🔐 25 самых опасных программных ошибок и уязвимостей 2023

Профильная организация MITRE опубликовала новый ежегодный список CWE Top 25 Key Insights.

MITRE известна бла­года­ря спис­ку уязвимостей CVE (Common Vulnerabilities and Exposures, сайт cve.mitre.org). База обще­извес­тных уяз­вимос­тей, которая появи­лась в 1999 году и с тех пор ста­ла одним из основных ресур­сов, где ИБ-эксперты струк­туриру­ют и хра­нят дан­ные по багам и ошибкам в ПО.

Профильные эксперты пояснили, что список основан на данных из различных источников, включая отчёты об уязвимостях, данные о вредоносном ПО и информации об атаках, а также учитывает мнение экспертов по безопасности.

#инфобез

📃 «Сегментация» отечественных ОС

Минцифры обсуждает с производителями электроники и разработчиками «сегментацию» отечественных ОС по категориям пользователей. Например, «Аврора» от «Ростелекома» будет предназначена для госкомпаний и бизнеса, а частным лицам могут предложить ОС «Роса».

Производители также заявляют о необходимости субсидий, чтобы стимулировать разработчиков создавать приложения для российских операционных систем.

🎹 Подборка полезных материалов и инструментов для начинающих и опытных DevOps

🟢 17 DevOps Metrics To Measure Success
Описание специализированных DevOps-метрик. Среди них, конечно, DORA, количество запусков CI, количество успешных запусков CI и т.д.

👮‍♀️ Введение в контроллеры доступа Kubernetes
В статье разобраны:
🔵 Поток HTTP-запросов Kubernetes.
🔵 Контроллеры допуска: проверка, использование, виды.

🧑‍💻 ​terrakube
Утилита для автоматизации и организации совместной работы с Terraform.

🔔 Say Hello to Grafana OnCall
Практический гайд по использованию Grafana OnCall.

😊 21 основная команда, которую должен знать каждый пользователь Docker
Подборка из 21 исполняемой и информативной команды Docker для быстрого ознакомления.

🔎 10 лучших инструментов мониторинга с открытым исходным кодом
Инструменты для эффективного мониторинга и управления сложными системами, которые могут в режиме реального времени предоставлять информацию о производительности, доступности и безопасности системы.

🔐 Полезное о Prometheus
🟢 Awesome Prometheus Alerts.
🟢 Awesome Prometheus — теория по Prometheus.

💻 Оpen source инструменты для Kubernetes
🔴 wireguard-operator — оператор Wireguard для простой настройки VPN в кластере k8s;
🔴 kube-reqsizer — контроллер Kubernetes для автоматической оптимизации запросов Pod'ов;
🔴 k8s-pod-restart-info-collector — клиентский контроллер K8s, отслеживает изменения в Pod'ах.

#польза #заметкитехдира

🟡 ИИ-помощник от GitLab

GitLab запустила открытый бета-тест Code Suggestions — ИИ-функции, помогающей разработчикам писать код. На сайте отмечается, что с помощью Code Suggestions пользователи могут генерировать фрагменты кода по текстовому описанию на естественном языке. К примеру, можно попросить написать шаблонный сниппет или тесты.

В основе Code Suggestions лежат модели с открытым исходным кодом. Сейчас функция поддерживает работу с 13 языками: C/C++, C#, Go, Java, JavaScript, Python, PHP, Ruby, Rust, Scala, Kotlin, и TypeScript.

👋 Подержанная техника = новая

Для беспрепятственных закупок в рамках госконтрактов, по 44-ФЗ, в РФ могут приравнять старую электронику к новой. Минпромторг и Минцифры заинтересовались предложением, однако поставщики против, так как ответственность за качество и отказоустойчивость техники ляжет на них.

Подразумевается техника, обновлённая для повторной продажи - прошедшая чистку от пыли и грязи, откат к заводским настройкам и ремонт в случае необходимости. Перед продажей устройства будут проходить тестирование на работоспособность.

В прошлом году в России вырос спрос на подержанное серверное оборудование в 3–4 раза. Как отмечают продавцы, он появился даже у крупных компаний, поскольку новое «железо» лишилось сервисной поддержки.

🔔Вышел GitHub Enterprise Server 3.9

Основные нововведения в Enterprise Server 3.9:
🔵 GitHub Projects показывает дорожную карту в новом временном представлении;

🔵 секретное сканирование проверяет наличие пользовательских шаблонов при отправке, сохраняя конфиденциальную информацию вне кодовой базы;

🔵 сканирование кода можно включить всего за пару кликов;

🔵 автоматическое масштабирование самостоятельных исполнителей с помощью контроллера Actions Runner Controller на основе Kubernetes, который теперь поддерживается GitHub;

🔵 появилось больше контроля и информации для управления GHES.

✈️ Упрощение въезда для иностранных инвесторов и специалистов

Владимир Путин дал правительству поручение — проанализировать миграционное законодательство и найти барьеры, которые мешают въезду в страну таких кадров. После этого законодательство нужно будет изменить так, чтобы выдача виз и получение разрешений на работу стали проще.

*️⃣Согласно российским законам, высококвалифицированный специалист — это иностранный гражданин с опытом работы или достижениями в конкретной области. Его зарплата в России должна составлять не менее 167 тыс. руб. в месяц.

Сейчас высококвалифицированные специалисты могут получить бессрочный ВНЖ по упрощенной процедуре, для этого им необходимо проработать в России всего год.

🟢Популярные пакетные менеджеры Linux: характеристики, особенности, сравнение

Представляем полезное руководство по пакетным менеджерам Linux, в котором рассмотрены:

🔵 теоретические основы: форматы пакетов в разных версиях, зависимости, виды и назначение;

🔵 подробный обзор 5 наиболее популярных менеджеров пакетов.

#польза

👑 Когда прочитал мануал и думаешь, что всё получится с первого раза

💼 Бессрочное продление ставки 0% для ИТ

Минцифры обсуждает с Минфином бессрочное продление действующей ставки 0% по налогу на прибыль для ИТ-компаний.

Совещание по этому вопросу ведомства проведут до конца июля 2023 года. Обсуждается как бессрочный характер льгот, так и их продление до 2030 года

При этом, некоторые региональные власти выступают против и хотят вернуть ставку 20% с 2025 года, так как они «недополучают налоговые отчисления».

#льготы_ИТ

📱 Linux SysOps Handbook

Незаменимая записная книжка для общих знаний и задач системного администратора Linux.

#польза

🖼 На 10-15 лет — может растянуться замена западных технологий

Об этом говорится в докладе Центра макроэкономического анализа и краткосрочного прогнозирования. Частично продукция будет производиться внутри страны, а частично — ввозиться из Юго-Восточной Азии, объяснил один из авторов исследования Дмитрий Белоусов. По прогнозам, во многом Россия просто переориентируется на китайское. Соответственно, придется выстраивать всю программную и аппаратную периферию вокруг него.

Массовый выпуск техники в РФ потребует госинвестиций в десятки миллиардов долларов. Причем их часть уйдет бесследно, поскольку не все разработки смогут оправдать себя. Пока производство и каналы поставок не налажены, потребность в теневом импорте сохранится.

🅰️Единственный способ сократить разрыв с западным производством — не повторять уже пройденные этапы, а сразу идти в сторону перспективных решений, которые еще не реализованы🅱️— полагает заведующий кафедрой менеджмента и предпринимательства ФЭСН РАНХиГС Евгений Ицаков.

👁 Только 55% россиян знают, что такое биометрия

Такие данные привели в ВЦИОМ. При этом:
27% – знающих относятся к ней положительно;
34% – нейтрально;
32% – отрицательно;
42% – сталкивались с предложением сдать биометрические данные;
29% – соглашались на процедуру.

🅰️Среди причин неоднозначности восприятия – противоречие: с одной стороны, есть запрос на повышение уровня безопасности и контроля, с другой – само распространение биометрических данных может восприниматься как угроза, риск злоупотреблений🅱️ – прокомментировал руководитель департамента социальных исследований ВЦИОМ Андрей Даудрих.

❗️Напомним, что биометрия – самостоятельная категория персональных данных, обработка которых выполняется в соответствии в необходимым уровнем защищённости (УЗ).

Для каждого УЗ установлен комплекс технологических и организационных мер на законодательном уровне. Подробнее рассказали тут.

#персданные

🚩gProfiler

Общесистемный профилировщик с открытым исходным кодом, объединяющий несколько профилировщиков выборки для создания единой визуализации того, на что тратит время процессор.

👮‍♀️ Артек: «недетская» утечка

Сегодня в свободном доступе появились два JSON-файла международного лагеря «Артек», содержащих персональные данные детей и их родителей.

В первом содержится 747,820 строк:
🟢 ФИО ребенка и родителя;
🟢 адрес эл. почты ребенка и родителя;
🟢 телефон ребенка и родителя;
🟢 дата рождения;
🟢 адрес;
🟢 СНИЛС;
🟢 номер паспорта или свидетельства о рождении;
🟢 гражданство;
🟢 место учебы;
🟢 признаки владения иностранными языками, сдачи норм ГТО, малоимущей семьи, членства в «Юнармии», хобби, ограничения по здоровью и т.п.

Во втором - 755,828 записей:
🔵 ФИО;
🔵 адрес эл. почты.

#утечки

⌨️ Кибератака на РЖД

Сайт и мобильное приложение Российских железных дорог подверглись массированной хакерской атаке.

🅰️Наш сайт и мобильное приложение подверглись массированной хакерской атаке. Стараемся как можно быстрее восстановить их работу. Кассы на станциях и вокзалах функционируют штатно🅱️ - сообщили представители.

*️⃣Ранее, 22 февраля 2022 года, РЖД подвергался DDoS-атаке. Тогда компания предупредила о возможных сбоях в работе сайта.

#утечки #инфобез

🔒 В РФ «выключали международный интернет»

В ночь с 4 на 5 июля Роскомнадзор, Главный радиочастотный центр, Центр мониторинга и управления сетью связи общего пользования, операторы связи и владельцы интернет-ресурсов в РФ проверили на учениях автономную работу рунета. Представитель РКН пояснил, что учения прошли успешно.

Также он напомнил, что по закону об устойчивости рунета учения должны проводиться не реже одного раза в год. На вопрос о том, какие задачи преследовали организаторы учений, в ведомстве не ответили.

😊 iPhone под запретом

Минпромторг запретил сотрудникам пользоваться iPhone для служебной деятельности. Представитель министерства объяснил, что это необходимо для защиты информации и для выполнения рекомендаций регулятора.

Запрет вводится с 17 июля и распространяется как на чиновников Минпромторга, так и на подведомственные ему организации.

Сотрудник одной из компаний, разрабатывающих ИТ-решения, подтвердил факт запрета. По его словам, такие же запреты будут вводиться в ближайшее время в других ведомствах и в регионах.

👮‍♀️ Конференция «Защита персональных данных. Алтай 2023»

❗️В июле 2023 начинают действовать оборотные штрафы, согласно перечню поручений Президента России. Они коснутся всех, кто занимается хранением и обработкой персональных данных.

Конференция «Защита персональных данных. Алтай 2023» – для тех, кто хочет разобраться в теме персональных данных и снизить риски получения штрафов.

Участников ждут доклады представителей регуляторных органов и экспертов по информационной безопасности федерального уровня:

💬 Зрюмов Евгений Александрович, министр цифрового развития и связи Алтайского края.
💬 Андрей Петрович Жданов, руководитель отдела по защите прав субъектов персональных данных Роскомнадзора Алтайского края.
💬 Артем Избанеков, федеральный эксперт по защите от DDOS.
💬 Сергей Шевалье – эксперт с темой «Как обрабатывает
персональные данные крупнейший обувной ритейлер “Обувь России”».
💬 Вероника Нечаева, директор Департамента Информационной Безопасности CORTEL.

🗺 Когда и где?
11 июля в 11:00 в Центре МСП по адресу Мало-Тобольская, 19.

🧑‍💻 Как принять участие?
Вход свободный по предварительной регистрации.

Ознакомиться с программой и зарегистрироваться можно на странице конференции.

🇷🇺 Импортозамещение VDI: российские системы виртуальных рабочих столов

Сказано - сделано🎹
В мае 2023 года мы протестировали 3 отечественные системы виртуальных рабочих столов – ВРС (VDI):

1️⃣ Виртуальные рабочие столы на базе виртуальной инфраструктуры SpaceVM.
2️⃣ Система управления виртуальными рабочими столами Termidesk на базе среды виртуализации zVirt.
3️⃣ Система управления ВРС Basis Workplace на базе среды виртуализации Р-Платформа.

Со сравнительной таблицей технических и эксплуатационных характеристик систем, а также подробностями исследования можно ознакомиться здесь

#импортозамещение #польза #заметкитехдира

🇨🇳 OpenKylin 1.0 - первая китайская ОС

Вышла первая китайская операционная система для настольных ПК с открытым исходным кодом. На сайте указано, что в работе над ОС на базе Linux участвовали 3867 разработчиков, 74 группы и 271 предприятие. Автор CGTN Digital опробовал OpenKylin 1.0 и указал, что ПО очень похоже на Ubuntu.

Систему поставляют с предустановленными программами, включая офисный пакет WPS, браузер Firefox и видеоплееры. В ОС есть цифровой магазин, в котором представлены как приложения для Linux, так и решения для Windows и Android, работающие через эмуляторы.