惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

Application and Cybersecurity Blog
Application and Cybersecurity Blog
A
About on SuperTechFans
S
SegmentFault 最新的问题
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Help Net Security
Help Net Security
有赞技术团队
有赞技术团队
博客园 - 【当耐特】
O
OpenAI News
美团技术团队
月光博客
月光博客
Apple Machine Learning Research
Apple Machine Learning Research
Schneier on Security
Schneier on Security
Webroot Blog
Webroot Blog
Cyberwarzone
Cyberwarzone
Hacker News - Newest:
Hacker News - Newest: "LLM"
Google Online Security Blog
Google Online Security Blog
T
Tenable Blog
S
Security Affairs
博客园_首页
S
Schneier on Security
Security Latest
Security Latest
T
Threat Research - Cisco Blogs
T
Tailwind CSS Blog
大猫的无限游戏
大猫的无限游戏
Spread Privacy
Spread Privacy
量子位
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
K
Kaspersky official blog
Hugging Face - Blog
Hugging Face - Blog
TaoSecurity Blog
TaoSecurity Blog
博客园 - 聂微东
Vercel News
Vercel News
M
MIT News - Artificial intelligence
T
Troy Hunt's Blog
B
Blog
MongoDB | Blog
MongoDB | Blog
Martin Fowler
Martin Fowler
Attack and Defense Labs
Attack and Defense Labs
L
LINUX DO - 最新话题
D
DataBreaches.Net
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Stack Overflow Blog
Stack Overflow Blog
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
博客园 - Franky
W
WeLiveSecurity
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
F
Fortinet All Blogs
www.infosecurity-magazine.com
www.infosecurity-magazine.com
C
Check Point Blog
H
Hacker News: Front Page

Все публикации подряд на Хабре

Ловим музу за клавиатуру: как айтишнику стать автором Что умеет Midjourney в 2026? Мой немного грустный разбор этого шикарного инструмента Никто не любит писать тесты, но ИИ может исправить это IPv8 выглядит как мечта. Поэтому почти наверняка не взлетит Производители вернули в продажу материнки с DDR3. Что происходит? Управление агентом с телефона через Telegram теперь в KodaCode От координации к лидерству: как меняется роль руководителя разработки Я сделала родителям бизнес вместо пенсии: зарабатываем 70 тысяч, мама не даёт продать В три раза быстрее приемка товара и оптимизация трудозатрат на 73%: как «РСТ-Инвент» помог Gulliver Group ИИ-шечный мир победил? О влиянии искусственного интеллекта на игропром Кремль снижает давление на Телеграмм пока Европа строит интернет по паспорту Как CEO, CTO и CIO за 8 часов собрали ИИ-директора, который умеет держать позицию под давлением Как (не) потерять домен за выходные Вместо 8 разных VPS: как я организовал практику студентам на одном сервере Почему твой Open Source проект не замечают? R&D: искусство управления неопределенностью в разработке AI-дефляция: вакансий для разработчиков больше, а рост зарплат — худший за 15 лет Мы отдали управление роботами OpenClaw. Что из этого вышло Галактический ID: система идентификации для всех форм разумной жизни Шесть основ бизнес-анализа: начинаем с вопроса «Кто в игре?» Код-ревью, в котором дело не в коде Данные переехали. Команда — нет Системной подход к сдаче OSWE в 2025 Почему комната управления реактором покрашена в цвет морской пены 4 YAML-файла вместо PySpark: как аналитикам строить пайплайны без разработчиков LLM-агент для поиска свободных доменов: автоматизируем подбор Когда, зачем и как правильно начинать новую сессию в Claude Code? Как я заставил нейросеть писать макросы для FreeCAD Анатомия ИИ‑агента для подбора персонала. От тысячи резюме к топ‑10 за минуты Опыт разработчика как экономика внимания Автономность как точка невозврата: кто будет субъектом в цифровом будущем Обучение ИИ в «диких» условиях: как рутинные действия превращаются в датасеты Как измерить LLM для задач кибербеза: обзор открытых бенчмарков Где хранить код? Сравнение GitHub, GitLab и Bitbucket Математика объясняет, почему нормальное распределение встречается повсюду Почему ваш FinOps не работает: 12 тезисов от практиков Как подписать проектную документацию УКЭП с использованием бесплатных лицензий Pilot Адаптивное администрирование Sigla Vision Я грузил уран в бочки, а потом 20 лет строил ИТ в атомной отрасли Чем позвонить с Эвереста? История и обзор спутниковой связи. Часть 2 Как языковая модель помогает контролировать качество инструктажей по охране труда в металлургии Как не передать на desktop свой IP в РКН Анатомия SAP Privileges: как устроено управление правами в macOS MoneyDev: Сказка про три главных слова Обновлённый токенизатор видео K-VAE 2.0 от Сбера Как сделать диспетчеризацию дома на 1284 квартиры почти бесплатно Как мы разогнали железную дорогу Мы дали агентам рутину. Теперь надо решить — что делать с освободившимся временем Токсичный контент, промпт-хакинг и защита ИИ — всё о Guardrails для LLM Умный город начинается с точного взгляда: как «Фалькон Тех» меняет пространство к лучшему Навайбкодил приложение для анализа графов Почему Дюну так интересно читать? Упрощаем работу с рутиной или как стать Гендальфом Белым Деконструкция Go: CPU, RAM и что там происходит. Go Assembler база. Часть 1.1 Какие профессии исчезнут из-за ИИ, а какие появятся? И что с этим делать Как мы построили IT-отдел, где хочется расти: архитектурные встречи, прозрачные метрики и книжные подарки Rufler: Делаем из Claude Code автономный рой через один YAML-конфиг Sing-box и белый список приложений Как построить надёжный обмен сообщениями в микросервисах: лучшие практики для enterprise OpenAI строит MLM-пирамиду, а McKinsey и Accenture помогают ей в этом Дом, который не построил Фишер (Часть 2) «Сверхзвуковой математик» против «Вдумчивого логиста»: битва алгоритмов 3D-упаковки Мультимодальные модели – грубый и дорогой инструмент Разговоры ничего не стоят. Код тоже Проверки физических лиц: с кого начнет ФНС Топ-10 бесплатных нейросетей для создания видео в 2026 году Первые слои кода: как наши решения сегодня определяют архитектуру ИИ на десятилетия Разработка нового статического анализатора: PVS-Studio JavaScript Поиск уязвимостей ПО: базовый минимум или роскошный максимум Почему оценка персонала не работает как инструмент управления Как мы разработали ИИ-ассистента и сократили рутину продуктовой команды на 50% Как я ушел из найма, нажарил косточек и продал на маркетплейсах на 168 млн в год Когда 1С:ERP уже внедрена, а нормального производственного плана всё ещё нет Как я сделал Claude мультимодальным, подключив к нему Qwen Omni Как приглашение на вакансию мечты превращается в атаку Infrastructure as Code: философия и лучшие практики IaC Тестируем Yandex Code Assistant на задаче, в которой нужно хранить секреты nxs-universal-chart v3.0: новое поколение универсального Helm-чарта Callback Injection: Техника, которая отправила Microsoft Defender в глухой нокаут «Все идеи на стол»: митап как способ вывести проект из тупика Сегодня я узнал нечто новое о GPU благодаря багу в своей игре Как заставить LLM ̶ ̶г̶а̶л̶л̶ю̶ ̶ эволюционировать Карта событий как фундамент аналитики: практический кейс для E-commerce Что выбрать для AI: x86, ARM или RISC-V? Дайджест железа за март Роль соматических мутаций в развитии аутоиммунных заболеваний: путь к избирательной терапии Mythos от Anthropic — тревожный сигнал для всех, а не только для банков Guardrails для LLM на Java: как приручить промпт‑инъекции и токсичные ответы Green-VLA: как мы собрали VLA-модель для реального антропоморфного робота и не потеряли обобщение Финансовая гонка вооружений: почему умные люди добровольно в ней участвуют Эра ИИ-агентов наступила: выбираем лучшего цифрового сотрудника # Практический опыт внедрения WinCC Redundancy на производственном предприятии Сделал MVP за 3 дня, а потом неделю прикручивал оплату. Оно того стоило? Физика против Маска: почему Starship V3 может оказаться ещё одной катастрофой Нефть Венесуэлы: крупнейшие запасы в мире, но не крупнейшая нефтяная держава JPA 4. Переосмысление Hibernate Почему зеркальная фотокамера Nikon D5 десятилетней давности идеально подошла для миссии «Артемида-2» Проект «Уровень-Спутник» или как мы сделали платформу для гидрологов «Замедлиться, чтобы ускориться»: почему ИИ повышает цену ошибок в требованиях и архитектуре Как с нуля поднять трафик IT-компании на 1657% при бюджете 55 тыс. и выжить Pixel-perfect Downsampling — идеальная отрисовка 50 миллионов точек без потерь
Postgresso 4 (89)
Лёвшин Игорь · 2026-06-11 · via Все публикации подряд на Хабре

19 мин

3K

Бета

PostgreSQL: PostgreSQL 19 Beta 1

Официальный релиз запланировали на сентябрь/октябрь. Вот что старейшины решили выделить в описании релиза 19-й версии:

Производительность

  • PostgreSQL 19 усовершенствует асинхронную подсистему ввода-вывода, представленную в PostgreSQL 18: io_method=worker теперь автоматически масштабирует количество рабочих процессов ввода-вывода на основе новых параметров io_min_workers и io_max_workers.

  • Расширение pg_plan_advice позволяет пользователям стабилизировать и контролировать решения планировщика, а pg_stash_advice - автоматически применять рекомендации, используя идентификаторы запросов.

  • Autovacuum теперь может использовать параллельные рабочие процессы, которые можно настраивать с помощью нового параметра autovacuum_max_parallel_workers, а новая система оценки autovacuum помогает расставлять приоритеты таблиц при их вакуумировании. Кроме того теперь PostgreSQL помечает страницы как видимые, когда их запрашивают.

  • Добавлена новая команда REPACK и ее неблокирующая опция CONCURRENTLY, которые позволяют перестраивать таблицы с меньшими операционными накладными расходами.

  • PostgreSQL 19 увеличил производительность в 2 раза на INSERT при проверках внешних ключей. Также: новые оптимизации anti-join, более широкое использование инкрементных сортировок, "жадную" (eager) агрегацию, быстрое чтение из хранилища во время параллельных последовательных сканирований, упрощение IS DISTINCT FROM и IS NOT DISTINCT FROM до простых операторов <> и =, когда входные данные не могут быть NULL. Также есть улучшения для масштабируемости LISTEN/NOTIFY, которые влияют на многоканальные рабочие нагрузки.

Удобства для разработчиков

  • На первое место в этом разделе поставили поддержку SQL/PGQ. Логично, такого ещё не было. Это не просто часть стандарта SQL:2023 ISO, это возможности удобной работы с графами, так актуальные во времена ИИ и анализа соцсетей. Об этом, например, здесь.

  • Дальше - новые возможности темпоральных запросов: добавили поддержку UPDATE и DELETE для конструкции FOR PORTION OF.

  • Добавили ALTER TABLE ... MERGE PARTITIONS и ALTER TABLE ... SPLIT PARTITIONS для упрощения реорганизации секционированных таблиц на месте. Появилась поддержка возврата строк, конфликтующих во время операции upsert, с помощью INSERT ... ON CONFLICT DO SELECT ... RETURNING.

  • Новый синтаксис GROUP BY ALL упрощает добавление всех неагрегируемых и неоконных (non-aggregate and non-window) выходных столбцов в качестве части группировки.

  • Для работы с jsonpath добавили функции lower(), upper(), initcap(), replace(), split_part() и семейство функций trim().

  • Новая команда WAIT FOR LSN упрощает использование паттернов запросов типа "чтение своих записей" (read-your-writes) при работе с репликами: сеанс сможет ждать, пока изменения до определенной позиции в логе (LSN) не будут воспроизведены на реплике, а уже потом выполнять запрос SELECT.

  • Добавили новые SQL-функции для получения DDL, необходимых для воссоздания ролей, табличных пространств и баз данных, что упрощает написание скриптов и миграций.

  • Функция random() теперь работает с типами date и timestamp, а PL/Python теперь поддерживает событийные триггеры.

Безопасность

  • С серверной поддержкой Server Name Indication (SNI) через новый файл pg_hosts.conf сервер PostgreSQL может предоставлять разные TLS-сертификаты в зависимости от запрошенного клиентом имени хоста.

Мониторинг и прозрачность (так я, не настаивая, предлагаю переводить observability)

  • Статистику по типам блокировок можно увидеть в представлении pg_stat_lock, а детали операций восстановления в pg_stat_recovery. Столбец stats_reset теперь доступен во многих представлениях статистики, он показывает, когда счетчики были очищены в последний раз. Представления pg_stat_progress_vacuum и pg_stat_progress_analyze теперь включают столбец started_by, а pg_stat_progress_vacuum - столбец mode.

  • Можно указывать уровни log_min_messages для каждого типа процесса. Количество байтов, записанных в виде полных страниц WAL, теперь выводится в лог VACUUM и ANALYZE, а EXPLAIN ANALYZE теперь показывает статистику асинхронного ввода-вывода (AIO) через опцию IO.

Логическая репликация и федерализация запросов

  • Логическая репликация научилась реплицировать последовательности. Новый синтаксис CREATE PUBLICATION ... EXCEPT позволяет публиковать все таблицы в базе данных, кроме указанного набора, а CREATE SUBSCRIPTION ... SERVER позволяет определять подписки с использованием стороннего сервера (foreign server), упрощая управление учетными данными.

  • Логическую репликацию теперь можно включать без перезапуска сервера - по мере необходимости, даже если параметр wal_level установлен в значение replica.

  • Новый параметр effective_wal_level (доступный только для чтения) сообщает о текущем действующем уровне WAL - можно заранее не фиксировать более высокий уровень WAL для кластеров, который он может потребоваться лишь эпизодически.

  • В postgres_fdw : вынос операций с массивами на удалённый сервер (pushdown), использование статистики с внешних таблиц для поддержки более качественного локального планирования запросов.

Ещё новое:

  • Организационное: период бета-тестирования отныне включает временный режим grease mode (режим «смазки») для проверки проблем совместимости протокола в более широкой экосистеме. Об этом сделали специальную страничку в Postgres-wiki.

  • Можно включать и отключать контрольные суммы без перезапуска или реинициализации кластера.

  • JIT (Just-in-time компиляция) теперь отключена по умолчанию.

  • Параметр default_toast_compression по умолчанию теперь установлен в lz4.

  • Поддержка аутентификации RADIUS удалена.

  • Команда vacuumdb --analyze-only по умолчанию теперь анализирует секционированные таблицы.

Полный список новых и изменённых функций см. в примечаниях к релизу и другие ресурсы:

Бета. Статьи.

Обзоры Павла Лузанова

Цикл статей-обзоров изменений 19 версии на основе коммитфестов. PostgreSQL 19: Часть 4 или Коммитфест 2026-01, а также 2025-11, 2025-09, 2025-07.

И не только

Среди других статей о новшествах версии есть такая:

Two Hundred and Twelve Things

Пишет Кристоф Питтус (Christophe Pettus) в собственном блоге The Build собственной консалтинговой компании с тем же названием. Его угол зрения - из коморки DBA. То, что наиболее важно для его работы. Поэтому о, скажем, графах он не пишет. Вот его топ для админов:

  • Worker-managed AIO - пул потоков асинхронного I/O теперь масштабируется автоматически (io_min_workers, io_max_workers и др.) - настроил и забыл.

  • LEFT JOIN → ANTI JOIN - планировщик чаще переписывает LEFT JOIN ... WHERE col IS NULL как анти-джойн - дешевле выполнение, особенно на больших таблицах.

  • pgstattuple с потоковым чтением - диагностика состояния таблиц стала быстрее за счёт использования AIO/prefetch - можно запускать в рабочее время.

  • Переход на стандарт C11 для сборки - важен для мейнтейнеров расширений. И об этом не пишет практически никто. А Кристоф посвятил пусть маленькую, но отдельную главку в статье. Итак: C11 полностью поддерживается всеми современными ОС (актуальные дистрибутивы Linux, macOS, BSD, а также RHEL 8 и новее). А вот на устаревших корпоративных дистрибутивах с компиляторами 2015 года и старше, в кастомных средах сборки для встраиваемых (embedded) систем, в сторонних (out-of-tree) расширениях, могут быть жестко прописаны флаги std=c99 в Makefile. Проверьте свои флаги сборки прямо сейчас, - советует Кристоф, - ибо лучше обнаружить эту проблему в мае, а не в октябре, когда вы уже пытаетесь запустить апгрейд на PG19.

PostgreSQL 19: Features I'm Excited About

Автор, Тяньчжоу (Tianzhou Chen, сооснователь и гендир шанхайской компании Bytebase, живёт, впрочем, в Долине) даёт свой список воодушевивших его новшеств. И он не повторяет буквально список в описании релиза. В нём, например, есть важное отличие: он пишет о фиче, чрезвычайно важной для российских разработчиков: о 64-битных идентификаторах. Как известно, в России много баз с огромной нагрузкой, которая привела бы к быстрому апокалипсису под красивым названием Wraparound. Российские производители версий Postgres сами приделывают 64-битные идентификаторы, но это не значит, что решение этой проблемы сообществом их уже не интересует. Наоборот. Пока там прошли только идентификаторы в MultiXact, но этот вопрос не заброшен, сражения архитекторов Postgres продолжаются. Итак, список:

  • pg_plan_advice + pg_stash_advice,

  • pg_get_*_ddl(),

  • REPACK CONCURRENTLY,

  • онлайн-включение контрольных сумм,

  • pg_stat_lock, pg_stat_recovery,

  • Синхронизация последовательностей в логической репликации,

  • 64-битные MultiXact,

  • Параллельный автовакуум.

Вот, кстати, недавняя статья о MultiXact.

Postgres as a Job Queue: The MultiXact SLRU Problem

Пишет Рич Йен (Rich Yen, инженер-сеньор в Microsoft). Копает глубоко. Почему использование PostgreSQL как очереди задач (SELECT ... FOR UPDATE SKIP LOCKED) ломается при высокой конкуренции: в механизме MultiXact SLRU при множестве параллельных блокировок одной строки инфраструктура локов не выдерживает. Возникает затор. Хотя дело не только в этом.

Мажорные релизы. Нейминг.

"Вот что я подумал: Postgres 9.6 у меня ассоциировался с 2016, и цифра «6» в конце и номера версии, и года всегда помогала мне запомнить год релиза. А запоминание важно, когда работаешь со множеством баз данных на разных версиях Postgres - это даёт понимание, насколько версия старая. И за последние 10 лет цикл релизов довольно стабилен: примерно одна мажорная версия в год. Поэтому, если бы следующая версия называлась 26 вместо 19, а следующая за ней - 27, было бы проще понять, насколько эта версия актуальна.

Ваш Nik.

То есть Николай Самохвалов (Nikolay Samokhvalov, postgres.ai). Пока идея всем (не очень известным) очень нравится.

UPD: откликнулся Том Лейн (Tom Lane): Geez, I thought we were permanently done with what-shall-we-call- the-next-release threads after we dropped three-part version numbers:

«Боже, я думал, что после отказа от трёхчастных номеров версий мы навсегда покончили с тредами в духе “как же назвать следующий релиз”.

Мне не нравится ни один вариант этого предложения, потому что я боюсь, что оно слишком сильно полагается на нашу способность строго придерживаться фиксированного релизного календаря. Что будет, если “v2027” сдвинется на 2028 год? Неужели тогда мы окажемся не в состоянии вернуться к обычному графику для следующего релиза?»

Другой классик - Питер Айзентраут (Peter Eisentraut) - поддержал его:

«К тому же, некоторые вещи, которые выходят под конец года N, по маркетинговым причинам выпускают уже как версию N+1.»

И Том добавил ещё одну пикантную добавку:

«Можно глянуть и с другой стороны: тут всплыла мысль на AI-секции на PGConf.dev: кто-то предположил, что ИИ может так ускорить наш цикл разработки, и можно будет выпускать по два мажорных релиза в год. Это не значит, что я в это верю. Но мы можем сами себе создать лишние обязательства».

Николай с готовностью принял конструктивную критику и сделал следующий ход:

«У меня есть ещё одно, гораздо более мягкое предложение. На самом деле — два.

1) Документация. Добавить что-то вроде: Major version NN released YYYY, EOL Mon YYYY прямо на таких страницах, как:

https://www.postgresql.org/docs/https://www.postgresql.org/docs/release/https://www.postgresql.org/docs/current/index.html

Сейчас, чтобы понять, насколько версия Postgres старая, приходится идти на https://www.postgresql.org/support/versioning/ и читать таблицу. А операторы, инженеры поддержки и вендоры, которые описывают совместимость, делают это постоянно. Если даты релиза и EOL будут прямо на главных страницах документации, один лишний переход просто исчезнет.

2) Год рядом с номером версии в анонсах релизов, новостях и пресс-ките. Вот так: PostgreSQL 19 (2026), а за ним логично последует: PostgreSQL 19, ежегодный мажорный релиз 2026. Это не привязывает версию к году - главным всё равно остаётся порядковый номер. Если релиз сдвинется, поменяется только год. А если цикл станет полугодовым, это просто и естественно превратится в “(2026.1)” / “(2026.2)” без всякой правки номера версии. То есть это не замена, а ещё один способ обозначения версии.»

Минорный релиз. Заплатки, принцессы, призраки

Выход беты, конечно, событие. Но очень предсказуемое, почти уже свершившиеся заранее. Ведь все изменения открыто обсуждаются, а многие и анализируются. А вот выход этого минорного релиза многих ошарашил.

PostgreSQL 18.4

(А также 17.10, 16.14, 15.18 и 14.23)

Этот минорный релиз удивительный, такого ещё не было. Поражает не коллекцией новых функций, а списком дыр, которые обнаружили и быстро залатали. 11 дыр!

  • PostgreSQL 18.1 (2025) - 2 уязвимости,

  • 18.2 (2026) - 5,

  • 18.3 (2026) - 0 и

  • 18.4 (2026) - 11.

В прежние годы доходило до 7:

  • 9.3.1 (2013) - 7,

  • 9.4.10 (2017) - 6, но считая расширения,

  • 10.6 (2018) - 6.

И дело, конечно, не в том, что последние версии были плохие, неаккуратно написаны, хуже оттестированы. А в том, что для нахождения уязвимостей стали применять другие инструменты. И, конечно, ИИ. Радикально изменился список благодарностей: много новых имён. И, очевидно, демография радикально другая. Но сначала в 2 словах о каждой из 11.

Залатали дыры:

  • CVE-2026-6472: PostgreSQL: команда CREATE TYPE не проверяет привилегию CREATE на схему при создании мультидиапазонных типов.

  • CVE-2026-6473: (! "опасность высока") Целочисленное переполнение при выделении памяти в PostgreSQL.

  • CVE-2026-6474: Утечка памяти через функцию timeofday().

  • CVE-2026-6475: (!) Опасность перезаписи системных файлов через символические ссылки в pg_basebackup и pg_rewind.

  • CVE-2026-6476: (!) SQL-инъекция в pg_createsubscriber через имя подписки.

  • CVE-2026-6477: (!) Опасность перезаписи стека клиента через функции lo_* вlibpq.

  • CVE-2026-6478: Раскрытие MD5-хэшей паролей через скрытый временной канал (timing attack).

  • CVE-2026-6479: (!) Отказ в обслуживании (DoS) через неконтролируемую рекурсию при согласовании SSL/GSS.

  • CVE-2026-6575: Функция pg_restore_attribute_stats в PostgreSQL принимает значения, из-за которых планировщик запросов читает данные за пределами массива статистики.

  • CVE-2026-6637: (!) Переполнение стека и SQL-инъекция в модуле refint.

  • CVE-2026-6638: SQL-инъекция в команде REFRESH PUBLICATION при логической репликации.

Опасность оценивалась по SVSS (Common Vulnerability Scoring System) версии 3.1 (см. NVD - CVSS v3 Calculator).

Разбирать эти 11 уязвимостей мы не будем: Кристоф Питтус (Christophe Pettus) разобрал их до нас в блоге своей консалтинговой компании The Build:

Eleven CVEs Walk Into a Release

Обратим внимание на вот что: атаки через рекурсию в CVE-2026-6479 - ого, такого в PostgreSQL не было.

Кого благодарить за бдительность?

Anemone, A1ex, Xint Code, Цзи Хэ Ван (Jihe Wang), Цзи Чжоу Фу (Jingzhou Fu), Павел Кохут (Pavel Kohout), Пётр Симечек (Petr Simecek), www.aisle.com, Брюс Дэнг (Bruce Dang, Calif.io) и Свен Клемм (Sven Klemm).

Имена звучат странновато, как-то не по-постгресовому, не правда ли? Анемон. A1ex. Xint Code.

Начнём с конца списка успешных дыроискателей: в Postgresso 7 (68) мы писали: pgspot 0.8.0 - это интересный инструмент для выявления уязвимостей в SQL-скриптах Postgres выложен на гитхабе Timescale. Автор - Свен Клемм (Sven Klemm) из Дрездена. Прежде всего pgspot призван выявить: атаки через search_path, создание небезопасных объектов."

Сейчас циферки версии подросли, хотя и не сильно: pgspot 0.9.2. Поддерживает по-прежнему svenklemm (Sven Klemm).

Девиз Calif: Хакеры уже идут вас хакать, готовьтесь! (Hackers gonna hack, be prepped). Они объявляют, что работают над обнаружением уязвимостей в коллаборации с Anthropic и их Клодом. Компания интересная, в ней даже Принцесса работает.

  • Главный (не президент, не CEO, а просто Chief) - Тхай Дуонг (Thai Duong / 'thaidn', родился в Сайгоне.

  • Ан Чинь (An Trinh - сооснователь и CTO выступал на конференции ZeroNights St. Petersburg - нет, это не в СПб, штат Флорида, это Питер, РФ.

  • Михал Залевски (Michał Zalewski /lcamtuf) - советник-безопасник, автор утилиты afl-fuzz (AFL: american fuzzy lop), его вклад в искусство сокрушения софта "больше, чем всё вредоносное ПО за всю историю". Ушёл из Google и Snap, теперь пишет, исследует и "придумывает, как подготовиться к неизбежному Апокалипсису". Ну и:

  • Париса Табриз (Parisa Tabriz) - "официальная Принцесса Безопасности в Google".

Уже неплохая складывается компания из душевных компаний. Но дальше - больше.

Павел Кохут (Pavel Kohout, Aisle Research). Он нашёл дыру в Графане (кстати, см. дальше о русской Графине) - Grafana Labs: Responsible Disclosure Recognition, в Апаче: Critical Apache HTTP Server Flaw Exposes Millions of Servers to Remote Code Execution Attacks.

И вот на что замахивается Aisle:

Платформа AISLE создана лидерами в сфере информационной безопасности и учёными в области ИИ, которые на собственном опыте видели и масштаб угроз, и ограниченность современных инструментов. Наша цель - не просто улучшить управление уязвимостями. Наша цель - ликвидировать бэклог. Ноль уязвимостей, доступных злоумышленникам.

  • Главный по науке (и он у них идёт впереди CEO) - доктор Станислав Форт (Dr. Stanislav Fort). Теорфизик из Кембриджа, ИИ-исследователь с опытом работы в Google Brain, DeepMind и Anthropic.

  • Гендир - Ондржей Влачек (Ondrej Vlcek), 20+ лет опыта в безопасности, и какого опыта! Он был гендиром Avast (Avast - хит 90-х), потом президентом Gen Digital. Получил учёную степень в Чешском Техническом Университете (Czech Technical University) в Праге.

  • Джайя Балу (Jaya Baloo, COO & CISO - что это? А, это оперативное руководство и управление безопасностью). Пишут, что она входит в топ-100 мировых безопасников.

Дальше: Xint Code - леденящая душу история. Утилита Xint Code (с ИИ, разумеется) соревновалась с живыми искателями дырочек и нашла прославивший её баг CVE-2026-2005 в расширении PostgreSQL pgcrypto, который не замечали 20 лет. В самом PostgreSQL тоже нашли, но баг помоложе - CVE-2026-2006, его закрыли в 18.2.

Xint Code - это разработка компании Theori, ей лет 10, гендир - Брайан Сечжунь Пак (Brian Sejoon Pak), кореец. Он основал компанию вместе с Эндрю Уизи (Andrew Wiese, CTO), с которым закончил Карнеги Меллон. Сейчас в компании более 100 сотрудников. Офисы в Техасе (альма матер основателей - Карнеги Меллон - в Техасе) и в Сеуле.

На этом хакатоне ZeroDay.Cloud, где соревновались в исследованиях Postgres и MariaDB с помощью ИИ-инструментов, нашли 20-летнюю уязвимость. Нашли и те, что закрыли в 18.4 (CVE-2026-6473, CVE-2026-6474)

Хакатон организовала Wiz, Inc - израильско-американская компания в области облачной кибербезопасности, которая с марта 2026 года является частью Google Cloud: Google (Alphabet) приобрела её за $32 млрд в марте 2026 - крупнейшая сделка в истории кибербезопасности.

Вот отчёт Wiz: AI finds 20-year-old bugs in PostgreSQL and MariaDB на сайте CSO Online. Вот ещё заметка:

CVE-2026-2005: PostgreSQL pgcrypto heap buffer overflow leading to RCE | ZeroDay.cloud - На ZeroDay.Cloud 2025, Xint Code нашла 20-летней давности дыру с переполнением буфера в PostgreSQL-расширении pgcrypto.

Дальше: в списке уязвимостей есть серьёзная дыра CVE-2026-6475, её нашли с помощью Atuin Automated Vulnerability Discovery Engine. Это любимая игрушка Tencent Xuanwu Lab - команды XlabAI в составе Лаборатории Сюаньу (Tencent Xuanwu Lab).

На их гитхабе есть и вот что: Chat2DB - опенсорсная утилита, которая поможет:

  • быстрее писать SQL-запросы,

  • управлять базами данных,

  • генерировать отчёты,

  • исследовать данные,

  • взаимодействовать с множеством различных СУБД (MySQL, PostgreSQL, H2, Oracle, SQLServer, SQLite, MariaDB, ClickHouse, DM, Presto, DB2, OceanBase, Hive, KingBase, MongoDB, Redis, Snowflake и другие) в едином интерфейсе.

Но сама Atuin Automated Vulnerability Discovery Engine на гитхаб не выложена.

На сайте XlabAI читателя главной страницы приветствуют такими словами:

"ИИ-агенты принимают решения от имени пользователей, однако эти решения не всегда безопасны. Мы выявили ряд распространённых рисков, связанных с принятием решений ИИ. Среди них выделяется категория рисков, способных оказывать устойчивое и скрытое воздействие. Мы назвали это явление „Призрачные зависимости“ (Ghost Dependencies)."

Существуют два Призрака. Имена их R1 и R2:

  • R1 или Призрак Версии (Ghost Versions): У LLM есть дурная привычка предлагать устаревшие версии компонентов, которые часто встречались в их обучающих данных, вместо актуальных релизов.

  • R2 или Призрак Имени Пакета (Ghost Package Names): LLM время от времени выдумывают несуществующие названия пакетов. Такие глюки зависят от архитектуры конкретной модели и поддаются прогнозированию.

Эти призраки, следовательно, молодые. Что же, команде слабо найти дыры 20-летней давности - как Xint? 20 - может быть, но 6-леток отлавливали: Deep Analysis of CVE-2019-8014: The Vulnerability Ignored 6 Years Ago.

Эти ребята довольно складно, имхо, формулируют актуальные изменения в вечной войне снаряда с бронёй: ИИ революционизировал и то, и другое.

Вообще, блог их интересный, есть даже про кванты: How Far Are Quantum Computers from Breaking RSA-2048?

В списке уязвимостей 18.4 есть ещё одна довольно экзотичная: timing attack: CVE-2026-6478 - Timing attack - по разнице в скорости ответа можно сделать выводы о внутренних данных системы, даже если прямого доступа к ним нет. Эта тема для Postgres и (СУБД тем более) не новая: 3 учёных мужа - Александр Рейсин (или Разин, Alexander Rasin), Джеймс Хербик (James Herbick), и Ник Скоуп (Nick Scope) из DePaul University и Бен Ленард (Ben LENARD) из знаменитой Argonne National Laboratory поднимали вопрос о Vulnerability of Access Control Restrictions to Timing Attacks in a Database Management System. А в 2021 на Database Administrators Stack Exchange обсуждалось: postgresql - Prevent timing attacks in postgres?

И так далее. Новые имена, новые компании, новые территории. И ясно, что это не всплеск, а новый поворот. Мир Postgres уже не будет прежним.

Теперь все будут соревноваться. Вот что предлагает G-рептилия:

Would Greptile Have Caught That Postgres Bug? - вставьте пулл-реквест (PR) на GitHub, в котором появилась эта ошибка, - без регистрации. ГРептилия пришлёт ревью старого пулл-реквеста, как если б он был новый, и покажет комментарии, которые Грептилия бы оставила.

Недавняя версия - 3-я: Greptile v3, an agentic approach to code review - Дакш Гупта (Daksh Gupta), сооснователь ГРептилии объясняет разницу 3-й версии и 2-й. Новая более склонна к рекурсии при обращении к LLM и подбору оптимальных инструментов внутри цикла. Дакш называет новый подход детективным.

Мы легонько касались Инженерии Хаоса в предыдущем Postgresso, даже доклад такой был: Chaos Engineering для тех, кто в гробу его видал - Лев Алимов, стафф-инженер в Т-Банке. А в предпредущем о китайских инженерах хаоса, даже о Chaos as a Service).

Больше хаоса! Звучит как "больше ада", но тут уж никуда не денешься. Его так и так будет много, это несомненно.

SQLsmith 1.5 - генератор случайных SQL для тестирования. Вот гитхаб. Автор - anse1/ = Андреас Зельтенрайх (Andreas Seltenreich 'anse1', Cybertec).

И мы говорили здесь о хороших ИИ-хакерах. А сколько на 1 хорошего приходится нехороших? Лучше об этом не думать.

В России эту тему тоже считают важной и актуальной. Tadviser, например, звал всех на семинар 8 июня 11:00: AI-SAST как новый слой анализа кода: где заканчиваются паттерны и начинается контекст. SAST это и есть Static Application Security Testing. На семинаре Антон Михайлов, директор по развитию группы продуктов SASTAV и Александр Заргаров, лидер технического контура безопасной разработки SASTAV рассказывали:

  • Почему классический SAST остаётся фундаментом анализа и зачем вообще сохранять детерминированный движок.

  • Где начинается «зона семантики»: почему IDOR (Insecure Direct Object Reference) нельзя найти простым поиском ID в URL.

  • Почему нельзя просто заменить SAST LLM-моделью (и что сломалось бы в вашем Security Gate).

  • Как работает гибридный подход.

  • Как переход от «напиши правило» к «опиши риск» на естественном языке снижает порог кастомизации.

  • В каких случаях AI-SAST не нужен (и почему массовые проверки лучше оставить классике).

Ладно. Добро в конце концов победит зло, вот и дыры в 18.4 закрыли (кстати, русская документация), а недавно вышла и Postgres Pro Standard 18.4.1. Enterprise выйдет попозже.

Минорный релиз. Кто.

Каждый 11-й участник разработки PostgreSQL 18 - сотрудник Postgres Professional - пишет CNews. А конкретно - 43 разработчика из примерно полутыщи тех, кого благодарят за выпуск PostgreSQL. Как подсчитали - очень просто. В компании пересчитали переданные сообществом медали (есть такая славная традиция).

Разработчики из Postgres Professional не одиноки в улучшайзинге PostgreSQL. Российские компании подтягиваются, прибавляют. Это заметно не столько по acknowledgements, сколько по переписке в hackers. Ещё недавно за Яндекс-облако отдувался многорукий Андрей Бородин (Andrey Borodin ), а за Тантор Лабс Илья Евдокимов (Ilia Evdokimov), а сейчас у них уже небольшие (до полудюжины), команды. Иногда промелькнут и почтовые адреса Сбертех или FTData, или вдруг РуТокен мелькнёт. Но, возможно, их больше, так как я сужу в основном просто по адресам, а у многих разрабов адреса не корпоративные.

Это поле деятельности - удивительное. Коллеги встречаются с бывшими коллегами, конкуренты не то, что доброкачественно конкурируют, они (пока) не конкурируют вообще - все просто делают общее дело (во всяком случае "я так вижу"). Возможно, скоро об этом будут вспоминать как о золотых временах и маленьком социальном рае. Возможно, компании далеки от критической массы, от порога радикального влияния. Мы помним, как жёстко покойный Саймон Риггс (Simon Riggs) продвигал MERGE, в котором был корпоративно заинтересован 2nd Quadrant, тоже, можно сказать, покойный (см. Битва при MERGE. Хроника с выводами и моралью).

Вообще есть такая страничка: Companies behind Postgres 18 development на ресурсе The Consensus. Проект Фила Итона (Phil Eaton), стартовал в этом году. И там мы видим, что в списке ведущих постгресовых компаний Postgres Professional уже не единственная российская: её поддержал Yandex.

Ну а Томаш Вондра (Tomas Vondra) доходчиво объясняет, как устроена кухня коммитфестов:

How Are Committers Selected?

Томаш говорит о демократизации процесса выбора новых коммитеров и отставки старых. Раньше этим занималась core team - горстка бояр, теперь - мини-сообщество коммитеров, служилое дворянство (простите за отсебятину). Коммитеров около 30. Но в любом случае это неформальные процессы, нигде жёстко не прописанные. Самоорганизация. Происходит всё примерно так:

  1. Февраль–март: кто-то из коммитеров начинает обсуждение в закрытой рассылке.

  2. Номинация: участники предлагают кандидатов, делятся опытом сотрудничества.

  3. Обсуждение: аргументы за/против, оценка готовности.

  4. Решение: достижение консенсуса, передача списка Core Team.

  5. Приглашение: кандидат получает «commit bit» и доступ к закрытым ресурсам.

Что даёт статус коммитера:

  • Доступ на push в основной git-репозиторий.

  • Участие в закрытой рассылке (организационные вопросы).

  • Доступ к внутренним инструментам.

  • Но, ещё раз: никаких «секретных каналов» для технических решений нет - всё обсуждается публично на pgsql-hackers.

Разное

Новости vyruss.org

Это блог Джимми Энджелейкоса (Jimmy Angelakos), автора книги/курса PostgreSQL Mistakes and How to Avoid Them, где он систематизирует типичные проблемы в схемах, типах данных, безопасности и HA, даёт практичные рекомендации. В списке PostgreSQL: Contributor Profiles у него титул Significant Contributor.

Конечно, обладатель такой фамилии общается с греческими юниксоидами - с Αρχική Σελίδα | HELLUG. Конечно, russ к России отношения не имеет: ник, видимо, происходит от слова "вирус", где игрек - некоторый греческий флёр. Конечно, пишет он больше всего о собственных разработках - их есть у него: pg_statviz 1.0 released with AI-powered analysis.

Любит ездить по конференциям. Пишет любопытное о лоуландцах: PGDay Lowlands 2025 and Getting Postgres to the Next Level - прошла в Роттердамском зоопарке 12 сентября прошлого года. Докладчики докладывали морским черепахам, пингвинам и другой морской живности.

Но живёт он отнюдь не в средиземноморье. Живёт он рядом с хайландцами - в Эдинборо. Там, оказывается, тоже проходят Postgres-конференции и митапы:

Announcing the inaugural PostgreSQL Edinburgh meetup или

PostgresEDI April 2026 Meetup Recap & May Lightning Talks.

и вот: PostgresEDI · Календарь событий. Он же сам и организатор - их трое: ещё один Джим: Гарднер (Jim Gardner) и Денис Рыбальченко (Denys Rybalchenko). А спонсор - pgEdge.

Фокус моего внимания не случаен, но и не объективен: я просто влюблён в этот город из серого камня - строгий и совсем нестрогий одновременно. Это один из красивейших городов мира на мой вкус (может, прекрасней был Ангкор, но он давно зарос джунглями).

PGConf.Академия 2026

Пройдет 16 ноября, на этот раз не посреди тех-пустыря у Раменок, а в Центре Культур ВШЭ (Москва, Покровский бульвар, д. 11, стр. 6.). Организаторы - Postgres Professional и ФКН НИУ ВШЭ. Всё вокруг ИТ-образования: для преподавателей, методистов и экспертов из вузов, колледжей и профильных компаний. Для преподавателей (в т.ч. специализированных учебных центров) и сотрудников администраций вузов и колледжей - бесплатное. Для других категорий - платное.

Открыта регистрация, онлайн-формат участия тоже есть. Участникам конференции советуют дождаться подтверждения от организаторов по электронной почте.

The Rise of Experimental Data Lakes

Это не экспериментальные озёра данных, а озёра экспериментальных данных - если кто-то путает. Речь о научных данных. Которые теперь тоже решили заливать в озёра, а не пытаться собрать в одном водохранилище данных. Пишет Али Азхар (Ali Azhar).

How CERN Powers Ground-Breaking Physics with TimescaleDB

Tiger Data хвастается, и есть чем. Компании любят сотрудничать с ЦЕРНом, это престижно. Вот и Tiger Data устраивают совместный семинар с церновскими физиками:

  • Рафаль Кулага (Rafal Kulaga, айтишник, CERN,

  • Мартин Земко (Martin Zemko, айтишник, CERN,

  • Брендон Пёрсел (Brandon Purcell), директор по продуктам, Tiger Data.

На этом примерно часовом вебинаре инженеры ЦЕРН расскажут, как они модернизировали свою устаревшую систему архивирования с помощью NextGen Archiver (NGA) и TimescaleDB (на базе PostgreSQL), чтобы повысить производительность, снизить затраты на хранение и упростить долгосрочную эксплуатацию. А именно:

  • Построили модульную архитектуру архивирования (NGA) для модернизации устаревшего стека.

  • Сократили объём хранения до 95% и ускорил аналитику по историческим данным до 40%, используя гибридную строково-колоночную (rowstore/columnstore) архитектуру TimescaleDB.

  • Использовали непрерывные агрегаты (автоматически обновляемые материализованные представления) для создания быстрых дашбордов по огромным массивам исторических данных.

  • Обеспечили работу со сложными метаданными, экономящими время, объединив реляционные данные и временные ряды в единой системе.

  • Спроектировали решение с учётом сопровождаемости и гибкости, снизив зависимость от вендора и технический долг.

Хранилища - S3. По теме Workflow engines будут фигурировать Airflow, Nextflow и Snakemake.

В ЦЕРНе 800 с лишним SCADA (Supervisory Control And Data Acquisition = управление технологическим процессом и сбор данных) на базе сименсовских WinCC OA (SIMATIC WinCC Open Architecture). Системы Большого Адронного Коллайдера генерят сотни тысяч гигабайт данных в день. И эти данные существенно привязаны ко времени события.

Что за WinCC OA, с чем едят? Alexander Kuznetsov aka akcoun представляется в хабре как специалист по АСУ ТП - аббревиатура, которую подзабыли. Он предупреждает: в ряде моментов WinCC OA радикально отличается от обычных распространенных SCADA.

Swiss PGDay 2026

Пройдёт 25-26 июня в Рапперсвиле (Rapperswil). Это отнюдь не ЦЕРНовская тусовка, это немецкая Швейцария, недалеко от Цюриха, на берегу Цюрихского, а не Женевского озера. Устраивают конференцию прикладники: OST Eastern Switzerland University of Applied Sciences. Но в оргкомитете на самом почётном месте человек академический - Тобиас Буссман (Tobias Bussmann, Swiss Academy of Sciences, Bern).

Графиня (обещанная в 1-й половине обзора) - визуализация, мониторинг и анализ данных.

Российские разработчики (компания «Лаборатория Числитель») создали аналог Grafana под названием Графиня. И это не шильдик, - говорят они, - и не форк: решение вообще не использует код Grafana. Графиня предлагает:

  • Стабильные обновления, которые не ломают дашборды.

  • Упрощенную разработку плагинов.

  • Многоуровневое кэширование.

  • Универсальные API-контракты.

  • Улучшенные функции администрирования и безопасности.


На этом пока всё.