Точно-точно, вот прям сегодня и начну

@analyst_exe

Как торговаться за скоуп и не стать врагом заказчика

У друга был проект. Заказчик пришёл с запросом: "небольшой CRM для отдела продаж".

На первой встрече набросали требования. Получилось 47 пунктов.

Заказчик назвал бюджет. Его хватило бы на 15 пунктов. Или на 20, если сильно ужаться.

"Ну давайте всё сделаем, потом посмотрим" – говорит заказчик. Классика.

Друг уже видел, чем это заканчивается. Бессонные ночи, переработки, "а вы же обещали", и в конце – недовольный заказчик, которому "не совсем то сделали".

Пришлось торговаться.

Почему это вообще задача аналитика

Потому что менеджер хочет продать. А заказчик хочет получить реализацию всех пунктов.

Аналитик – единственный, кто видит картину целиком: что реально нужно, что "хотелось бы", и что написали, потому что пришло в голову на встрече.

Если ты просто записываешь требования и передаёшь дальше – ты секретарь, а не аналитик.

Как друг разрешил ситуацию

Разбил на категории. Взял все 47 требований и разложил:

🔸 Must have – без этого система бесполезна (12 пунктов)
🔸 Should have – важно, но можно запуститься без (18 пунктов)
🔸 Could have – было бы круто (11 пунктов)
🔸 Won't have – хотелки на будущее (6 пунктов)

Получается MoSCoW. Но название не важно – важен принцип.

Привязал к боли. Пошёл к заказчику не со списком, а с вопросом:

"Какую проблему мы решаем в первую очередь?"

Оказалось – менеджеры теряют сделки, потому что забывают перезвонить. Вот боль. А остальное – "ну было бы неплохо".

Сразу 20 требований отвалились. Они не решали эту проблему.

Показал trade-offs. Не "это не влезает в бюджет", а:

"Если делаем интеграцию с телефонией сейчас – запуск через 4 месяца. Если откладываем на вторую версию – через 2 месяца уже работаем и собираем обратную связь."

Заказчик сам выбрал быстрый запуск. Это уже не ты режешь скоуп – это он принимает решение.

Зафиксировал письменно.

По итогам обсуждения в MVP входит: ...
В следующую версию планируем: ...

Подпись заказчика. Теперь "а вы же обещали" не работает.

Что в итоге

Запустились через 2.5 месяца с 16 требованиями. Заказчик доволен – проблема с потерянными сделками решена.

Через полгода пришли за второй версией. Половину из отложенных требований выкинули сами – оказалось не нужно.

Друг говорит: если бы сделали всё сразу, потратили бы в 3 раза больше времени на фичи, которые никто не использует.

Выводы
🔸 Приоритизация – твоя работа, не заказчика. Он хочет всё. Твоя задача – помочь выбрать.
🔸 Привязывай к боли. "Это решает вашу проблему?" – главный вопрос.
🔸 Показывай trade-offs, а не говори "нет". Пусть заказчик сам выбирает.
🔸 Фиксируй письменно. Память – штука ненадёжная, особенно когда дедлайн горит.
🔸 MVP – это не "урезанная версия", это "версия, которая решает главную проблему".

Так что умение говорить "давайте выпустим это в следующей версии" – это не слабость. Это профессионализм.

А как вы торгуетесь за скоуп? Получается или заказчики давят?

@analyst_exe

Вчера в комментах к прошлому посту сказали, что нормальные парни работают по FFF (fix time, budget, flex scope -> читай как режем фичи, но делаем дело)

Где-то смеется один синий или зеленый, а может и красный, в общем любой банк 🥲🥲🥲

@analyst_exe

Жить! Держаться! Срочно инъекцию кофя в мозг!

@analyst_exe

Никогда не делайте "техническую интеграцию" и вот почему

Однажды на проекте прилетела задача: "Нужна техническая интеграция с [название системы]". Не попросили — практически приказали. Сроки горят, давайте быстрее.

Что за проект — не скажу. Абсолютно реальная история из МТС.

Мы нашли документацию сами. Потому что её никто не дал. Сделали еле-еле, душа в теле. Отметили галочкой. Положили в ящик.

Через полгода бизнес наконец согласовал финансовые вопросы. Приходят радостные: "Ну, вам же только включить?"

А там не просто вершина айсберга. Там "зачем мы это вообще делали". Проще было начать с нуля.

Что пошло не так

Мы сделали техническую интеграцию. Буквально: связали две системы, данные ходят, ошибок нет.

Но никто не спросил:

🔸 Какой бизнес-процесс это поддерживает?
🔸 Какие данные реально нужны, а какие "на всякий случай"?
🔸 Кто будет пользоваться и как?
🔸 Что изменится в процессах, когда включим?

Мы интегрировали системы. А надо было интегрировать процессы.

За полгода изменилось всё: требования бизнеса, структура данных на той стороне, даже команда, которая это заказывала. А наша "техническая интеграция" осталась памятником тому, что было полгода назад.

Почему так происходит

"Давайте сделаем техническое, пока бизнес согласовывает" — звучит логично. Параллелим работу, экономим время.

На практике:

🔸 Техническое без бизнесового контекста — это код в вакууме
🔸 Требования меняются, пока ждёшь согласований
🔸 "Просто включить" никогда не бывает просто

Интеграция — это не про "данные ходят". Это про "бизнес-процесс работает".

Что стоило сделать

Задать вопросы до начала работы:

🔸 "Какую проблему решаем этой интеграцией?" — если ответ "ну, надо связать системы" — красный флаг
🔸 "Когда планируется запуск в прод?" — если "непонятно" или "когда согласуют" — может, не стоит начинать
🔸 "Что будет, если не сделаем сейчас?" — если ничего страшного — точно не стоит

И главное: интеграция без согласованного бизнес-процесса — это технический долг с первого дня.

Выводы

🔸 "Техническая интеграция" без бизнес-контекста — это не интеграция, это заглушка
🔸 Если бизнес не готов — техника тоже не готова
🔸 Вопрос "зачем?" важнее вопроса "как?"
🔸 Галочка в трекере ≠ готовая фича

Иногда лучший результат работы аналитика — не сделанная задача. Потому что вовремя спросил "а точно надо сейчас?"

А у вас были проекты, которые "сделали заранее", а потом выкинули?

@analyst_exe

Воскресный дайджест

Собрал для вас всё самое полезное за эти несколько недель (мемы сами полистаете). Про интеграции, переговоры, безопасность и выбор технологий.

🔸 Никогда не делайте "техническую интеграцию" и вот почему — https://t.iss.one/analyst_exe/575
🔸 Как торговаться за скоуп и не стать врагом заказчика — https://t.iss.one/analyst_exe/572
🔸 Как работают пароли — https://t.iss.one/analyst_exe/570
🔸 Заказчик не знает что такое НФТ и не должен — https://t.iss.one/analyst_exe/568
🔸 Три дороги к решению: коробка, Open Source или самопис — https://t.iss.one/analyst_exe/565
🔸 Как работает оплата по QR — https://t.iss.one/analyst_exe/563

Всем хорошо отдохнуть перед началом недели!

@analyst_exe

БЕСПЛАТНО ПЕРЕДЕЛАЮ 10 РЕЗЮМЕ

Нужны аналитики и не только, которые сейчас в поиске

Тестирую гипотезу связки билдер+матчер+скринер

Придумал хитрый флоу, нужно обкатать на реальных кейсах

Пришлите свое резюме мне в личку @darkwing_duck101

UPD: Набрал

@analyst_exe

Вчера писал про работу с резюме, и неожиданно откликнулись ребята с канала @yazhanalitik (1.5k+ подписчиков)

Почитал — зацепило. Интересные истории, текущее состояние рынка, короче круто, я раньше не видел такой канал. Думаю, стоит собрать подборку каналов, которые реально стоит читать

Полезно для расширения картины мира. Рекомендую заглянуть 👀

А я пойду дальше разбирать ваши резюмешки, половину уже сделал.

#НЕРЕКЛАМАМНЕЗАЭТОНИКТОНЕПЛАТИЛЯПРОСТОДЕЛАЮДОБРОЕДЕЛО

@analyst_exe

Кто последний в очереди?

@analyst_exe

Ну что господа, час настал, чебурнет все ближе

Cоздаем приватный чат в max?

Проведем честное голосование

👍 - создаем
🤡 - сидим до упора тут, max не торт

я бы не стал. лучше analystexe.ru в полноценный блог превратим

@analyst_exe

Все-все РБК кажется мне ответили.

Тут надо смотреть рекламу

Понял🫡

@analyst_exe

Бл*, Костя, это можно было нормально сделать? Ну чего сложного было кнопку скрыть, ну почему она на dev01 все ещё есть?
А я это сейчас заказчику показывал и обосрался, ну Костя! 10 раз же уже переделывали! 😡😡😡😡
Быстро пошли в созвон! Ещё раз и я иду к менеджеру!

Ой, не туда
Хотя ладно. 14 февраля на носу, а самые крепкие отношения у меня всё равно с Костей. Созвоны каждый день, переписка нон-стоп, «ну давай ещё разочек переделаем» — романтика 💔
С наступающим, аналитики. Берегите своих разрабов, других таких Кость не будет

Да начнутся ГОЛОДНЫЕ ИГРЫ!

@analyst_exe

Вся лента последние дни в огне: телегу блокируют, Max всех заставляют ставить, потом удаляют и так по кругу

Люди ставят одну звезду в сторе, пишут гневные посты, заводят отдельный телефон «для этой дряни». И я понимаю эмоцию. Но пока все воюют с одним мессенджером, хочется спросить: а вы знаете, что ваш оператор связи обязан по закону давать спецслужбам прямой доступ к вашему трафику? Причём с 1996 года?

Знакомьтесь — СОРМ.

Что это вообще такое

СОРМ — Система технических средств для обеспечения Оперативно-Розыскных Мероприятий. Это не приложение, которое можно удалить. Это железо и софт, которые стоят прямо на сети вашего провайдера. Любой оператор связи в России обязан его установить — за свой счёт, между прочим — иначе лишится лицензии.

У СОРМ три поколения, и каждое расширяет охват.

1. СОРМ-1 — прослушка звонков
Появилась ещё в 90-х. Работает как подслушивающее устройство, встроенное прямо в телефонную станцию. Только не жучок в вазе, а сертифицированный модуль в серверной стойке оператора. Сейчас почти не используется в чистом виде — телефония давно не единственный канал связи.

2. СОРМ-2 — перехват интернет-трафика
Вот тут начинается интересное. С начала 2000-х провайдеры обязаны ставить «съёмник» — оборудование, которое фильтрует трафик по идентификатору пользователя. Пульт управления стоит уже в ФСБ. Представьте, что на вашей водопроводной трубе стоит кран, ключ от которого — не у вас и не у сантехника.

3. СОРМ-3 — хранение всего
Это уже про закон Яровой. Операторы обязаны не просто давать доступ к трафику в реальном времени, а хранить его. Звонки, сообщения, интернет-сессии — всё складывается на серверы и лежит там месяцами. Как камера видеонаблюдения, которая не просто показывает картинку охраннику, но ещё и пишет на диск — на случай, если кто-то потом захочет перемотать.

Так что не так с паникой вокруг MAX?
Товарищ майор не вчера на работу вышел. Он бдит с 1996 года — задолго до того, как VK вообще появился. СОРМ стоит на уровне оператора связи: ниже любого приложения, ниже любого мессенджера. Удалить MAX и почувствовать себя в безопасности — это как снять шапочку из фольги, но остаться жить в стеклянном доме.

Это не значит, что критика MAX не по делу. Избыточные разрешения, отсутствие сквозного шифрования, сбор буфера обмена — всё это реальные косяки, и ругать за них правильно. Но если единственное, что вы сделали для своей приватности — удалили одно приложение и написали гневный пост — у меня плохие новости.

Мораль: не путайте фронтенд с инфраструктурой. MAX — это иконка на экране. СОРМ — это железо в серверной вашего провайдера с прямым каналом куда надо. Первое можно снести. Второе — нет.

Товарищ майор передаёт привет и просит не отвлекаться на мессенджеры.

@analyst_exe

Конец эпохи паролей: что придет на смену?

В прошлом посте разобрали, как хранятся пароли. Хеши, соль, перчик, bcrypt – всё красиво. Но есть проблема.

Пароль можно украсть. Фишинг, кейлоггер, утечка с другого сервиса, где ты использовал тот же пароль. И всё – злоумышленник заходит как ты.

Причём существуют целые базы утечек – миллиарды паролей, собранных из взломов разных сервисов. При брутфорсе они перебираются первыми. Если твой пароль когда-то утёк хоть откуда-то – его подберут не за годы, а за секунды.

Мне как-то пришло сообщение в телеге – мол, проголосуйте за девочку. От человека, с которым давно не общался. И так живенько написано. А там вход через телегу, бац-бац – и у тебя нет аккаунта. Ну, у меня стоит облачный пароль, поэтому угнать мой аккаунт не вышло. Но сама схема рабочая – без второго фактора люди теряют аккаунты за секунды.

Поэтому одного пароля уже давно недостаточно.

Что такое 2FA

Двухфакторная аутентификация – два разных доказательства для входа:

🔸 Что-то, что ты знаешь – пароль
🔸 Что-то, что ты имеешь – телефон, ключ, приложение

Даже если пароль утёк, без второго фактора войти не получится.

Варианты второго фактора

SMS-код – самый знакомый. Сервер генерирует код, шлёт через SMS-шлюз, ты вводишь. Просто, но ненадёжно: SIM можно перевыпустить (SIM-свопинг), SMS – перехватить через уязвимость SS7, а код – выманить фишингом в реальном времени. Лучше, чем ничего, но самый слабый вариант. А еще SMS-ки стоят денюжек. Коды на почты, в ТГ аккаунты и другие сервисы – в той же категории.

TOTP – одноразовые коды из приложения (Google Authenticator, Authy, Яндекс.Ключ). При настройке сканируешь QR-код – секретный ключ сохраняется на устройстве. Каждые 30 секунд приложение генерирует новый код из этого ключа и текущего времени. Сервер делает то же самое и сравнивает. Секрет не передаётся по сети после настройки – перехватить нечего.

Push-уведомления – то, что делают банки и, например, Яндекс. Вместо кода получаешь push: "Вы входите с устройства X?" → нажимаешь "Да". Под капотом – асимметричная криптография: устройство подписывает ответ приватным ключом, который никогда не покидает телефон.

Физические ключи и токены – YubiKey, смарт-карты, корпоративные ID-карты. Тот же принцип: приватный ключ зашит в устройство, вытащить его нельзя. Воткнул ключ в USB или приложил карту – подтвердил личность. В корпоративной среде это стандарт уже давно.

Фактор владения побеждает

А теперь интересное. Некоторые сервисы вообще отказались от паролей:

🔸 Telegram – нет пароля по умолчанию. Вход только через код на устройство. Облачный пароль – это опциональный второй фактор. Всё наоборот: владение телефоном – первый фактор, пароль – дополнительная защита
🔸 Microsoft – разрешает удалить пароль из аккаунта целиком, вход через Authenticator или Passkey
🔸 WhatsApp, Signal – только номер + устройство
🔸 Passkeys (Apple, Google, Microsoft) – стандарт FIDO2/WebAuthn. Приватный ключ на устройстве + биометрия. Пароля нет вообще. Фишинг невозможен – ключ привязан к домену

Тренд понятен: фактор владения (телефон, ключ, токен) оказался надёжнее фактора знания (пароль). Пароль можно подобрать, перехватить, выманить. Физическое устройство – нет.

Такое требование, как «поддержка 2FA», может показаться конкретной задачей. Но на самом деле это выбор: какой фактор, какая интеграция, какие риски. И, может, стоит спросить: а нужен ли вообще пароль?

Диаграммы процесса TOTP приложу в комментах для наглядности

А какой второй фактор используете вы? Есть ли сервисы, где вы уже забыли о необходимости вводить пароль? Или вы просто забыли пароль?

@analyst_exe