Уязвимости недели от DevOps FM

🛡 Продолжаем делиться пользой в начале недели :) Сегодня подготовили для вас подборку майских уязвимостей.

⏺ Nginx-poolslip – преемник CVE-2026-42945. Не успели обновиться до стабильных веток с исправлениями, как 22 мая вышли версии nginx-1.30.2 и nginx-1.31.1 для обнаруженной уязвимости CVE-2026-9256. Эксплуатация nginx-poolslip может привести к полной компрометации системы. Рекомендации по безопасности – здесь.

⏺ GRO Frag класса CopyFail обнаружили в ядре Linux. Как и в прошлых уязвимостях, локальный пользователь может получить права root, перезаписав данные в страничном кэше. Причиной возникновения стал сбой в Zero-Copy, функции skb_gro_receive() при использовании механизма сетевого стека GRO. Патч от 20 мая оставили – тут.

Для обеспечения безопасности в Linux 7.2 от поддержки Zero-Copy планируют отказаться.

⏺ Anthropic опубликовала отчет с 6202 критическими уязвимостями в открытом ПО. Бета-версия ИИ-модели Mythos просканировала тысячу проектов с открытым исходным кодом. По результатам анализа было опубликовано 88 публичных отчётов. Из обнаруженных критических уязвимостей – CVE-2026-27654, CVE-2026-5199, CVE-2026-5446.

Дашборд со всеми уязвимостями – тут.

⏺ Google опубликовала эксплойт для уязвимости в базе Chromium. Её не могут устранить уже 46 месяцев. По сути, компроментация – это лазейка, через которую злоумышленник включает устройство в ограниченную ботнет-сеть.

👀 Какие уязвимости вы бы добавили в этот список? Делитесь в комментариях, расширим список вместе.

#девопс #уязвимости #подборка

Дайджест новостей в DevOps FM

В эту среду подготовили для вас подборку свежих релизов.

⏺ Выкатили релиз nxs-universal-chart v3.1.0, open-source инструмент для развертывания приложений в Kubernetes. В новой версии переработали механизм autoRolloutChecksums для сокращения ложных diff-ов и ненужных синхронизаций. Добавили 11 новых nuc-* sub-chart-ов для работы с базами данных, GitOps и сетевой инфраструктурой.

Особенностью обновления стал MCP-сервер для генерации values.yaml, валидации Helm-чартов. Чарт покрывает широкий спектр ресурсов Kubernetes — от базовых Deployment/Service до операторов баз данных, Istio, Gateway API и систем мониторинга. Подробности – на ArtifactHub, а релиз – уже на GitHub.

⏺ Что нового в GitLab 19.0? В мажорном релизе фокус сместили на развитии безопасности ИИ-инструментов и сервисов.

Представили кастомную конфигурацию элементов User Story, Bug, или Maintenance с отдельными иконками и жизненными циклами, в бета-версии появились менеджер для хранения и извлечения CI/CD cекретов, Также, представили сканнер зависимостей на базе SBOM. Для GitLab Duo Developer можно использовать триггер на слияние для ускорения работы.

В GitLab 19.0 требуется PostgreSQL 17, прекращена поддержка Ubuntu 20.04 и Redis 6. Все улучшения – здесь.

⏺ Доступен Redis 8.8.0. В новой версии сосредоточились на повышении стабильности, включили новую структуру Array для объединения и индексирования данных в коллекции, уведомления на уровне хэш-полей, команду INREX ( INCR , INCRBY, INCRBYFLOAT ) для ограничения частоты запросов, новые агрегаторы и аргументы. Улучшили безопасность и устранили 6 критических уязвимостей. Об улучшениях – здесь.

⏺ Спустя 3 дня после начала ревью, 23 мая Грег Кроа-Хартман анонсировал релиз ядра Linux 7.0.10. В релизе исправили баги при учете памяти, из-за которых возникали проблемы с VRAM, почистили сетевой стек и устранили утечки файловых дескрипторов и неинициализированных данных. Внесли изменения в логику Btrfs и Ceph для работы без зависаний. Подробности о релизе – тут, список изменений – здесь.

⏺ В это же время Линус Торвальдс недоволен объемом патча 7.1-rc5 от 24 мая. Большинство улучшений и фиксов он назвал «неважными» и пообещал тщательнее отсматривать запросы на внесение изменений.

These things are "fixes", sure, but at the same time a lot of them are simply so irrelevant that I think they'd be better off in a linux-next tree and get merged during the merge window.

В конце концов, основная задача на данном этапе – это поиск регрессий. По словам Линуса, внесенные изменения могут ухудшить производительность и стабильность ядра в будущем.

#новостная_подборка #nxs_universal_chart #gitlab #redis #opensource

Приглашаем инженеров на DevOps Lab: ML in Production!

Не планируйте ничего на 26 июня! Открыли регистрацию на закрытую встречу в Новосибирске, где DevOps-инженеры и технические руководители разберут, как выстроить безопасную инфраструктуру для ML-сервисов на практике.

🟡Что вас ждет?
• инфраструктура инференса
• безопасность ML-пайплайнов
• наблюдаемость моделей в производственной среде
• Кофе-брейк и возможность задать неудобные вопросы напрямую

На DevOps Lab мы соберёмся небольшим кругом, чтобы послушать три практических доклада, обсудить кейсы и немного подебажить с коллегами из индустрии. Регистрируйтесь, количество билетов ограничено :)

📌 26 июня, 18:00 | г. Новосибирск, офис Никсис
📌 Регистрация: по ссылке

#девопс #никсис #митап

6 рисков ИИ-агентов в контейнерах

👻 В первый понедельник июня приготовили подборку страшных историй. В блоге Docker описали критические риски при использовании ИИ-агентов в контейнерах. Какие угрозы таят помощники для кластеров?

⏺ Ужасы чистки Mac и при чем здесь ~/

Одним декабрьским днем в 2025 пользователь Reddit решил почистить пакеты в старом репозитории. Ничего не предвещало беды, он ввел промт в Claude CLI и… удалил документы, связки ключей и всё в /Users/ на Mac. Какую команду использовал агент? Всего-то:

rm -rf tests/ patches/ plan/ ~/

Где ~/ относится ко всему домашнему директорию. Подробности о восстановлении данных и примеры похожих инцидентов тут.

⏺Уничтожение окружения

В середине декабря 2025, инженер AWS запустил Kiro, ассистента Amazon, чтобы исправить маленький баг в дашборде по отслеживанию облачных расходов. ИИ взвесил все «за» и «против» и решил удалить окружение, пересобрать с нуля.

В Китае сервис был недоступен 13 часов. Об истории узнали лишь в феврале 2026, а подробности о втором сбое оставили здесь.

⏺ Секреты раскрыты, виноват контекст

В августе 2025 злоумышленники разместили вредоносные пакеты с Nx в npm. После их установки все данные, от криптокошельков до SSH-ключей, оказались в открытом доступе. Обойти ограничения оказалось просто: вредонос подключился к ИИ-агенту на устройстве и использовал флаги —dangerously-skip-permissions, --yolo и --trust-all-tools.

Спустя 8 часов после начала атаки Wiz насчитал больше тысячи слитых токенов GitHub и десятки облачных кредов и токенов npm.

Подробные разборы атак на цепочку поставок и промпт-инъекций ищите в статье.

#ИИ #docker #безопасность

В эфире DevOps FM с первой летней подборкой новостей!

⏺ Стало известно о масштабном инциденте провайдера MIRhosting. Платформа nLighten без предупреждения отключила оборудование, и часть инфраструктуры компаний в европейских ДЦ стала недоступна.

На момент публикации остановлена работа серверов в Германии и Нидерландах. Также недоступны THE.Hosting, UFO.Hosting, Alexhost.com, Vdsina.com и другие. Накануне инцидента MIRhosting подвергся проверкам регуляторов, были предъявлены обвинения в обходе санкций.

⏺ Codex обнаружил новую уязвимость. HTTP/2 Bomb позволяет провести удалённую DoS-атаку на серверы с включённым HTTP/2. Проблема затрагивает NGINX, Apache HTTPD, Microsoft IIS, Envoy и Cloudflare Pingora в конфигурации по умолчанию.

Атака сочетает две известные техники:
• Первая использует особенности HPACK, сжатия HTTP-заголовков в HTTP/2, из-за которого расходуется больше памяти сервера.
• Вторая техника работает на задержке через flow control, из-за которого ресурсы не освобождаются.

Весь PoC – здесь, а список затронутых серверов и рекомендации – тут.

⏺ Шон Вэбб отчитался о прогрессе HardenedBSD за апрель и май 2026.

Основная часть усилий ушла на миграцию с GitLab на Radicle. Ключевые репозитории уже перенесены, хотя Вэбб сообщил, что часть интеграций ещё дорабатывается вручную. За два месяца вышло несколько рекомендаций по безопасности для FreeBSD и новые сборки FreeBSD 16, FreeBSD 15.

⏺Вслед за обзором инцидентов атак ИИ-агентов блоге Docker вышло 2 практических гайда по безопасности в песочнице.

В первой Шрини Секаран разбирает набор из 5-ти практик обеспечения безопасности: ограничение процессов, контроль сети, лимиты ресурсов и постоянный мониторинг поведения во время выполнения.
Во второй части даёт схему внедрения принципов в жизненный цикл работы ИИ-агента и оставляет подробный чек-лист для проверки.

⏺ В блоге CNCF вышел подробный разбор архитектуры платформы разработки на базе Kubernetes. Автор показывает, как объединить принципы нативных облачных технологий, IaC, GitOps и практики безопасности цепочки поставок. Логика построена на работе трёх уровней – архитектуры, платформы и приложения.

⏺ На Medium рассказали о сетях Kubernetes, от базовых принципов до практических сценариев. В статье описали логику работы pod IP, роль CNI-плагинов и особенности ClusterIP, NodePort и LoadBalancer. Отдельно вынесли частые вопросы и сценарии отладки проверок селекторов Service, бесконечных <pending> и проблемами в работе CNI.

#новостная_подборка #девопс #Docker #Kubernetes #HardenedBSD

Kubernetes: 12 лет спустя

👩‍💻 В эту субботу Kubernetes исполнится 12 лет. За это время проект превратился в одну из ключевых платформ современной инфраструктуры. Что ждет Kubernetes в будущем?

6 июня 2014 года на GitHub был опубликован набор из 250 файлов и 47 501 строк кода на Go, Bash и Markdown, с которого началась история.

О сооснователях. Джо Беда называл Kubernetes «духовным наследником Borg» формата open-source. Одним из примеров преемственности служит механизм scheduling в K8s, который позволяет управлять большим объемом рабочих нагрузок и использовать ресурсы ДЦ эффективнее.

Брендон Бёрнс не раз говорил, что сила Kubernetes – в сообществе, а Крэйг МаКлаки подчеркивал важность экосистемы вокруг оркестратора.

О будущем контейнеризации. Следующий этап в развитии – переход к инфраструктуре для сервисов, ИИ-моделей и обеспечению их безопасности. Kubernetes всё сильнее становится базовой платформой для:
• сервисной сетки и сложной маршрутизации трафика
• serverless-подходов и абстракций над инфраструктурой
• развёртывания и обслуживания AI/ML-систем
• защиты цепочки поставок, подписи образов и политик безопасности
• предотвращение угроз и контроль поведения уже запущенных контейнеров

👀Для желающих рассмотреть кейсы на практике собрали подборку с Observability саммита:

▶️Bloomberg показывает, как выстроить наблюдаемость в мультикластерной платформе на базе Kubernetes
▶️Про синтетический мониторинг с Kuberhealthy рассказала Кейт Агнью
▶️AI-as-a-Service в нескольких кластерах Kubernetes с Envoy AI Gateway

Больше о будущем Kubernetes – в интервью с Брендоном Бёрнсом, где обсуждаются ИИ-стек, инфраструктурные решения и направления развития отрасли.

#девопс #kubernetes

Контроль доступа в Kubernetes

🔐Всем DevOps! Собрали для вас подборку статей с LearnKube, которая поможет разобраться, кто может подключаться к серверу API, что именно ему разрешено и как это контролировать в Kubernetes.

⏺В первой статье Гулькан Топку и Артур Чиао сосредоточились на аутентификации. На примерах поймете, как действуют ограничения к серверу HTTP API и ни слова про kubectl.
⏺Следующий этап – авторизация и RBAC. Всё о том, как ограничить доступ, чтобы у каждого пользователя и сервиса были только нужные права.
⏺И наконец, практическая модель адаптации аутентификации под свою инфраструктуру, например через LDAP.

Желаем приятного чтения и продуктивной недели!

#девопс #kubernetes #безопасность

Новый сервис для аренды VPS/VDS

🖖Всем DevOps! Выбор между «железом», облаком или гибридом актуален в любое время года. Но если вашей команде не подходит ни один из трех вариантов – хостинг VPS/VDS сервера поможет закрыть задачи вашей инфраструктуры.

Коллеги из enterprise-команды CORTEL запустили сервис для аренды VPS/VDS с гарантированными выделенными ресурсами и высокой производительностью. Подойдёт для dev/stage-сред, тестовых стендов, ботов, pet-проектов и небольших сервисов.

Для инженера внутри:
• собственные ресурсы и платформа
• выбор тарифов под задачи
• защита от DDoS-атак
• публичный IPv4 и безлимитный трафик 1 Гбит/с
• живая поддержка от инженерной команды 24/7

👀Сейчас коллеги развивают продукт и дают хорошую стоимость, которую не планируют поднимать для действующих клиентов. Можете зайти, протестить VPS под задачи и спокойно пользоваться.

➡️Сервис доступен по ссылке.

#партнёрский_пост

В эфире DevOps FM – срединедельный дайджест новостей и статей!

👩‍💻 Что ждёт Ubuntu Desktop 26.04 LTS рассказал Жан-Батист Лальман. Платформа продолжит развитие на базе GNOME, а переход с dbus-daemon на dbus-broker обеспечит лучшую производительность и безопасность. В планах обеспечить гибкость и простоту функционала, включить ИИ-инструменты для работы с контекстом.

Уже 15 октября 2026 состоится релиз новой стабильной версии, а дорожная карта с ключевыми релизами – тут.

⏺CISA опубликовала отчёт по критическим уязвимостям за июнь. В него включили CVE-2026-28318, SolarWinds DoS-уязвимость в FTP/SFTP-сервере Serv-U. Эксплуатация приводит к падению сервиса без аутентификации. Разборы критических уязвимостей и правила безопасности найдете – здесь.

⏺GitLab сократила 14% сотрудников и увеличила выручку на 23% (год к году). В начале июня прошло обсуждение по планированию Q1 FY2027, на котором CEO Билл Стейплс сообщил о переходе платформы к управлению циклом ИИ-агентов.

Нагрузка на GitLab заметно выросла, количество операций – на 49%, конвейеров CI стало больше на 38%, а давление на инфраструктуру стало сильнее. Ранее мы сообщали о реструктуризации штата, примерно, 350 сотрудников попали под сокращение. Подробнее о будущем GitLab – тут, разбор на Хабре – здесь.

⏺ На Хабре вышла вторая часть из серии статей «От Naive RAG до ReAct-агента» про построение ИИ-помощника с помощью open-source инструментов.

Инженер Лаборатории «Честного знака» рассказал, как команда решила проблему с индексацией и перешла на Advanced RAG, какой пайплайн Chunking получился и сколько итераций потребовалось для работы с мультиагентной структурой. Статья доступна по ссылке, а если пропустили первую часть, оставили её – здесь.

⏺ Как построить безопасную микросервисную архитектуру рассказали в блоге Сбера. В статье привели сценарии на уровнях архитектуры и безопасности при взаимодействии микросервисов с СУБД. Подробности о том, как организовать взаимодействие с PostgreSQL через Service Mesh и выстроить работу с TLS – тут.

⏺В блоге CNCF вышел разбор функций оператора Kubernetes для управления секретами. В изолированных окружениях сложно автоматизировать процессы из-за зависимости от внешних лиц. Проблемы возникают при передаче учетных данных из песочницы и ручном обновлении AWS аккаунтов. О том, как оператор секретов ESO становится мостиком при синхронизации можете узнать – в статье.

#девопс #ubuntu #kubernetes #gitlab #cncf

Подборка тренажеров для работы с TCP и Kubernetes

👩‍💻 В эту пятницу подготовили для вас подборку симуляторов для работы с распределенными системами, протоколами TCP, управлению жизненным циклом в K8S.

На портале Semicolony собрано 40 тренажеров. Для удобства навигации они разбиты на 5 групп, в каждой из которой представлены практические гайды и полезные материалы.

Из интересных:
⏺Жизненный цикл JWT в системе аутентификации. Практика проверки на подлинность, обновление и досрочное отзывание токена.
⏺ Постепенное развертывание в Kubernetes (rolling update). Работа с контроллером через maxSurge и maxUnavailable, завершение работы пода.
⏺Особенности планировщика Go (runtime scheduler). Практика работы с GMP-моделями и переход от кооперативного к асинхронному вытеснению.

Хорошей практики и приятных выходных! Делитесь своей подборкой в комментариях.

#девопс #тренажеры #k8s

Приглашаем на Kuber Community Day

🖖Всем DevOps! В эту среду рекомендуем внести в календарь ещё одно интересное событие лета: 30 июля пройдет конференция Kuber Community Day. Вас ждут доклады, круглые столы, мастер-класс по созданию K8s-оператора, эксперимент Arch Dating, где можно обсудить технические вопросы и карьерное развитие с опытными архитекторами и инженерами.

Доклады представят спикеры Ænix, MWS, «Райффайзенбанка», «СберЗдоровья», «Лаборатории Числитель», «Инфосистемы Джет», Hilbert Team, OpsMaster и других компаний.

На конференции узнаете о:
• ИИ в Kubernetes и вместо DevOps
• подробностях Argo Project;
• использовании NixOS вместо Talos;
• мониторинге состояния Kubernetes;

💬Программа включает практические кейсы о том, как проектировать air-gapped-инфраструктуру и сколько на самом деле стоят неудачные деплои.

⏺Вход бесплатный, по предварительной регистрации.
⏺Посетить можно офлайн или присоединиться онлайн :)

#партнёрский_пост

Топ полезных команд Linux

👩‍💻 О каких простых, но полезных командах Linux вы узнали совсем недавно? Пользователь Reddit начал тред с подборкой для упрощения поиска, работы с файлами, обработки данных, мониторинга и автоматизации. Весь тред – здесь, а внизу оставили самые интересные:

wufame
tac
Это cat наоборот
Полезна в моменты, когда вам нужно начать снизу из-за плотного лога. Провел 10 лет в поддержке и не знал о tac

throwaway234f32423df
Знаю, звучит забавно, но tac | tac | (что-то) пригодится в параллельной работе конвейеров, чтобы предотвратить преждевременное выполнение.

digitallis
Bash {}
При переименовывании файла с добавлением суффикса: mv myfile{,.old} расширяется до mv myfile myfile.old.

RoomyRoots
jq/yq
В современной жизни мы слишком зависим от JSON и YAML…

SteveDinn
Я уже отвечал на похожий вопрос неделю назад – apropos.

e4109c
sudo !!

BlindTreeFrog
У меня не просто так alias please="sudo !!" в .bashrc

lmpcpedz
Моё любимое alias oops='sudo $(history -p !!)’

einkesselbuntes
В fish это alt+s

А ещё больше команд найдете – на Linux Journey и в классической подборке от Джулии Эванс.

#linux #подборка

Заменят ли ИИ-агенты DevOps-а?

В прошлый понедельник мы уже рассказали, как настроить контур приватной LLM в Kubernetes. Сегодня обсудим, что делать с ML-инфраструктурой дальше и при чем здесь ИИ-агенты.

👀Представьте, вы один DevOps-инженер с командой из 50-ти разработчиков. Бесконечные алерты, тикеты, отчёты и менеджеры, которым просто посмотреть, куда ушли деньги в облаках – это лишь малая часть проблем за день. Нанять второго DevOps-а нельзя, но проблемы решать нужно.

На этой неделе, 26 июня на DevOps Lab: ML in Production инженер Евгений Дехтярёв поделится принципами работы open-source платформы Paperclip. С её помощью вы соберете свою команду ИИ-агентов и делегируете им часть работы.

В докладе Евгений расскажет:

• Как агент работает с задачей в тикет-системе
• Почему агенты собирают отчёт в субботу
• Что нужно агентам для просмотра алертов в Slack, проведения базовой диагностики

👨‍💻Если ресурсов команды не хватает, а делать надо много – приходите на DevOps Lab. Покажем, как сформировать свой штат из ИИ-агентов.

📍 26 июня, Новосибирск
📍 Регистрация: по ссылке

#никсис #devopslab #ml

Подвели итоги DevOps Lab: как это было

🤩В прошлую пятницу прошел первый митап серии DevOps Lab: ML in Production. В офисе Никсис собрались инженеры, руководители команд и технические лидеры Новосибирска, чтобы обсудить работу агентов и ML-сервисов в производственной среде.

Спешим поделиться атмосферой обсуждений и споров в кругу своих. И самое важное – говорим спасибо каждому, кто стал частью первого DevOps Lab в Сибири. Надеемся, мы стали местом, где можно открыто обсуждать реальные кейсы, обмениваться опытом и искать решения вместе.

🟡Совсем скоро выйдем в эфир с записью выступления с разбором рабочей архитектуры приватных LLM на базе Kubernetes.

А пока желаем продуктивной недели без инцидентов :)

#devops #никсис #митап