Forwarded from CatOps
Компания Cruise рассказывает, как они:
- Стоили свою платформу
- Делали для неё сусурити
Под катом Kubernetes, GKE, Vault и известные, в принципе, методики.
Обзоры выскоуровневые, но если вы пока только определяетесь с архитектурой, может быть полезно.
#kubernetes #gcp #security
- Стоили свою платформу
- Делали для неё сусурити
Под катом Kubernetes, GKE, Vault и известные, в принципе, методики.
Обзоры выскоуровневые, но если вы пока только определяетесь с архитектурой, может быть полезно.
#kubernetes #gcp #security
Medium
Building a Container Platform at Cruise
The backend for Cruise self-driving cars runs on Kubernetes.
Forwarded from Go Дайджест
Немного о Go шаблонах 👨🎨
https://levelup.gitconnected.com/learn-and-use-templates-in-go-aa6146b01a38
https://levelup.gitconnected.com/learn-and-use-templates-in-go-aa6146b01a38
Medium
Learn and Use Templates In Go
While developing several full stack apps over years, I realized some apps don’t need a full fledged frontend application running. Most of…
Организовываем код в вашем проекте на Golang https://itnext.io/beautify-your-golang-project-f795b4b453aa #golang #repository
Medium
Beautify your Golang project
organize your golang project as well as your code
Если вы до сих пор не слышали про Trunk Based Development - почитайте, это очередное "модное" слово https://medium.com/@mattia.battiston/why-i-love-trunk-based-development-641fcf0b94a0 #tbd
Medium
Why I love Trunk Based Development (or pushing straight to master)
(or pushing straight to master)
Forwarded from Записки админа
Kubernetes Final Report.pdf
1 MB
🛠 Kubernetes Security Audit вам в качестве вечернего чтива. Ну и про уязвимости обнаруженные не забудьте, конечно же. 🙂
#kubernetes #security
#kubernetes #security
Ещё один сканер уязвимостей для ваших любимых контейнеров https://github.com/knqyf263/trivy спасибо читателям за ссылку😉 #cicd #devsecops #security
GitHub
GitHub - knqyf263/trivy: Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds…
Find vulnerabilities, misconfigurations, secrets, SBOM in containers, Kubernetes, code repositories, clouds and more - knqyf263/trivy
Forwarded from CatOps
HashiConf EU 2019 Videos are available!
It was amazing conference with cool folks from all World and, of course, inspirational and insightful talks. Links on records conveniently laid out on this page.
Also, if you will be in Kyiv at next Tuesday - welcome to our HUG Meetup!
#slides #event
It was amazing conference with cool folks from all World and, of course, inspirational and insightful talks. Links on records conveniently laid out on this page.
Also, if you will be in Kyiv at next Tuesday - welcome to our HUG Meetup!
#slides #event
Forwarded from oleg_log (Oleg Kovalov)
Заметно не соглашусь с Trunk Based Development. В таблице приведены вещи из разных областей, но выданы с выгодной стороны.
Тип давайте пушить в мастер, пейриться и прятаться все под фичер-флагами.
— Feedback comes late
ну вот вы пейритесь, а потом 3й человек прочитает ваш код и ужаснется.
— Low quality feedback
почему напарник поможет это сделать лучше? может он тоже ничего не знает, обратитесь еще к кому-то и решите.
— My code
хм....тут какой-то особый софт-скилл, я пасс.
— Individual codestyle
смех, пора уже gofmt-like иметь в каждой репе, чтобы било по рукам.
— Infrequent integration
ок, а причем тут транк? берешь и пушишь, хоть с бранча, хоть с коммита (что одно и тоже), просто фичер-флагой закрой и забудь.
— Easy to ignore a failing build
так можно и на мастере игнорить красные билды, может просто настройки репы глянем?
— Dread large refactorings
честно, я не понял как это поможет, больше кода трогаешь, больше вещей может не состыковаться.
— People work in isolation
так это, мне надо бегать по всем комитам, что _уже_ в мастере? хм, мне казалось ПР для этого и создано, посмотреть перед влитием кода.
— Poor tooling for reviewing changes
берешь и чекаутишь бранч, изи.
— Lose original commit history
ок, тут можно поспорить, я хочу видеть 1 комит на 1 задачу, но тут часто спорный вопрос.
В общем странная статья, тут вопрсо не про 'only master vs branch per feature', а 'у нас есть чертовы правила или мы йоло-стайл'
https://xn--r1a.website/count0_digest/2577
Тип давайте пушить в мастер, пейриться и прятаться все под фичер-флагами.
— Feedback comes late
ну вот вы пейритесь, а потом 3й человек прочитает ваш код и ужаснется.
— Low quality feedback
почему напарник поможет это сделать лучше? может он тоже ничего не знает, обратитесь еще к кому-то и решите.
— My code
хм....тут какой-то особый софт-скилл, я пасс.
— Individual codestyle
смех, пора уже gofmt-like иметь в каждой репе, чтобы било по рукам.
— Infrequent integration
ок, а причем тут транк? берешь и пушишь, хоть с бранча, хоть с коммита (что одно и тоже), просто фичер-флагой закрой и забудь.
— Easy to ignore a failing build
так можно и на мастере игнорить красные билды, может просто настройки репы глянем?
— Dread large refactorings
честно, я не понял как это поможет, больше кода трогаешь, больше вещей может не состыковаться.
— People work in isolation
так это, мне надо бегать по всем комитам, что _уже_ в мастере? хм, мне казалось ПР для этого и создано, посмотреть перед влитием кода.
— Poor tooling for reviewing changes
берешь и чекаутишь бранч, изи.
— Lose original commit history
ок, тут можно поспорить, я хочу видеть 1 комит на 1 задачу, но тут часто спорный вопрос.
В общем странная статья, тут вопрсо не про 'only master vs branch per feature', а 'у нас есть чертовы правила или мы йоло-стайл'
https://xn--r1a.website/count0_digest/2577
Telegram
Пятничный деплой
Если вы до сих пор не слышали про Trunk Based Development - почитайте, это очередное "модное" слово https://medium.com/@mattia.battiston/why-i-love-trunk-based-development-641fcf0b94a0 #tbd
Forwarded from CatOps
Готов выступить адвокатом trunk-based development flow.
Скептический пост в @oleg\_log
TBD - очень понятный для людей процесс, а это, как по мне, основное: technologies are easy - people are hard.
Благодаря простоте этого метода, метод встречается часто там, где это так никто и не называет. Например, в ops командах я часто видел trunk-based для работы с системами автоматизации (configuration mgmt, IaC, etc.)
Что касается разработки, для TBD действительно требует подготовки: окружения для тестирования отдельных фич, grey releases, подходящие стратегии выкатки и прочее. Но за это нам, собственно, и платят ¯\_(ツ)_/¯
Ну и дабы не быть голословым. State of DevOps by Puppet 2016 отмечают корреляцию между продуктивностью команд и TBD (сам отчёт). Корреляция - не причина, потому я не говорю, что TBD сам по себе приведёт вас к успеху, но практики, связанные с ним, однозначно полезны.
Готов дискутировать в чате CatOps
P.S. Но в манифесте TBD действительно сферический конь в вакууме описан 🙂
Скептический пост в @oleg\_log
TBD - очень понятный для людей процесс, а это, как по мне, основное: technologies are easy - people are hard.
Благодаря простоте этого метода, метод встречается часто там, где это так никто и не называет. Например, в ops командах я часто видел trunk-based для работы с системами автоматизации (configuration mgmt, IaC, etc.)
Что касается разработки, для TBD действительно требует подготовки: окружения для тестирования отдельных фич, grey releases, подходящие стратегии выкатки и прочее. Но за это нам, собственно, и платят ¯\_(ツ)_/¯
Ну и дабы не быть голословым. State of DevOps by Puppet 2016 отмечают корреляцию между продуктивностью команд и TBD (сам отчёт). Корреляция - не причина, потому я не говорю, что TBD сам по себе приведёт вас к успеху, но практики, связанные с ним, однозначно полезны.
Готов дискутировать в чате CatOps
P.S. Но в манифесте TBD действительно сферический конь в вакууме описан 🙂
Telegram
oleg_log
Заметно не соглашусь с Trunk Based Development. В таблице приведены вещи из разных областей, но выданы с выгодной стороны.
Тип давайте пушить в мастер, пейриться и прятаться все под фичер-флагами.
— Feedback comes late
ну вот вы пейритесь, а потом 3й человек…
Тип давайте пушить в мастер, пейриться и прятаться все под фичер-флагами.
— Feedback comes late
ну вот вы пейритесь, а потом 3й человек…
Forwarded from Человек и машина
Мне нечего сказать про Trunk-Based Development.
У меня 3 простых принципа: fit for purpose, KISS и YAGNI.
Пока идет бурное обсуждение, давайте я малость разбавлю интересной новостью, которая была некоторое время на слуху амазонщиков.
https://arstechnica.com/information-technology/2019/07/feds-former-cloud-worker-hacks-into-capital-one-and-takes-data-for-106-million-people/
Если вкратце:
1. Бывший (?) сотрудник AWS смог получить доступ к IAM роли.
2. Воспользовавшись этой ролью сотрудник получил доступ к S3.
3. Сотрудник радостно поделился об этом со всем миром, был арестован, ну и так далее.
Что говорят медиа: “взломали AWS, слили данные”
Плевать на желтушные заголовки, у меня только один вопрос: каким образом роль для сервиса WAF имела доступ в S3?
У меня 3 простых принципа: fit for purpose, KISS и YAGNI.
Пока идет бурное обсуждение, давайте я малость разбавлю интересной новостью, которая была некоторое время на слуху амазонщиков.
https://arstechnica.com/information-technology/2019/07/feds-former-cloud-worker-hacks-into-capital-one-and-takes-data-for-106-million-people/
Если вкратце:
1. Бывший (?) сотрудник AWS смог получить доступ к IAM роли.
2. Воспользовавшись этой ролью сотрудник получил доступ к S3.
3. Сотрудник радостно поделился об этом со всем миром, был арестован, ну и так далее.
Что говорят медиа: “взломали AWS, слили данные”
Плевать на желтушные заголовки, у меня только один вопрос: каким образом роль для сервиса WAF имела доступ в S3?
Ars Technica
Hacker ID’d as former Amazon employee steals data of 106 million people from Capital One
Former systems engineer arrested on charges she accessed data in Firewall hack.
Forwarded from Evil Martians
А у нас новый пост, где Сергей Пономарёв делится советами по ускорению сборки с Go Modules в Docker и CI:
http://amp.gs/SjYJ
http://amp.gs/SjYJ
DEV Community
Speeding up Go Modules for Docker and CI
Finally, the Golang world has a built-in, conventional dependency manager in the ecosystem: Go Module...
Forwarded from Cybershit
Любители опенсорсных проектов из Cloud Native Computing Foundation (CNCF), руками парней из Trail of Bits и Atredis Partners провели аудит Kubernetes. А это, на секундочку, около 2 миллионов строк кода и 4 месяца кропотливой работы!
Результат: 34 уязвимости - 4 [critical], 15 [medium], 8 [low] и 7 [info]
Ознакомиться с результатами аудита, а также скачать полные отчеты с проблемными кусками кода можно по ссылке: https://www.cncf.io/blog/2019/08/06/open-sourcing-the-kubernetes-security-audit/
Результат: 34 уязвимости - 4 [critical], 15 [medium], 8 [low] и 7 [info]
Ознакомиться с результатами аудита, а также скачать полные отчеты с проблемными кусками кода можно по ссылке: https://www.cncf.io/blog/2019/08/06/open-sourcing-the-kubernetes-security-audit/
CNCF
Open sourcing the Kubernetes security audit
Last year, the Cloud Native Computing Foundation (CNCF) began the process of performing and open sourcing third-party security audits for its projects in order to improve the overall security of our…
Forwarded from PythonDigest
uWSGI в помощь метрикам. Доклад Яндекса
https://habr.com/ru/post/462697/?utm_campaign=462697&utm_source=habrahabr&utm_medium=rss
На днях состоялся Moscow Python Meetup #66 — сообщество продолжает обсуждать актуальные инструменты, которые усиливают язык и адаптируют его к разным окружениям. В том числе на митапе прозвучал и мой доклад. Меня зовут Наиль, я делаю Яндекс.Коннект.
https://habr.com/ru/post/462697/?utm_campaign=462697&utm_source=habrahabr&utm_medium=rss
На днях состоялся Moscow Python Meetup #66 — сообщество продолжает обсуждать актуальные инструменты, которые усиливают язык и адаптируют его к разным окружениям. В том числе на митапе прозвучал и мой доклад. Меня зовут Наиль, я делаю Яндекс.Коннект.
Forwarded from Sys-Admin InfoSec (Yevgeniy Goncharov)
six-pillars-of-devsecops.pdf
417.1 KB
Шесть столпов DevSecOps по версии CSA (cloud security alliance)
Forwarded from oleg_log (Oleg Kovalov)
Тут роадмап Envoy на 2019 огласили, все круто, и тебе HTTP/3, и WASM, и даже поддержка Kafka(Redis, ZK, MySQL уже есть)...даже конкуренты Nginx & HAProxy фичи копируют, вот только судя по гитхабу и стонам соседней тимы не все так вылизано.
А еще Lyft пихает 40М рпс в Редис, однако.
https://blog.getambassador.io/envoy-proxy-in-2019-security-caching-wasm-http-3-and-more-e5ba82da0197
А еще Lyft пихает 40М рпс в Редис, однако.
https://blog.getambassador.io/envoy-proxy-in-2019-security-caching-wasm-http-3-and-more-e5ba82da0197
Medium
Envoy Proxy in 2019: Security, Caching, Wasm, HTTP/3, and more
Since its release in September 2016, Envoy Proxy has gained enormous traction in the market. Envoy was a classic case of the right product…
Forwarded from Cybershit
Вот и доклады с BlackHat начинают подтягиваться.
Например подробнейший материал о возрождении техники HTTP Request Smuggling, позволяющей вмешаться в обмен между клиентом и веб-сервером, когда в HTTP цепочке участвует несколько промежуточных узлов (например прокси, fw и пр.).
https://portswigger.net/blog/http-desync-attacks-request-smuggling-reborn
https://portswigger.net/web-security/request-smuggling
Например подробнейший материал о возрождении техники HTTP Request Smuggling, позволяющей вмешаться в обмен между клиентом и веб-сервером, когда в HTTP цепочке участвует несколько промежуточных узлов (например прокси, fw и пр.).
https://portswigger.net/blog/http-desync-attacks-request-smuggling-reborn
https://portswigger.net/web-security/request-smuggling
Forwarded from HABR FEED + OPENNET
Беспростойная миграция MongoDB в Kubernetes
https://habr.com/ru/post/461149/
Tags: Блог компании Флант, Системное администрирование, MongoDB, DevOps, Kubernetes
Author mastanggt on #habrahabr
https://habr.com/ru/post/461149/
Tags: Блог компании Флант, Системное администрирование, MongoDB, DevOps, Kubernetes
Author mastanggt on #habrahabr
Хабр
Беспростойная миграция MongoDB в Kubernetes
Эта статья продолжает наш недавний материал про миграцию RabbitMQ и посвящена MongoDB. Поскольку мы обслуживаем множество кластеров Kubernetes и MongoDB, пришл...
Бесплатный онлайн практикум DevOps by REBRAIN: Jenkins
Регистрация - http://bit.ly/2MRovzk
Количество мест строго ограничено!
Практикум по освоению DevOps
Время проведения:
13 Августа (Вторник) в 19:00 по МСК
Что будет на практикуме?
🔹Зачем нужны CI/CD инструменты?
🔹Настраиваем сборку Docker Образа через Jenkins
🔹Описываем сборку в Jenkinsfile
Кто ведет?
Василий Озеров - основатель агентства Fevlake (fevlake.com) и действующий Devops-инженер (опыт в Devops более 5 лет). Регулярно выступает на RootConf, DevOpsConf Russia, HighLoad.
Открытые еженедельные DevOps практикумы - https://bit.ly/2CGmm3C
Присоединяйтесь! #реклама
Регистрация - http://bit.ly/2MRovzk
Количество мест строго ограничено!
Практикум по освоению DevOps
Время проведения:
13 Августа (Вторник) в 19:00 по МСК
Что будет на практикуме?
🔹Зачем нужны CI/CD инструменты?
🔹Настраиваем сборку Docker Образа через Jenkins
🔹Описываем сборку в Jenkinsfile
Кто ведет?
Василий Озеров - основатель агентства Fevlake (fevlake.com) и действующий Devops-инженер (опыт в Devops более 5 лет). Регулярно выступает на RootConf, DevOpsConf Russia, HighLoad.
Открытые еженедельные DevOps практикумы - https://bit.ly/2CGmm3C
Присоединяйтесь! #реклама