеря, даже если по тестам прирост. Но индивидуальный репетитор недоступен большинству, что как бы намекает на ответ→ The 10 Most Influential Education Companies of 2026

Господа эксперты. Если сотрудникам компании похер на сообщения через LinkedIn. HR специалист компании вообще не заинтересован в том что у компании есть утечка кастомеров с именами, email и телефонами. Региональный CERT не смог так же уведомить их и принудить к исправлению системы. Что дальше? Gdpr репорт в региональное управления?

⌚️Seiko UC-2000, умные часы из 1984 года.• Представьте себе умные часы, но из 1984 года. Звучит как что-то прямо из научно-фантастического фильма, ведь 80-е годы прошлого века не славятся большими достижениями в области персональных компьютеров. Но это реальность, и это именно то, что было создано компанией Seiko в те времена и было известно как UC-2000 — «персональный информационный процессор», который можно носить на запястье (на фото). Как и следовало ожидать, это было новое устройство, которое было выпущено по цене 300 долларов (это что-то около 900 долларов сегодня с учётом инфляции).• Часы выглядят как компьютер и работают почти как компьютер, хотя технически их нельзя назвать компьютером, пока вы не подключите к ним внешнюю клавиатуру, которая добавит им соответствующую функциональность.• Устройство состояло из двух частей: часов и клавиатурной док-станции. Циферблат Seiko UC-2000 представляет собой жидкокристаллический матричный дисплей с чёрным ободком, а корпус — серый металлик, сочетающийся с браслетом из нержавеющей стали. В нижней части расположены четыре кнопки, окрашенные в оранжевый цвет на внешних концах и серый в середине, которые заменяют заводную головку в качестве механизма настройки. Внешне он невероятно похож на современные смарт-часы.• Когда часы устанавливаются на док-станцию, они превращаются в совершенно гиковскую машину, которая стала бы настоящим украшением витрины коллекционера техники. Это QWERTY-клавиатура с дополнительными кнопками для переключения языка и доступа к различным функциям. С левой стороны находится квадратный вырез, в котором располагаются часы, взаимодействующие с клавиатурой посредством электромагнитов.• Клавиатура достаточно большая, чтобы поместиться в кармане, но не настолько, чтобы носить её на запястье вместе с часами. На самом деле она выглядит комично большой, если носить её в таком виде, но если бы клавиатура была меньше, на ней было бы очень трудно печатать.• Часы показывают время и дату, могут работать как секундомер, а также как будильник, как и большинство других цифровых часов того времени. Но в сочетании с клавиатурой UC-2100 они превращаются в «Информационную систему на запястье», которая может хранить заметки, вести расписание встреч и работать как калькулятор. Вы можете сохранить до 2 заметок по 1000 символов каждая, отсюда и название модели UC-2000. Представляете, какие ограничения были в то время? Целых 2 заметки!!!• А еще была док-станция UC-2200, которая поставляется с принтером (на фото) с катушечной подачей, на случай, если вам понадобится что-то напечатать в дороге. Как вам такие высокие технологии? Так то...➡️ https://www.namokimods.com/smartwatch-from-1984#Разное

Pinterest для AI-картинок. С готовыми промптами. БесплатноНашел meigen.ai.Листаешь как Pinterest. Под каждой картинкой – промпт и название модели. Хочешь такую же себе? Копируешь промпт, вставляешь в свою нейронку, получаешь похожую.Для каруселей, постов, мудбордов – норм находка!https://www.meigen.ai/max tors | контент-движок 🤖

И вот что получилось с гардеробом Эмилии - закинула в чат вещи, которые есть и которые нравятся, попросила составить 20 образов и потом отдельно сделать коллаж и список вещей. Закидывала скрины с ценами, поэтому в конце еще попросила посчитать бюджет.На данный момент это самый быстрый и удобный способ планирования детского гардероба, который я попробовала. Раньше я все это делала руками в презентации, считала сама, планировала образы на разную погоду. Теперь это сделал чат, убрал лишнее, просчитал образы и еще нарисовал это все.До чего техника дошла!

Готовые AI-решения для трейдинга и инвестирования🧑‍💻 1. Бесплатный nansen - OpenBB2. Замена bloomberg - TradingAgents3. Финансовый аналитик от Майкрософт - QLIBВ топ10 по звездам на гитхаб (кстати, их накручивают) в финансовой тематике также попали агенты ресерчеры, поисковики, агент по тех.анализу и тд.Чтобы поставить себе такого - отправляете ссылку на гитхаб репо своему codex/claudecode и просите запустить локально/на сервере.

Нашла тут забавный промт для создания символической заставки на телефон в стиле карт таро. Вот что мне выдал GPT. Промт ⤵️Создай несуществующую карту таро на основе того, что ты знаешь обо мне, я х по гороскопу, мне х лет, в классическом стиле Райдера-Уэйта. Изобрази меня как нарисованную от руки фигуру смелыми, но несовершенными черными чернильными линиями с легкой дрожью и вариативностью, в плоских цветах без теней. Добавь вокруг фигуры тонкие визуальные элементы таро.Добавь текстуру бумаги и эффект печати.Внизу трактовка картыЧто означаетФормат 9:16Если у вас есть собаки или кошки - можно их включить в описание + добавить свое фото и фото животных 🐾Если вы с gpt плотно не общаетесь, то может написать кем работаете, хобби и интересы.Делитесь в комментах вашими картинками 😜

👩‍💻 Spring совет: таймауты RestTemplate лучше настраивать централизованноЕсли в проекте много REST-запросов через RestTemplate, не разбрасывай таймауты по коду.✅ Правильнее сделать конфигурацию через RestTemplateBuilder:- один общий RestTemplate с дефолтными timeout- плюс отдельные клиенты под “медленные” сервисы (через @Qualifier)Так у тебя:- единая точка настройки- меньше багов в проде из-за “вечных” запросов- проще дебажить и менять параметры💡 Особенно полезно в микросервисах, где внешние сервисы могут подвисать.Подписывайся на наш канал в Mакс 🟪

[1/3] System Design. Подготовка к сложному интервью по GenAI (Рубрика #SystemDesign)Изучил интересную книгу для подготовки к интервью по System Design, но уже в новой реальности, когда проектировать надо не только базы, очереди, кэши и микросервисы, но и системы вокруг LLM, diffusion models, RAG, мультимодальных моделей и AI-powered продуктов. Это русское издание книги "Generative AI System Design Interview" из экосистемы ByteByteGo. Авторы - Али Аминиан и Хао Шенг. Али Аминиан уже известен по книге про ML System Design Interview, а здесь фокус смещается с классических ML-систем вроде поиска и рекомендаций на генеративный AI: чатботы, генерацию текста, изображений, видео, RAG и персонализированные AI-сценарии.В обычном System Design Interview кандидат часто рисует распределенную систему: API, балансировщики, базы данных, очереди, кэши, фоновые джобы, мониторинг. В GenAI-интервью все это остается, но появляется еще один слой сложности:- Какие данные нужны;- Какую модель выбрать;- Нужен ли RAG или fine-tuning;- Как измерять качество генерации;- Как бороться с hallucinations;- Как учитывать latency и стоимость инференса;- Как встроить safety-фильтры;- Как собирать feedback loop;- Как мониторить деградацию системы после запуска.Именно поэтому книга полезна не только ML-инженерам. Она хорошо ложится и на backend engineers, и на архитекторов, и на технических руководителей, которым сейчас приходится проектировать AI-фичи не как демо на API, а как часть production-системы.Внутри книги заявлены три главные вещи:1️⃣ Фреймворк из 7 шагов для GenAI System DesignАвторы предлагают не начинать сразу с "берем LLM и векторную базу данных", а последовательно пройти путь от требований до деплоя и мониторинга в проде. Это сильно дисциплинирует мышление, потому что в GenAI-задачах легко перепрыгнуть к модной технологии и забыть про реальные ограничения продукта.2️⃣ 10 практических задач с подробными решениямиСреди кейсов есть следующие: Gmail Smart Compose, Google Translate, ChatGPT-like personal assistant, Image Captioning, Retrieval-Augmented Generation, Realistic Face Generation, High-Resolution Image Synthesis, Text-to-Image Generation, Personalized Headshot Generation и Text-to-Video Generation. Этот набор покрывает разные сценарии и сильно шире, чем просто прикрутить трансформер к чат-боту:)3️⃣ Много диаграмм и end-to-end разборовДля System Design это особенно важно. Хороший ответ на интервью - это не только "какую модель выбрать", но и то, как выглядит система вокруг модели: preprocessing, retrieval, prompt builder, inference service, post-processing, safety layer, logging, monitoring, feedback loop. Мне кажется, главная ценность книги в том, что она показывает: "GenAI-система - это не модель в вакууме".В общем, модель - это конечно ядро, но вокруг него есть данные, права доступа, индексы, промпты, ранжирование, guardrails, UX, стоимость, GPU-инфраструктура, A/B-тесты, метрики качества и эксплуатационные ограничения. И если все это не проектировать осознанно, то на выходе получается не production-система, а красивый прототип с непредсказуемым поведением.Книга полезна как способ обновить представление о System Design в эпоху AI, ведь раньше мы проектировали в основном детерминированный софт: запрос пришел, сервис обработал, база ответила, результат вернулся. Теперь все чаще приходится проектировать системы с вероятностным поведением: модель может ответить хорошо, средне, неверно, опасно, дорого или слишком медленно. Поэтому архитектура должна включать не только масштабирование и отказоустойчивость, но и evaluation, safety, feedback и постоянный контур улучшения.В продолжении более подробный разбор фреймворка в 7 шагов от авторов книги.#SystemDesign #AI #GenAI #Architecture #Engineering #ML #Interview #Software