запуск завтра

(продолжение) Самое удивительное то, что можно назвать дату, когда появилась эта корпоративная культура и даже людей, которые её создали. В 1981 году Джек Велч стал главой General Electric. GE, основанная ещё в 19 веке, была тогда одним из главных технологических гигантов. Она связана с возникновением телевидения, электрификацией США и созданием современной микроэлектроники. Путем невиданных ранее сокращений (сортируем сотрудников «по ценности» и каждый год увольняем нижние 10%), жесткого аутсорсинга и других «эффективных мер», Велч в кратчайшие сроки в разы повысил прибыльность, сделав GE одной из самых «успешных» компаний в мире и абсолютной любимицей Wall Street. Все инвесторы захотели в свои компании директора из учеников Велча! Долгосрочный результат немного другой — GE развалилась и доживает производством авиационных двигателей и некоторого другого специализированного оборудования. Это всё ещё очень крупная компания, но она — только тень гиганта прошлого. Эта эпическая история рассказана во множестве книг. Вот в этой, Велчу приписывают разрушение даже не компании, а капитализма в целом. Удивительно, как важны идеи и цели, которые мы перед собой ставим, дальше всё раскладывается как по полочкам.

В околотехнической тусовке уже несколько лет обсуждают, что качество Гугл-поиска снизилось: постоянно натыкаешься на SEO-оптимизированный спам вместо нормальный статей и сайтов. Я к этому приспособился так: добавляю в поисковую строку reddit.com или stackoverflow.com, чтобы читать живых людей и спрашиваю chatGPT, чтобы не продираться через рекламу. Федя вон вообще, как и многие технари, перешел на модный платный поисковик (!) Kagi (5-10$ в месяц). Внутренняя переписка Гугла о том, как меняется поиск из-за денег, ставшая доступной благодаря антимонопольному судебному процессу — документ эпохи. Три главных действующих лица: 1. Сундар Пачай: ныне CEO Гугла, а в прошлом — консультант МакКинзи. 2. Прабхакар Рагхаван: в прошлом — крупный ученый в области поиска, написал фундаментальные книги в этой области; после академии дозакопал поиск Yahoo (принял с 30% рынка, через 5 лет Yahoo отказался от своего поискового движка и лицензировал Bing) и отвечал за рекламу в Гугле, до того, как начать отвечать за поиск. 3. Бен Гомес: инженер, который больше 20 лет работал над поисковым движком Гугла, недолгое время (сейчас поймете почему недолгое) был «царем поиска» в компании. (Переписка происходит на жестком корпоративном жаргоне, для удобства читателя дается перевод) - «У нас падает рекламная выручка, а еще падает число поисковых запросов, нужно срочно повысить эти показатели!» - «Так давайте сделаем поиск хуже, люди будут больше искать!» - «Вы что, ебнулись?» - «Давай, досвиданья, ничего не понимаешь в менеджменте». Статья называется «Человек, который убил гугл». Мне кажется, что проблема всё-таки не в конкретном менеджере гугла, а в культуре, в которой краткосрочные улучшения метрик ставятся впереди реальной пользы людям. Просто гугл закончил превращение из стартапа в «классическую американскую корпорацию».

​​Figma красиво рассказывает, как они масштабируют свою базу данных (горизонтальное шардирование Postgres). Всего 4 года назад они хвастались, что все данные помещаются в одной БД на самой жирной тачке в AWS и выросли с тех пор в 100 раз. Во-первых, прикольно читать, как устроен сервис, которым пользуешься почти каждый день. Во-вторых, в «internet-scale компаниях», мне кажется, засилие MySQL, так что приятно, когда делятся серьезными инсталляциями Postgres, который предпочитаем мы и большинство наших знакомых. Вспомню ещё две другие, довольно старые истории про масштабирование баз данных: 1. Вот техническая команда инстаграма в 2012 году дает прикольные советы и рассказывает про шардирование постгреса. Заметьте, совсем другой вайб — не огромный лонгрид, а короткие заметки «с чем столкнулись и что сделали». 2. Культовая статья Uber 2016го года, которая называется «Почему мы переехали с MySQL на Postgres». Прикол в том, что название не отражает сути: они отказались от реляционной БД и сделали свою собственную СУБД на основе MySQL — срачи про это не утихают до сих пор, вот последнее обсуждение 2021 года и набор ссылок на предыдущие. Вот неплохой список подходов к масштабированию БД, пускай они и не нужны в 99% проектов.

Роскомнадзор начал блокировать индивидуальные Outline VPN серверы. Пока это происходит только через некоторых провайдеров и только у части пользователей, но ситуация тревожная. Речь о серверах, которыми пользуются десятки человек — их адреса нигде в публичном пространстве не светятся, а используемый протокол Shadowsocks мимикрирует под обычный веб-трафик — его вообще-то придумали китайские хакеры для обхода великого китайского файрвола. То есть Роскомнадзор из кучки бюрократов-клоунов превращается в серьезного технического оппонента. Пока что я наблюдаю такие блокировки VPN только у части провайдеров (то есть через мобильный интернет в VPN не подключишься, а через стационарный нормально) и только на части серверов (есть гипотеза, что РКН делает вывод о работе VPN на основе паттернов объема трафика), но если РКН сможет смасштабировать эту историю на всю страну — то потребуются новые технические решения даже для личного доступа к большому интернету. Пока что моя рекомендация про личный VPN остается прежней. Китайская модель интернета — прямо на наших глазах.

Про подкаст: мы начали работу над новым сезоном, планируем и нарративные и разговорные эпизоды. Пока не готовы назвать сроки, но есть идеи, что сделать в межсезонье, так что stay tuned. Отзывы и предложения присылайте в чат @zapuskzavtra или приватно через бота @zapuskzavtrabot. Соскучился.

Рассказываем, как перезапускали разработку медицинской информационной системы (МИС) для сети клиник «Чайка». МИС — ядро современного медицинского бизнеса. Внутри — классическая история: за годы развития продукта, техническая команда оказалась погребена под сложностью проекта и то, что раньше занимало дни, теперь тянулось месяцами. Нас позвали ускорить разработку этой системы. В какой-то момент мы зареклись браться за проекты по ускорению разработки — очень сложно масштабировать эту услугу как бизнес. В этот раз испробовали новый подход: вместо чистого консалтинга, пришли с небольшой собственной командой и своими руками реализовали ключевые элементы новой архитектуры — не рассказали, но показали и внедрили новые идеи. Сложный и большой проект: мы придумали новую архитектуру для бизнес-критичного приложения в сложной доменной области и успешно запустили новые и перезапустили некоторые старые модули системы без остановки производства. К сожалению, довести проект до конца не получилось — помешала война. Тем не менее, основная идея, кажется, сработала — результаты появились гораздо быстрее и эту работу проще делегировать на нашу команду, чем чистый консалтинг. В статье хвастаемся тем, что получилось и без утайки делимся, где ошиблись. А ещё внутри супер красивые интерфейсы современной медицинской системы. Инжой! Хотите ускорить свою команду разработки или просто запустить новый продукт? — пишите мне в личку @samatg, мы ищем клиентов!

Хакеры почти взломали все компьютеры на планете, но мир спас чувак, которого напрягли лишние полсекунды задержки в работе программы. Эксперты по безопасности уже много лет пугают нас так называемыми supply chain attacks — то есть атаками «через поставщиков». Например, хакеры могут сначала взломать производителя ноутбуков, подсадить в них «троянского коня» на заводе и получить доступ уже к нам — конечным пользователям этих устройств. Чуть менее масштабные атаки такого рода становятся известны каждые несколько лет. Это ад безопасника (и параноика), потому что такие атаки сложнее всего отследить. В 1984 году создателю языка Си Кену Томпсону вручили премию Тьюринга — аналог Нобелевки в IT. Темой своей праздничной лекции Томпсон выбрал как раз вопрос доверия: «можно ли в принципе убедиться, что наши устройства делают только то, о чем мы их попросили»? А ещё такие атаки являются оружием массового поражения. Отравив один колодец, можно нанести вред тысячам людей. В мире достаточно много библиотек, которые встроены в подавляющее большинство программ и работают почти на всех компьютерах на планете. Малоизвестные в не-технической среде факт: многие эти «базовые» библиотеки поддерживаются энтузиастами-одиночками (про это даже есть специальный комикс xkcd). Но это всё — занятные теоретические рассуждения, то, о чем техдиры и безопасники любят поболтать в приятной компании. Меж тем, оказывается, мы уже два года живем в реальности, где анонимный хакер поддерживает супер популярную библиотеку xz, которая используется почти в каждом сервера на планете, стал её официальным мейнтенером (ответственным) и подсунул всем паленую версию, которая при определенных условиях, во время установки вставляет в систему троянского коня, который дает атакующему возможность удаленного управления зараженным сервером. Это точно не случайная ошибка, хакер использовал многочисленные техники обфускации (скрытия) следов своих действий. Обнаружили уязвимость почти случайно — атакующий ошибся и зараженная версия программы в определенных условиях работала на полсекунды дольше, чем незараженная. В этот раз нам повезло, что программист из Microsoft это заметил и полез разбираться в причинах. В этот раз нам повезло — паленая версия библиотеки успела пролезть только в самые последние версии Linux-дистрибутивов, (большинство взрослых ребят предпочитают настоявшийся код). Или не повезло? Откуда мы знаем, сколько ещё подобных атак было произведено? Что, если другие атакующие не допустили такой ошибки? Кстати, кто они? Учитывая, что псевдоним хакера Jia Tan и он вносил правки в китайский дистрибутив линукса — он наверное китаец. Или это русские (или израильтяне? или американцы?) научились нормально подделывать следы? Это вообще коммерческая атака или государство? Мы не знаем. В любом случае, пугает то, насколько это дешевая атака. Думаю, на стоимость одного танка (или подводной лодки, которые строят картели) можно профинансировать десяток таких программ. Мы живем в очень хрупком мире. Даже дух захватывает, как мы все ещё живы. — Для технарей: Оригинал публичного письма автора, обнаружившего уязвимость — отличный баг репорт, читается как короткий рассказ Чехова (и твит, в котором он поделился им с миром). Короткий пост создателя xz — он был в отпуске от интернета, но по такому поводу вернулся и уже разбирается в ситуации. Хороший технический FAQ: технический разбор атаки, инструкции как проверить, что ваша машина уязвима (и как обновиться) и ещё много всего.