Осторожно – Regex! 3 эпических сбоя, вызванных регулярками

😈 Осторожно – Regex! 3 эпических сбоя, вызванных регулярками Регулярные выражения – мощный, гибкий и многофункциональный инструмент для обработки текста и валидации данных. С их помощью можно решать сложные задачи буквально одной строкой кода. Однако неправильно составленное регулярное выражение может превратиться в настоящую бомбу замедленного действия, готовую взорваться при определенных входных данных. Последствия могут быть сложноустранимыми, а иногда катастрофическими – как в этих реальных кейсах. Сбой Stack Overflow В 2016 году Stack Overflow испытал 34-минутный перебой в работе. Причиной стало регулярное выражение, используемое для обработки пользовательского ввода: ^[\s\u200c]+|[\s\u200c]+$ Это выражение должно было находить пробелы в начале и конце строки. Проблема возникла, когда какой-то пользователь запостил комментарий, содержащий около 20 000 последовательных пробелов. Механизм обработки регулярных выражений начал проверять каждый пробел. Когда после 20 000-го пробела встретился другой символ, движок начал откатываться назад, пытаясь найти соответствие, начиная со второго пробела, третьего и так далее.   Это привело к катастрофическому возврату (catastrophic backtracking) – ошибке, которая возникает, когда движок регулярных выражений тратит чрезмерное количество времени на попытки найти соответствие шаблону, перебирая различные комбинации. Количество проверок начало лавинообразно увеличиваться и быстро достигло 199 990 000 – это вызвало значительную задержку и в итоге сбой системы.   Для решения проблемы потребовалось 10 минут на обнаружение причины, 14 минут на написание исправления и еще 10 минут на развертывание решения. В результате регулярное выражение было заменено на функцию подстроки. 📖#️⃣ Больше полезных книг вы найдете на нашем телеграм-канале «Книги для шарпистов | C#, .NET, F#» Сбой Cloudflare 2 июля 2019 года произошел крупный сбой в работе платформы Cloudflare. Один из инженеров написал регулярное выражение, которое привело к действительно катастрофическому возврату – вызвало экстремальную перегрузку всей инфраструктуры. Использование процессоров выросло до 100%, а большинство сайтов, подключенных к Cloudflare, замедлились до крайности или вовсе оказались недоступными.   Коварная регулярка выглядела так: (?:(?:\"|'|\]|\}|\\|\d|(?:nan|infinity|true|false|null|undefined|symbol|math)|\`|\-|\+)+[)]*;?((?:\s|-|~|!|{}|\|\||\+)*.*(?:.*=.*))) Самую большую опасность в этом выражении представляет .*(?:.*=.*) – группа без захвата, которая может привести к чрезмерному использованию процессора при обработке определенных шаблонов. Эта конструкция вызвала серьезные проблемы с производительностью и в конечном итоге привела к массовому сбою. Глобальный сбой Windows/CrowdStrike 19 июля 2024 года произошел самый массовый сбой в истории – из строя вышли около 8,5 млн Windows-компьютеров с ПО CrowdStrike. Причиной сбоя стало несоответствие между ожидаемым количеством входных параметров (21) и фактическим количеством параметров (20), которые были переданы в интерпретатор контента (этот компонент отвечает за обработку содержимого с использованием регулярных выражений). Когда система получила ввод с 21 параметром, интерпретатор контента попытался считать данные за пределами выделенной памяти, что и привело к сбою системы. 📖🤖 Больше полезных книг вы найдете на нашем телеграм-канале «Книги для дата-сайентистов | Data Science» 🤵 Как не завалить собеседование в крупной ИТ-компании Разработчик с 10-летним коммерческим опытом поделился провальным опытом прохождения технического собеседования в одной из лидирующих компаний. Из этого провала он извлек три основных урока: Перед собеседованием нужно освежить знания о структурах данных – и не только о списках, массивах и словарях. Не стоит игнорировать и те структуры, с которыми вы в последний раз сталкивались в университете и никогда не используете на практике – очереди, кучи и деревья. Автору попался как раз вопрос о деревьях, с которыми он с университетских времен не встречался и которые, скорее всего, на новой работе ему бы тоже не понадобились. Однако на собеседовании зачастую проверяются не только практические навыки, но и общая ИТ-эрудиция. Для тренировки нужно использовать самый простой редактор кода и таймер. Хотя в реальной работе повсеместно используются IDE с автодополнением кода и прочей ИИ-функциональностью, крупные компании при проведении теста обычно настаивают на старомодном способе решения задач, без каких-либо подсказок со стороны IDE. Писать код надо быстро – поэтому во время подготовки к собеседованию обязательно нужно пользоваться таймером для самоконтроля. Не надо решать задания по порядку. Необходимо прочитать все вопросы сразу и начинать с ответов на те, что попроще. Автор надолго застрял на первом вопросе, хотя мог быстро ответить на второй и успел бы выполнить третье задание. Два решенных задания, несомненно, лучше, чем незаконченный ответ на первый вопрос. 📖🦫 Больше полезных книг вы найдете на нашем телеграм-канале «Книги для Go-разработчиков» 🛠️ Инструменты BullMQ – библиотека для Node.js, которая реализует быструю и надежную систему очередей, основанную на Redis и предназначенную для решения всех основных задач в современных микросервисных архитектурах (сглаживание пиков нагрузки, создание надежных каналов связи между сервисами, распределение ресурсоемких задач между несколькими обработчиками и т. п.).   Основные возможности и преимущества BullMQ: Точная обработка сообщений – библиотека гарантирует доставку как минимум один раз. Горизонтальное масштабирование – можно добавить сколько угодно обработчиков для параллельной обработки заданий. Высокая производительность – благодаря эффективным Lua-скриптам и конвейерной обработке. Минимальное использование CPU. Распределенное выполнение заданий на основе Redis. Поддержка очередей LIFO и FIFO. Приоритезация и отсроченное выполнение заданий. Запланированные и повторяющиеся задачи по расписанию. Настройка параллельности для каждого обработчика. Многопоточные (изолированные) функции обработки. Автоматическое восстановление после сбоев процесса. Поддержка зависимостей между задачами (родительские и дочерние задачи).   SigNoz – опенсорсный инструмент для мониторинга и устранения неполадок в развернутых приложениях. Это отличная бесплатная альтернатива коммерческим решениям – DataDog и New Relic.   Основная функциональность: Единый интерфейс для метрик, трассировок и логов. Визуализация метрик производительности приложений (RPS, процентили задержек, частота ошибок). Распределенная трассировка для выявления проблем в сервисах. Управление логами с продвинутым построителем запросов. Мониторинг инфраструктуры. Отслеживание исключений в различных языках программирования. Настраиваемые оповещения. Поддержка OpenTelemetry для инструментирования приложений. Возможность агрегации данных трассировки для получения бизнес-метрик. Интерфейс SigNoz 📖➕➕ Больше полезных книг вы найдете на нашем телеграм-канале «Книги для C/C++-разработчиков» Infisical – опенсорсная платформа для удобного и безопасного управления секретами и конфигурационными данными. Основные возможности: Централизованное хранение секретов – позволяет безопасно хранить в одном месте все важные данные (API-ключи, пароли от баз данных и другие конфиденциальные настройки приложений). Синхронизация между командой и инфраструктурой – гарантирует, что все члены команды и все части инфраструктуры будут получать доступ к актуальным секретам и ключам. Предотвращение утечек – помогает предотвратить случайное раскрытие секретной информации, например, путем коммита в Git-репозиторий. Управление конфигурациями – позволяет управлять общими настройками приложений для разных сред (разработка, тестирование, продакшн). Безопасный доступ – предоставляет инструменты (SDK, CLI, API) для безопасного получения секретов в приложениях и инфраструктуре. Контроль доступа – позволяет настраивать права доступа к секретам для разных пользователей и систем. Аудит и версионирование – ведет лог всех действий с секретами и позволяет отслеживать их изменения во времени. Интеграция с инфраструктурой – легко интегрируется с популярными платформами и инструментами (GitHub, AWS, Kubernetes и т. п.). Управление внутренней PKI – позволяет создавать и управлять собственной инфраструктурой открытых ключей для выпуска цифровых сертификатов.   KubeAI – инструмент для развертывания и управления опенсорсными LLM-моделями в среде Kubernetes. Среди основных функций и особенностей: Совместимость с OpenAI. Предоставляет API, совместимый с OpenAI, что позволяет легко заменить сервисы OpenAI в любых ИИ-приложениях на локальные. Поддержка различных моделей. Может работать с различными моделями, включая языковые (LLMs), модели для преобразования речи в текст (например, Whisper) и другие. Мультиплатформенность. Может работать на разных аппаратных платформах, включая системы только с CPU, системы с GPU, а в будущем планируется поддержка TPU. Масштабирование. Обеспечивает автоматическое масштабирование в зависимости от нагрузки, включая возможность масштабирования до нуля (когда ресурсы не используются). Простота развертывания. Не требует никаких дополнительных зависимостей типа Istio или Knative. Встроенный пользовательский интерфейс. Предоставляет чат-интерфейс OpenWebUI для взаимодействия с моделями. Управление серверами vLLM, Ollama и FasterWhisper. Интеграция с системами обмена сообщениями. Поддерживает потоковую передачу и пакетную обработку через интеграции с Kafka и другими PubSub-системами обмена сообщениями.   Zed – опенсорсный многопользовательский редактор кода, предназначенный для совместной работы над проектом в реальном времени. Основные особенности и возможности: Написан на Rust и отличается высокой скоростью и минимальными требованиями к ресурсам. Предусматривает интеграцию с LLM для генерации, анализа и рефакторинга кода. Имеет встроенный терминал. Предоставляет несколько удобных функций для совместной работы – демонстрацию экрана, общие заметки и т. п. Разработан с учетом конфиденциальности пользователей и не собирает личные данные. Warp – современный высокопроизводительный терминал с ИИ-функциональностью. Основные особенности и возможности: Производительность. Написан полностью на Rust и использует рендеринг на GPU через Metal API, что обеспечивает высокую скорость работы (60+ FPS даже на 4K- и 8K-мониторах). Поддержка совместной работы в реальном времени. Улучшенный ввод команд. Редактор ввода команд представляет собой полноценный текстовый редактор с поддержкой выделения текста, позиционирования курсора, привычных пользователям сочетаний клавиш и автодополнения. Встроенный чат-бот. Понимает указания на естественном языке, дает рекомендации и отвечает на вопросы. Блоки команд. Команды и их вывод визуально группируются в блоки, что улучшает организацию и читаемость информации в терминале. Совместимость с популярными оболочками. Работает с Bash, ZSH и Fish, сохраняя существующие привязки клавиш. Кроссплатформенность. Работает на macOS и Linux, вскоре будет поддерживать Windows и WASM. Продвинутый UI. В отличие от традиционных терминалов, может отображать различные элементы интерфейса (всплывающие уведомления, меню и т. д.). 📖☕ Больше полезных книг вы найдете на нашем телеграм-канале «Книги для джавистов | Java» Автор рассылки: Наталья Кайда Понравилась ли вам эта рассылка? Очень понравилась Не понравилась 📖 Читать нас 🎓 Учиться у нас 📖 Читать нас 🎓 Учиться у нас Веб-версия Вы получили это письмо, потому что подписались на нашу рассылку. Если вы больше не хотите получать наши письма, нажмите здесь.