Timeweb.cloud дарит Kubernetes-кластер за 1 руб.

Промо тариф за 1 рубль доступен в локации Санкт-Петербург.

Он включает в себя:
— Полный доступ к интеграциям: внешний балансировщик, сетевые диски, S3 и др.
— Без ограничений внутреннего функционала
— Можно создать до 3 тестовых кластеров и в каждом до 10 воркер-нод.

Но, есть нюанс:

Промо-тариф может завершиться в любой момент. Но мы вас заранее предупредим.

Кому это полезно?
- Если вы учитесь на DevOps и вам нужно рабочее окружение для практики.
- Если вы навайбкодили веб-приложение, и хотите научится его заворачивать в Docker и деплоить на сервера в контейнерах, вместе с базой данных и другими сопутствующими штуками. Warp вам в помощь.

Если вы навайбкодили только фронтенд, без бэкенда, и без баз данных, то советую присмотреться к их Apps. Там можно через GitHub опубликовать свой проект на React.js, Vue.js, Next.js, Angular, Ember, Svelte, всего за 1 рубль в месяц.

🎚️ @vibe_coding_channel
🎚️ @vibe_coding_community

👨‍💻Умение кодить ≠ умение кодить с ИИ

Apiiro опубликовали исследование о том, как использование ИИ-ассистентов влияет на качество кода.

Итоги такие:
– коммитов стало в 3–4 раза больше,
– а уязвимостей — в 10 раз больше.

ИИ реально снижает количество опечаток и синтаксических багов. Но архитектурные проблемы растут: поломки авторизации, утечки ключей, ошибки конфигурации облака.

В одном кейсе обновление заголовка Authorization было внесено не во все сервисы — и это открыло доступ к внутренним эндпоинтам.

Почему так? Потому что умение писать код ≠ умение писать код с ИИ. Ассистенты дают скорость, но если разработчики не умеют правильно их использовать, ошибки становятся критичнее и глубже.

❓ Нужно ли остановить внедрение ИИ в разработку?

Остановить — нет. Направить — да.

Я думаю ключевая проблема здесь — разработчики получили инструмент, к которому не были готовы ни они сами, ни руководство. Ручное ревью — must have. У вас же освободилось время от рутины, так потратьте его на ревью кода, внедрите дополнительное ревью с помощью LLM. Собственно вывод Apiiro такой:

When You Add an AI Coding Assistant, Add an AI AppSec Agent in Parallel

Мне понравилась позиция Кевина Вейла, CPO в OpenAI: «ИИ, который вы используете сегодня, — это худший ИИ, который вы когда-либо будете использовать». Модели становятся лучше каждые несколько месяцев. Поэтому строить продукты и процессы стоит под возможности будущего, а не под ограничения настоящего.

Мой вывод: важно обучать команды работать с ИИ уже сейчас. Понимать, где допустим «чистый вайб», а где нужен «осознанный вайб». Когда технологии сделают очередной скачок — подготовленные команды окажутся в выигрышной позиции.

🎚️ @vibe_coding_channel
🎚️ @vibe_coding_community

🚨В npm произошла крупнейшая supply-chain атака в истории.

Злоумышленники заразили 18 популярных пакетов с общим трафиком 2,6 млрд загрузок в неделю. В список попали chalk, debug, ansi-styles, color-convert, color-name и ещё пачка «цветовых кирпичиков», которые тянет половина JS-экосистемы.

Как провели атаку?

Фишинговое письмо.
Josh Junon (qix) — автор популярных пакетов, получил имейл, якобы от поддержки npm: «Перепройдите 2FA до 10 сентября, иначе аккаунт заблокируем».
Он кликнул по ссылке → credentials ушли злоумышленникам.
Через этот доступ они выложили новые версии пакетов уже с закладкой.

В заражённые версии встроили malware-модуль, который при установке подгружал вредоносный код, а тот, в свою очередь, перехватывал операции с криптокошельками: копируешь адрес — он тихо подменяется на адрес атакующего.

Какая опасность?

Масштаб: речь не про «какой-то obscure пакет», а про базовые кирпичи JS. Их тянут React, Next.js и тысячи других проектов.

Крипто-угроза: если твой сервис взаимодействует с криптой, деньги могли утекать на кошельки атакующих.

Долгосрочный эффект: даже после удаления пакетов заражённые версии могут кэшироваться в CI/CD пайплайнах, зеркалах и локальных зависимостях.

Но если вы не вайб-кодили крипто сервисы, то вам нечего боятся, кроме лишнего кода в билде 😄

🎚️ @vibe_coding_channel
🎚️ @vibe_coding_community