Организованное программирование | Кирилл Мокевнин

Крах Vibe Coding: как ИИ-помощник едва не уничтожил стартап. Лео Мартинес, 30-летний предприниматель без формального опыта в программировании, сидел в своей квартире в Майами с панорамным видом на город. В его руках была не клавиатура с кодом, а ноутбук с открытым редактором Cursor — ИИ-инструментом, который помогал ему писать код. Так родился VibeFlow — SaaS-платформа, позволяющая создавать сайты, просто описывая их словами. Этот метод, который получил название "vibe coding", завоевал популярность, а Лео делился успехами в соцсетях, набирая тысячи лайков и репостов. Но 17 марта 2025 года его мечта едва не рухнула. Утром Лео, наслаждаясь кофе, заметил поток тревожных уведомлений: ошибки API, превышенные лимиты, пользователи получали премиум-доступ бесплатно. В панике он написал в X (бывший Twitter): "Ребята, меня взломали. Кажется, меня наказывают за ‘vibe coding’." Ответы не заставили себя ждать. Один из пользователей предположил SQL-инъекцию: "Если у тебя в базе появились случайные данные, это может быть SQL-инъекция. Любой может войти под логином ' OR 1+1=2 --." Лео похолодел. Он почти ничего не знал о SQL-инъекциях, но понимал, что безопасность данных пользователей оказалась под угрозой. Без сна и отдыха он пытался исправить ситуацию, следуя подсказкам Cursor и советам комментаторов. Он сбросил API-ключи, вынес их в переменные окружения, добавил аутентификацию. Затем закрыл доступ к API для неавторизованных пользователей и ужесточил CORS-настройки. Но интернет был безжалостен. На Reddit его высмеивали: "Безопасность? Просто доверяй вайбу." Лео сдержал злость и написал: "Я должен был просто молчать. Спасибо тем, кто действительно помогает. Сделаю выводы." Спустя несколько дней Лео нанял эксперта по безопасности, усилил защиту сервиса и принял важное решение — не делиться деталями разработки публично. Vibe coding дал ему возможность создать продукт без знаний программирования, но он же и стал причиной его проблем. Теперь каждый сгенерированный Cursor фрагмент кода казался ему потенциальной уязвимостью. Лео понял: ИИ может ускорить разработку, но без знаний основ безопасности это путь к катастрофе. Его опыт стал предупреждением для всех, кто слишком доверяет технологиям — код, созданный без понимания, может разрушить бизнес так же быстро, как и построить его. Если вы думаете, что я решил потренироваться в написании повестей, то нет, это реальная история чувака, который потеет над своим проектом прямо щас. Я чувствую эти вайбы. Ссылки: Телеграм | Youtube | VK https://x.com/leojr94_/status/1901560276488511759

Пару месяцев назад я рассказывал про то что мы начали активно снимать для ютуба Хекслета. Спустя какое-то количество попыток у нас начало получаться выдавать интересные ролики и одним из них я хочу поделиться: “Почему компании не берут джунов без опыта работы, и что с этим делать?” Это видео длинной почти полтора часа, для ребят, которые хотят понять, что же такое коммерческий опыт. Чо как вам? p.s. И не забудьте скинуть видос знакомым, кто только учится https://www.youtube.com/watch?v=Iq0vqta4uq8&lc=UgxFdDrWJqI8xI2ypKF4AaABAg

В подкасте мы поговорили с Александром Валялкиным, сооснователем и core-разработчиком VictoriaMetrics — одного из самых популярных инструментов для мониторинга, конкурирующего с Prometheus. Разобрали, как программисту стать предпринимателем, обсудили, как создать продукт, который нужен рынку, и где искать первых клиентов. Выпуск — гайд для тех, кто хочет выйти за рамки программирования и построить прибыльный бизнес на своих идеях. https://youtu.be/8xkCykuJwKs Альтернативные площадки ВК Видео | Аудио https://youtu.be/8xkCykuJwKs

Ребят, мы тут снова активно ринулись в производство контента для новичков и продолжающих. Языки, девопс, аналитика, тестирование, интелект и даже 1c. Есть много небольших тем, типа fastapi, асинхронность в питоне, kafka. Если вы хорошо разбираетесь в своей теме и умеете объяснять сложные вещи простыми словами, будем рады сотрудничеству. Я участвую во всех этих движухах на этапе создания программы, проектирования конкретных курсов и частично в реализации курсов. Тут от автора зависит, если хорошо получается, то я постепенно выключаюсь из процесса и дальше уже с командой. Короче можно заодно перенять опыт 🙂 Если вам интересно — откликайтесь или передайте тем, кому это может подойти 💜 Вакансии тут: https://hh.ru/employer/4307094?hhtmFrom=vacancy Лайк, шер, алишер

Как устроен маркетинг. Воронки Давайте с главного. Что такое маркетинг? Правильное сообщение (креатив), правильному человеку (сегмент), в правильное время. Если бы мы идеально знали наших потребителей, то могли бы подсовывать им ровно то, что решит либо их проблему, либо удовлетворит их хотелку за те деньги, которые они готовы отдать. Именно это мы и пытаемся сделать когда говорим про маркетинг. Понять свою целевую аудиторию (ЦА), кто она, где она и как до нее достучаться. Потом выстроить воронки, выбрать каналы продвижения, настроить аналитику на всех этапах и заниматься постоянными оптимизациями после запуска. Про воронки надо сказать отдельно. Мышление воронками это один из ключевых элементов в маркетинге. Не существует такого, что человек посмотрел рекламу и тут же стал клиентом. Он проходит какой-то путь, чтобы добраться до вас. В простейшем случае “посмотрел рекламу => перешел на сайт => оставил заявку/позвонил”. Здесь есть три этапа, на каждом этапе свои конверсии, которые надо смотреть, анализировать и оптимизировать. Но такая прямая воронка работает только на очень теплую аудиторию, то есть ту, которая уже была готова купить ваш продукт и вы вовремя попались под руку. Работать только с такой аудиторией можно, но она сильно ограничена в объеме. Любой проект нацеленный на рост упирается в то, что надо идти дальше. Соответственно расширяются сегменты и вдруг все показатели резко падают, так как мы имеем дело с более холодной аудиторией, которая может и интересуется вашим продуктом, но не находится в состоянии “ищу чтобы купить”. Тогда нужно прорабатывать более сложные воронки, которые не факт что ведут к продаже прямо сейчас, они могут “прогревать” в течении какого-то времени, перед тем как продать. Сюда относятся: телеграм-боты, вебинары, бесплатные пробники, подготовительные курсы и тому подобное, тут много от ниши зависит. Но почти всегда воронка заканчивается оставлением заявки, формой оплаты или звонком, который делает сам клиент. Иначе это не воронка, а хрень какая-то. Разберем конкретный пример. Например Васятка сделал свой курс, но видит, что люди задают много вопросов перед покупкой и у них очень много сомнений. По прямой рекламе почти никто не покупает, но она обходится ему в копеечку. Тогда Васятка решает сделать вводный бесплатный вебинар, где он красиво презентует свой курс. Он готовит такую воронку “страница регистрации на вебинар => подписка на телеграм бота => полезные сообщения которые готовят к вебинару => вебинар => предложение со скидкой => продажи”. Васятка радуется, потому что люди стали покупать. Но есть и обратная сторона, цепочка от начала до конца значительно увеличилась и продажи курса Васятки стали критично зависеть от этой воронки. А любая воронка в конце концов работать перестает. Люди насыщаются, конкуренты обесценивают, мир меняется. Поэтому это бесконечная игра. Но даже если вы сделали воронку, то с какого перепуга на нее попадут люди? И вот тут мы приходим к привлечению клиентов. Об этом в одном из следующих постов. Я думаю про маркетинг еще 2-3 поста и потом перерыв :) p.s. Какие сервисы понадобятся, чтобы реализовать воронку Васятки? (все это не делается руками, даже если вы это можете напрограммировать) Ссылки: Телеграм | Youtube | VK

Вчера в твиттере спросил как кто организует локальный https для своих проектов? Сразу отвечу на вопрос, зачем. Например вебворкеры, oauth, вебхуки и разные другие штуки работают только по https. Во-вторых, это влияет на конфигурацию (генерация ссылок например) и лучше когда продакшен и дев в этом смысле не отличаются. Значит что мы получили. Самый частый вариант mkcert. Эта штука позволяет одной командой сгенерить самоподписные доверенные сертификаты под нужные домены. Действительно удобно, если сертификат нужен доверенный. mkcert -install Created a new local CA 💥 The local CA is now installed in the system trust store! ⚡️ The local CA is now installed in the Firefox trust store (requires browser restart)! 🦊 $ mkcert example.com "*.example.com" example.test localhost 127.0.0.1 ::1 Created a new certificate valid for the following names 📜 - "example.com" - "*.example.com" - "example.test" - "localhost" - "127.0.0.1" - "::1" The certificate is at "./example.com+5.pem" and the key at "./example.com+5-key.pem" Эта штука решает проблему сертификатов, но но решеает проблему конфигурации веб-сервера. Дальше все равно придется гуглить как это подключить к проекту и ставить перед ним например nginx. Другой вариант это туннелирование с помощью ngrok.io, и аналогов. Хороший вариант, заодно позволяет дать доступ к проекту снаружи для взаимодействия с другими системами и тестирования. Большая часть таких утилит работает только если у вас есть интренет, хотя там подсказали https://www.localcan.com/ который умеет и локальный сетап (выглядит кстати круто). Мы кстати, конкретно для хекслета решили просто вести разработку в облаках, я даже на конфе выступал с таким докладом: https://www.youtube.com/watch?v=WVjz0HcAWOs Дальше была куча разного рода устаревших штук (которые не обновляются) + те кто по старинке в рукопашную. Видимо когда-то научились и так продолжают. Ну и последний вариант, которым я пользуюсь уже лет пять, это использование веб-сервера Caddy для локальной разработки. Этот вариант, кстати, возможно самый популярный судя по ответам. Тут все максимально просто, вот пример конфигурации code-basics.com, где за сертификат отвечает ровно одна строчка. https://code-basics.test { # Enable gzip and other compression encode gzip zstd reverse_proxy /vite-dev/* http://127.0.0.1:3036 reverse_proxy http://127.0.0.1:3100 # Automatic HTTPS tls internal } Класс, да? Ничего не надо генерировать. Все делается само. Единственный недостаток, это то, что сетификат не доверенный. Придется в браузере жмякать “все равно зайти” (сафари по дефолту не дает так сделать). p.s. Кстати, вы знаете почему использовать .local для локальной разработки нельзя? Правильно .test Ссылки: Телеграм | Youtube | VK

В этом выпуске мы поговорили с Тагиром Валеевым — Java-чемпионом, разработчиком IDE и статических анализаторов для Java, а также автором книги «100 ошибок Java». Он рассказал о развитии Java, ключевых изменениях в языке и OpenJDK, а также о том, как эти нововведения влияют на разработчиков. Не пропустите инсайты и практические советы для тех, кто хочет глубже разобраться в языке! https://www.youtube.com/watch?v=YGOR8yyGFAU Альтернативные ссылки: ВК Видео | Аудио https://www.youtube.com/watch?v=YGOR8yyGFAU

Шаринг типов между сервером и клиентом Вчера в одном чатике задали вопрос на эту тему:> Вот смотрите, предположим, есть backend на питоне, есть UI на Angular. Оба используют контрактные (согласованные) структуры - бэк отдавая, фронт получая. Как мне подружить эти схемы, что б можно было вести только в одном месте ? Тут у нас какие варианты, давайте по рассуждаем. Первый идеальный. У нас на беке и фронте TS, поэтому проблемы как таковой и нет. Честно говоря, мне настолько понравилось последнее время делать проекты в этом стиле, что я бы в будущем так все проекты и делал. Особенно учитывая наличие великолепной drizzle orm в node.js (просто вау) Второй энтерпрайзный. Описываем отдельную спеку в https://typespec.io/ затем из нее генерим не только типы, но и sdk для работы. Но такой подход тяжелее и больше используется для взаимодействия сервисов друг с другом, чем для клиент-серверного взаимодействия где это может быть оверкилом. Ну и на беке все равно будет связка “свои модели” - “сгенерированные dto” - “маппинги”, то есть рутины все равно достаточно. Третий практичный. В этом варианте мы генерируем TS типы из наших моделей или dto (что правильнее). Как правило для бекенд фреймворков есть готовые либы https://github.com/skryukov/typelizer Если нет, то можно попросить chatgpt написать конвертер. Этот вариант не без изъянов, так как типы не мапятся один в один, то иногда в беке надо явно прописывать фронтендовые типы как строки. В https://code-basics.com выбран именно этот вариант. Четвертый апишный. Генераторы на уровне описания самого апи в беке. То есть пишем апишку, добавляем мету и из нее генерим спеку, дальше из этой спеки можно уже типы для фронта https://drf-yasg.readthedocs.io/en/stable/. Возможно наиболее популярный путь, но такое точно не сработает с подходом аля inertia.js. Четвертый рукпошка. Просто описываем типы независимо от бека и страдаем. Как ни странно, этот вариант не на последнем месте по популярности. p.s. А как делаете вы и нравится ли вам такой подход? Ссылки: Телеграм | Youtube | VK

Коллеги попросили разместить объяву. Если у вас есть те, кто хочет вкатиться в разработку, то грант это офигенный шанс получить обучение бесплатно: В прошлом году мы в Хекслете запустили конкурс грантов: трое человек получили возможность бесплатно учиться 10 месяцев с наставником. Все трое уже работают. Они учились в общих группах, без особых условий, опыта в IT у них раньше не было. В этом году решили повторить. Участвовать может любой новый пользователь Хекслета. Можно быть новичком или уже работать в IT, но, например, хотеть сменить направление. Те, кто не выиграют грант, в обиде не останутся. Мы заморочились и подготовили десятки подарков от партнеров (спасибо им!): билеты на профессиональные конференции, подписки, сертификаты. Подать заявку можно до 7 марта. Если вам актуально или знаете, кому может быть полезно, перешлите ссылку https://special.hexlet.io/grant

Начинаем свое дело. Примеры Наконец-то добрались до мяса, а чем собственно можно заняться, так чтобы это не потребовало вложений или они были минимальны? Но перед началом напомню, что мой фокус это технологии, поэтому и про стартапы мы будем говорить именно в этом ключе. Если вы хотите организовать свою молочную ферму, то тут этого не будет :) Так же мы не будем говорить про свои курсы/консалтинг/агентский бизнес. Это все реально сделать без денег и вывозить на своем личном бренде (который надо таки строить), но это немного другое направление, со своими заморочками. Начнем с вещей, которые без денег (часто больших) не полетят. Например можно забыть про создание маркетплейсов, соцсетей, онлайн банков и практически любых массовых b2c сервисов. И дело здесь даже не в разработке, теоретически разработчики могут это вытянуть сами до определенного уровня, но даже если все делать правильно, оно не заработает только потому что классно сделано. Что можно запустить без вложений? Сразу обозначу, что совсем без вложений не получится. Речь идет о том, что любому проекту нужен толчек и поддержка в виде seo, личного бренда, контент- и serm- маркетинга. Хорошая новость, что все это можно делать без особых денег на этом уровне. == Инструменты для разработчиков Сюда входят какие-то дополнения в разные экосистемы, которые можно продавать, потому что никто так хорошо не делает. Например в rails есть система обработки асинхронных jobs (sidekiq), создатель которой зарабатывает на про версии. Другие чуваки продают систему миграций для Java. Короче максимально технические проекты, глубоко встроенные в экосистемы языков и фреймворков. == Продукты на базе существующих платформ Платформы это доступ к аудитории, то есть шанс вырасти органически. Сюда относятся браузерные расширения, плагины для редакторов или cms типа wordpress. До сих пор актуальна тема с чат-ботами. Ну и конечно же набирает обороты история с ИИ агентами на базе того же openai. Тут возможностей пруд пруди. Или можно пойти другим путем. У платформ часто не хватает каких-то функций, которые были бы полезны, но они это не делают (нет ресурсов обычно). В прошлый раз я говорил про историю с глубокой аналитикой по подпискам внутри платежных сервисов типа cloudpayments. Это до сих пор проблема и приходится мутить самим. == Продукты по модели Open Core Последние годы стала набирать массовые обороты модель open core. Это довольно старая схема, когда базовый продукт дается не только бесплатно, но еще и в открытом виде. Код обычно лежит на гитхабе и сам продукт можно развернуть у себя. При этом, есть платная улучшенная версия или платная поддержка/внедрение. В чем тут фишка? Такие продукты заменяют вам немало маркетинговых усилий. Дело в том, что многие компании (особенно за последние годы) начали задумываться на тему безопасности данных, блокировок и отключений. Рассчитывать на чистые облака нельзя, в любой момент все может накрыться медным тазом. Поэтому лучше завязываться на продукт, который в любой момент можно из saas вариант можно перевезти к себе в инфраструктуру. Примеры: - Нужно передавать события, а zapier капец дорогой? Бери n8n - Нужна возможность быстро херачить админки на реакте? react-admin. Нужно больше фич? Покупай энтерпрайз версию. - Нужен крутой фреймворк на ноде? Бери nestjs и доплачивай за энтерпрайз если ты большой - Нужен мониторинг ошибок? Sentry бесплатен, но плати за энтерпрайз - Ну и просто списком: gitlab, Metabase, PostHog Да, тут много бывает очень сложных и дорогих систем, но еще больше небольших. И все эти проекты имеют открытое ядро и кучу активных участников (бесплатно) на гитхабе Ссылки: Телеграм | Youtube | VK p.s. Большой пост на реддите где разработчики делятся тем как они зарабатывают деньги на таких проектах

Мы поговорили с Алексеем Рыбаком о том, как в Рунете зарождались и развивались высокие нагрузки: от первых новостных сайтов до больших социальных проектов. Выпуск полон практических советов и инсайтов для разработчиков и тимлидов. https://www.youtube.com/watch?v=hU1VOEcU7Ig Альтернативные платформы: ВК Видео | Аудио https://www.youtube.com/watch?v=hU1VOEcU7Ig

На канале "разрабы" вышел подкаст со мной, где я рассказываю про то как я нанимаю разработчиков и не только. Смотрим, радуемся, образовываемся :) https://youtube.com/watch?v=jVjutIlBLLQ