🎙 Второй выпуск подкаста «За ширмой IT» уже на канале!

Друзья, эксперты Евгений Сулейманов и Михаил Поливаха поговорили о том, что действительно важно для инженера сегодня и завтра:

— зачем разработчику на самом деле нужен open source
— почему спикерство — это не только про сцену и лайки
— что происходит с рынком и при чем тут AI
— как выбирать технологии и выстраивать обучение, если не хочется бегать за каждым трендом

😉 СМОТРЕТЬ НА YOUTUBE

Приятного просмотра и, как всегда, будем рады вашим мыслям в комментариях 👇

🚨 Срочный апдейт по безопасности в Node.js

Node.js выпустил срочный security-релиз, который закрывает опасную уязвимость отказа в обслуживании (DoS). И это хороший повод обратить внимание всем backend-разработчикам, а не только JS-сообществу.

Михаил Поливаха, эксперт сообщества Spring АйО, пояснил в чём проблема и почему она касается в том числе Java разработчиков.

В чем суть проблемы?

В ряде Node.js-приложений сервер мог падать целиком от одного запроса. Без логов. Без обработки ошибок. Без возможности мониторинга причин.

А всё дело в том, что рантайм Node-ы в рамках ассинхронного контекста (Promise или async/await) не контролировал глубокую или даже бесконечную рекурсию и позволял ей положить весь рантайм.

В результате:

🔵ошибка не перехватывалась кодом
🔵не доходила до глобальных обработчиков
🔵сервер падал с ошибкой

Кого это затронуло сильнее всего?

🔵Приложения на React / Next.js
🔵Любые системы с APM (Datadog, New Relic, OpenTelemetry)
🔵Большинство продакшн-Node.js-сервисов по умолчанию

Что сделали разработчики Node.js?

🔵Исправили поведение: теперь ошибка возвращается в код, а не убивает процесс
🔵Выпустили security-релиз для всех актуальных веток
🔵Отдельно подчеркнули, что это больше смягчение, а не гарантия безопасности

Почему это важно для Spring разработчика?

А потому, что контролировать рекурсию на основе входных данных нужно всегда, и Spring Data, например, в своё время фиксила такую дыру у себя тоже в рамках Property Path Traversal.

Главный вывод

Если глубина рекурсии, размер и строение входных структур или объём ресурсов могут контролироваться пользователем — нужно вводить явные ограничения, как это сделала Spring Data.

Это справедливо для Node.js, для Java / Spring, для любых backend-систем.

📌 Помним, что DoS-уязвимости часто рождаются не в бизнес-логике, а на стыке рантайма, инфраструктуры и удобных абстракций.

🔗 Подробнее: https://nodejs.org/en/blog/vulnerability/january-2026-dos-mitigation-async-hooks

🚀 Spring АйО × JPoint: свой трек

В этом году Spring АйО представляет собственный трек на конференции JPoint, Трек будет посвящен разработке на Spring.

Мы открыты к любым идеям, но в первую очередь ищем доклады про Spring и все, что вокруг него:

🟠архитектура и реальные проектные решения
🟠производительность и узкие места
🟠безопасность
🟠тестирование
🟠интеграции и инфраструктура

⚠️ Новое Open Source Решение

Кроме того, на треке Spring АйО состоится первая публичная презентация нового Open Source продукта, посвящённого отладке и глубокому мониторингу приложений на Spring Boot. Автором продукта является один из экспертов Spring АйО сообщества.

В общем, если вы работаете со Spring, разбираете нетривиальные кейсы, экспериментируете с продакшеном или просто хорошо понимаете, как и почему у вас все так устроено — это отличный повод выступить с докладом.

📩 Заявку на участие можно оставить тут: https://spring-aio.ru/2026

#видеозаписи

Открываем новую видеозапись выступления:
Александр Шустанов — Из Postman в код: Connekt и новый взгляд на тестирование API

😉 YouTube | 📺 VK Видео

👩‍💻 Почему Kotlin ломает JPA

Используешь Kotlin с Jakarta Persistence и думаешь, что всё работает? Возможно, до первой неожиданной ошибки. data class, val, final-классы и даже значения по умолчанию — всё это может тайно мешать корректной работе JPA.

Вместе с Торбеном Янссеном в новом переводе от команды Spring АйО разберем скрытые ловушки и показывают, как настроить проект правильно, чтобы не наступить на мину.

📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/987890/

☕️ 23 января 1996 года — день, с которого началась Java как мы ее знаем

Друзья, ровно в этот день вышла первая стабильная версия Java Development Kit 1.0. Не демка и не академический эксперимент, а полноценный набор инструментов для разработчиков: компилятор javac, интерпретатор байткода, VM и стандартная библиотека. Все, чтобы писать, собирать и запускать Java-приложения «из коробки».

Для своего времени это был настоящий прорыв. Код можно было написать один раз и запускать на разных платформах — без необходимости компиляции под разные ABI ОС и разные CPU ISAs. Именно тогда появилась идея, которая позже превратится в мем, а затем — в индустриальный стандарт:

Write Once, Run Anywhere.

Интересно, что Java изначально рождалась не как «удобный язык», а как ответ на вполне конкретные инженерные боли. Как говорил James Gosling в одном из интервью:

“I do not want to have to debug another freaking memory corruption bug.”

Отсюда — управляемая память, строгая модель типов и ставка на безопасность, которая в 90-х выглядела почти радикально.

Несколько любопытных фактов вдогонку:

🛑Изначально Java задумывалась для embedded-устройств, а вовсе не для веба и enterprise. Массовое использование Java в Web — результат эволюции платформы, а не исходный план.

🛑Многие вещи, которые когда-то подавались как Java киллер фичи, со временем либо полностью исчезли из JDK, либо стали устаревшими. Например:
– Java Serialization API
– Java Applets
– Java RMI
– и ряд других технологий, когда-то казавшихся «будущим»

Первая версия JDK была далека от сегодняшней экосистемы, но именно с нее начался путь, который привел нас к современным JVM, Spring, микросервисам, облакам и enterprise-разработке. И удивительно, сколько фундаментальных решений, принятых почти 30 лет назад, до сих пор лежат в основе того, чем мы пользуемся каждый день.

👀 А вы помните, с какой версии Java начали работать вы?

🗓 Еженедельный дайджест №58

Для тех, кто был слишком занят на неделе или просто пропустил некоторые посты, публикуем дайджест!

🍃 Spring АйО

– Проект Panama, собесим Михала Поливаху, Node.js профакапились | Spring АйО Подкаст №47
– JVM ещё жива, но уже бесполезна: как Netflix научился убивать её по GC
– Observability-as-Code в Spring Boot: Контракты и тесты для метрик, логов и трейсов
– Почему Kotlin ломает JPA
– 23 января 1996 года — день, с которого началась Java как мы ее знаем

⭐️ Партнёры

– OpenIDE: Роман Елизаров про AI в разработке ПО, OpenSource и культуру IT
– JPoint: Александр Шустанов — Из Postman в код: Connekt и новый взгляд на тестирование API

😌 @spring_aio

🖥 Паттерны проектирования в Data Engineering, которые необходимо освоить в 2026 году

Настоящая устойчивость систем — в архитектуре. В новом переводе от команды Spring АйО — 8 фундаментальных паттернов проектирования, на которых держатся все современные data engineering-стеки.

Освоив их, вы перестанете тушить пожары и начнёте проектировать платформы, которые выдерживают продакшен.

📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/990336/

🔨 Больше чем Proxy: Istio вместо классического Nginx.

Что делать, когда инфраструктура, сдерживавшая злоумышленников, внезапно начинает мешать легитимным клиентам? В Dodo Payments такой момент наступил в 23:00 в четверг — и стал точкой невозврата.

В новом переводе от команды Spring АйО подробно разберем переход с классического ingress-контроллера на полноценный service mesh. Миграция заняла 11 недель и навсегда изменила подход к платформенной инженерии.

📚 Читать на Хабр: https://habr.com/ru/companies/spring_aio/articles/990674/