Как говорится, я, конечно, не тестер, но могу немного рассказать про них.

Очень много людей, когда спрашивают о вакансиях в ST, уверены, что две самые лёгкие должности — это сценарист и тестировщик (далее буду использовать более привычное мне слово — QA). Но это вообще не так. За сценаристов говорить не буду — думаю, они сами расскажут. А давайте поговорим про QA.

Чем занимаются QA и что от них требуется? Учтите, что сейчас мы говорим про нашу специфику — в зависимости от отрасли, требования и задачи могут сильно различаться. Подтверждаю как счастливый работник финтеха.

Первое — нужна достаточно мощная рабочая станция, чтобы запускать полную сборку. А поверьте, она ест ресурсы очень даже бодро :3
Логично. А что дальше?

Хорошее знание русского языка.
Этот пункт многих сбивает с толку, но важно понимать: QA — это Quality Assurance, человек, который отвечает за качество продукта. А я думаю, вам самим будет неприятно, если тут и там будут вылезать опечатки и ошибки. Мы, например, использовали длинное тире по правилам русского языка ещё до того, как это стало мейнстримом с ИИ.

Внимание.
И нет, это я сейчас не вас отвлекаю — это реально ключевой навык. Умение следить за всем происходящим и ловить даже самые мелкие косяки. Вот вы, например, сможете найти косяк, который запечатлён в приложенном видео?

Умение управлять своим временем.
И это тоже критично. Если вы учитесь и вас вечером отправляют спать — вам будет сложно работать в потоке дедлайнов. Кстати, это одна из причин, почему у нас ограничение 18+ на приём.

Ну и бонусом — знание нашей любимой Java. Это не обязательно, но сильно помогает: когда QA понимает, как работает сцена изнутри, он может находить гораздо более сложные и интересные баги.

Вот как-то так. Догадывались о всех этих моментах или что-то стало для вас открытием?
(почему-то этот пост выглядит как вакансия на HH)

Никогда такого не было — и вот опять: в npm обнаружена supply-chain атака. В этот раз её удалось достаточно быстро обнаружить и устранить (4 часа).
————————————————————————
Сначала важное:

Заражённые пакеты: `axios@1.14.1`, `axios@0.30.4`, `plain-crypto-js@4.2.1`
Артефакты малвари:
macOS: /Library/Caches/com.apple.act.mond
Windows (постоянный): %PROGRAMDATA%\wt.exe
Windows (временный, само-удаляется): %TEMP%\6202033.vbs
Windows (временный, само-удаляется): %TEMP%\6202033.ps1
Linux: /tmp/ld.py

————————————————————————
Что и как происходило (в UTC):
2026-03-30 05:57
Опубликован пакет plain-crypto-js@4.2.0 пользователем nrwise@proton.me. Это "чистый" (безопасный) пакет, содержащий копию оригинального кода crypto-js. Он был создан для того, чтобы создать видимость нормальной истории публикаций пакета, чтобы он не выглядел подозрительно при последующем анализе.

2026-03-30 23:59
Опубликован пакет plain-crypto-js@4.2.1 пользователем nrwise@proton.me. В этот пакет добавлен вредоносный код. В него добавлен хук postinstall, который запускает скрипт setup.js, содержащий замаскированный (обфусцированный) вредоносный компонент.

2026-03-31 00:21
Пакет axios@1.14.1 опубликован скомпрометированной учетной записью jasonsaayman (адрес электронной почты: ifstap@proton.me). Этот пакет добавляет plain-crypto-js@4.2.1 в качестве зависимости во время выполнения, нацеливаясь на пользователей современной версии axios (1.x).

2026-03-31 01:00
Опубликован пакет axios@0.30.4 с той же скомпрометированной учетной записи. В этот пакет также внедрен plain-crypto-js@4.2.1 в качестве зависимости, но он предназначен для более старой версии axios (0.x). Это сделано для охвата большего числа пользователей.

2026-03-31 ~03:15
Пакеты axios@1.14.1 и axios@0.30.4 удалены из реестра npm. Версия 1.14.1 была доступна примерно 2 часа 53 минуты, а версия 0.30.4 - примерно 2 часа 15 минут. Точное время удаления определено по информации из реестра npm, так как npm не предоставляет отдельный API для получения времени удаления конкретной версии.

2026-03-31 03:25
npm начинает процесс блокировки для пакета plain-crypto-js, чтобы заменить вредоносный пакет на безопасный "заглушку" (stub).

2026-03-31 04:26
Опубликован безопасная "заглушка" plain-crypto-js@0.0.1-security.0 от имени учетной записи npm@npmjs.com. Это окончательно заменяет вредоносный пакет в реестре. Пакет plain-crypto-js@4.2.1 был активен примерно 4 часа 27 минут. Теперь при попытке установить любую версию plain-crypto-js отображается предупреждение о безопасности.
————————————————————————
А что вообще это такое и что случилось?

При разработке на Node.js, для управления библиотеками используется пакетный менеджер npm, он позволяет в одну команду установить нужную зависимость и все нужные для неё зависимости. Именно на этот алгоритм и пришла атака.
Некоторым пакетам после скачивания нужно выполнять дополнительные действия, для этого существует механизм postinstall, обычно его используют для вызова компиляции или патчинга текущего/соседних модулей.
Теперь перейдём к axios, это одна из самых популярных библиотек для работы с HTTP(S) протоколом. Что у нас получилось? Разработчик обновляет/устанавливает axios до заражённой версии, он автоматически как зависимость скачивает plain-crypto-js, а тот в своём postinstall запускает скрипт, который устанавливает RCE вирус на рабочую станцию, при этом всё это происходит полностью незаметно для разработчика.

Вот как-то так.

Подробнее: https://www.stepsecurity.io/blog/axios-compromised-on-npm-malicious-versions-drop-remote-access-trojan

Раз в год и я делаю постик про сеть и позицию с ней в стране. Давайте поговорим о новостях насущных.
Взимание платы за VPN и запрет аккредитованным IT компаниям работать через VPN.

Для начала давайте определимся, как вообще понять что человек сидит с VPN, обычно на это указывают совокупности признаков, такие как:
— различие регионального и пользовательского языка (человек с Испанским VPN использует русский интерфейс)
— различие часового пояса (сайты и приложения имеют доступ к вашему часовому поясу, и видят различие если вы сидите UTC+3, а ваша страна в UTC-1)
— протечки WebRTC (протокол p2p связи, отдельная история)

Но какие признаки обычно используются государством для определения использования VPN:
— зарубежный IP
— всё, вы правда думали что будет ещё что-то?

А что тогда это всё обозначает?
1) ВСЕ сетевые запросы на сервера вне РФ облагаются дополнительной тарификацией. А это не только VPN, ваш любимый ютубчик, это сотни и десятки тысяч доменов:
— Скачиваете обновление Windows? Зарубежный трафик, платите за VPN
— Пользуетесь Android или IOS? Платите за зарубежный трафик, ведь сервера уведомлений не стоят в РФ
— Пользуетесь Boosty (или любым другим сервисом использующим иностранные CDN)? Вы уже знаете за что платить

2) И если первое от части понятно, так как законы придумывают те, кто не знает как оно всё работает, то второе уже напрягает сильнее, ведь государство прямым текстом запрещает аккредитованным IT компаниям как либо работать с зарубежными клиентами. А это обозначит что ВСЕ кто аккредитован должны перестать обслуживать всех людей вне РФ. Пока-пока иностранный трафик Яндекса, пока-пока пользователи ВК из Республики Беларусь или Республики Казахстан. И такое касается не только тех кто работает при белых списках, А ВСЕХ КТО АКРЕДИТОВАН, а это тысячи IT компаний.

Когда мы думали что мы идём по сценарию Китая, мы ошибались, мы идём по сценарию КНДР, ведь вы можете зайти на китайский сайт и пользоваться китайским мессенджером, а вот пользоваться Российскими сервисами вне РФ уже запрещают...

Таки приветствую, контент я немного задерживаю, так что давайте немного постримим. Что у нас по планам:

- Играем в ETS2 с прекрасным и экспрессивным человеком который завозит завоз.
- Когда завершим ачивку, будем писать обновление для стражника.

Ну и общаемся попутно, задавайте вопросики, задавайте ответики)

Часть с ETS2 закончилась, ачивка получена, отдыхаем до 23:15 UTC+3 и пойдём писать код и слушать приятную музыку)

Пишем обновление и общаемся, но в этот раз в одиночку вот тут, пробуем как на твиче пойдёт, ибо в тг всё-таки Пашенька ещё не отполировал.

https://www.twitch.tv/sleepless_code

UPD: закончилось, но будет ещё, как вам?

Что же, ручки говорят что если немножко разделить контент план и не хреначить над одной темой, а немного отпускаться в другие, то у меня получится выпускать больше одного поста в неделю)
Так что... Попробуем! Я уже начал себе писать очерки для дополнительных постов помимо основной исследовательской темы сейчас, но также я помню, что многие просили всякие полезности и мини-гайдики по написанию кода. Ну, как говориться, as you want. Но сейчас главный вопрос, а в каком направлении мы пойдём? У меня в стеке два основных языка, Java и TypeScript(JS), так что этот выбор я оставлю вам!

Ну и ну. Решил узнал мнение у аудитории, а аудитория только сильнее запутала :D
Голоса жёстко идут в майн, но при этом сообщения в чате, директ, бота, личку (аж до сюда добрались) хотят и второго. Ну что же....
Будем смотреть и я думаю попробуем совместить, но в пропорции где будет больше Java, и меньше TS. 75 на 25)

Кто я? Хороший вопрос, но сегодня на него два ответа: бессонный и раб тех. долга.
Нет ничего лучше чем закрытие тех. долга за 2 года перед сном, так что, готовьтесь наслаждаться, а возможно и засыпать под мои страдания.

Уже чуть более как обычно, на твиче в 23:30 по МСК: https://www.twitch.tv/sleepless_code

Начинаем)
https://www.twitch.tv/sleepless_code

Я чуть высвободился, перераспределил нагрузку по работе и постам, думал, щас как допишу все драфты, но... А вы и сами видите.

Но кстати судьба намекает мне, что надо всё-таки для вас писать, я потерял аккумулятор от геймпада(

AI довольно сильно развился за последние пару лет. Помните времена, когда, задавая ему вопрос на русском, вы могли наблюдать весёлые игры с падежами и склонениями? А что сейчас? Есть уже не десятки, а тысячи людей, которые воспринимают текстовые (и не только) модели как друзей, напарников или даже партнёров.
Даже если не говорить про полноценный ИИ, Диана из PRAGMATA поднимает рождаемость сильнее, чем добрая часть демографических программ Японии и России.

Давайте попробуем понять, почему вообще так происходит и надо ли что-то с этим делать. Лучший способ понять тему — изучить её с самого начала.

Сначала была Элиза. Дело было в 1966 году. Профессор MIT Джозеф Вейценбаум хотел разработать программу, которая смогла бы пройти тест Тьюринга. Он решил для своего эксперимента использовать программу диалогового формата (чат-бот до того, как это стало мейнстримом, да и до того, как это слово вообще появилось).

Так как мощности тех лет были сильно ограничены, Элизе надо было выбрать роль, которая объясняла бы примитивные фразы и короткие открытые вопросы. Для этого выбрали амплуа верджинского психотерапевта, хотя он и после много раз указывал, что не закладывал идеи создания системы-психотерапевта. У него была одна задача: создать программу, которая убедит её пользователя в своей разумности.

Итоговый результат оказался очень даже хорошим, учитывая год создания. Под капотом Элиза имела речевую модель, которая могла генерировать предложения с использованием ключевых слов — простые предложения, но для 1966 года (да и в массовости до 2020-х) это представлялось чистой магией.

Как она это делала, рассмотрим детальнее в следующих постах этой рубрики. А пока, поделитесь в комментариях, есть ли ИИ или другие цифровые образы, которые пробуждают в вас что-то большее :3

Clompi: Ты. Ключ. Остальное лишнее.

Никаких сборов IP, cookies, кроме одной технической локальной куки для Твоего входа на сайт, никаких email, паролей, телефонов, seed фраз, лишь ключ. Полностью анонимный и зашифрованный сайт, никто не видит что Ты там делаешь, даже Я.

В нём: Личное зашифрованное локальное хранилище с локальным LLM чатом, которое находится в кэше браузера, шифрование ( AES-GSM )

По мимо этого, чат, навигаторы, ассистенты, гиды, сообщество идей и т.д

Я делаю обновления без громких аноснов, всё что есть и будет: Твоё.

Никаких подписок, привилегий, токенов, доплат, лишь ключ разово.

Ты поддержал меня и Я поддержу Тебя.

Ключ навсегда 2000₽, в боте @Clompi_bot

Канал: https://t.me/clompi_ai?erid=2W5zFHKRCoj

Сайт: https://tglink.io/66a294b23e5ce0?erid=2W5zFHKRCoj