На ваших экранах — свежие новости из мира DevOps и системного администрирования.
🤩 В России возникла проблема с доступом к сайтам, использующих ECH Protocol от Cloudflare. Среди них — opensource.org, gitlab.io, doxygen.org.
ECH (Encrypted Client Hello) — это технология для TLS 1.3, которая позволяет скрывать от интернет-провайдеров адреса посещённых пользователем сайтов.
Протокол пришёл на замену менее надёжному ESNI. В отличие от ESNI, ECH шифрует не только SNI (Server Name Indication), а сразу всё сообщение ClientHello целиком. Эта функция была ненадолго активирована на серверах Cloudflare в 2023 году и стала снова доступна в октябре этого года.
В ночь с 5 по 6 ноября Роскомнадзор начал блокировать трафик, который шифруется через новую версию защиты от Cloudflare. При этом сайты версиями TLS 1.2 и ниже до сих пор работают без перебоев.
Почитать о костыльных решениях проблемы можно здесь.
upd: 7 ноября подведомственный Роскомнадзору ЦМУ ССOП порекомендовал отказаться от Cloudflare и перейти на российские решения. Центр отметил, что использование ECH нарушает российское законодательство.
⚫️ Опубликовали патч для ядра Linux, который ускоряет прохождение теста
В патче используется маскирование указателей, что позволяет снизить количество медленных вызовов функции barrier_nospec(), применяемой в 64-битной версии функции copy_from_user().
🟡 GitHub выпустил Octoverse 2024 — ежегодный отчёт о состоянии индустрии open sourse. Если коротко:
• Разработчики со всего мира внесли более 1 миллиарда изменений в проекты с открытым исходным кодом. Из них — более 5,2 миллиарда изменений в 518 миллионов проектов на GitHub.
• Python впервые стал самым популярным языком на GitHub.
• Ожидается, что к 2028 году Индия обойдёт США по количеству разработчиков.
⚫️ В блоге Percona Пётр Зайцев высказался о проблемах MySQL и рассказал, как ей стать конкурентноспособной PostgreSQL. Спойлер:он предложил объединить усилия всех ключевых фигур проекта и создать альтернативу MySQL под новым брендом. Если вы не согласны, то можете поспорить с этим мнением в комментариях.
#devops #linux #cloudflare #github #mysql #postgresql
ECH (Encrypted Client Hello) — это технология для TLS 1.3, которая позволяет скрывать от интернет-провайдеров адреса посещённых пользователем сайтов.
Протокол пришёл на замену менее надёжному ESNI. В отличие от ESNI, ECH шифрует не только SNI (Server Name Indication), а сразу всё сообщение ClientHello целиком. Эта функция была ненадолго активирована на серверах Cloudflare в 2023 году и стала снова доступна в октябре этого года.
В ночь с 5 по 6 ноября Роскомнадзор начал блокировать трафик, который шифруется через новую версию защиты от Cloudflare. При этом сайты версиями TLS 1.2 и ниже до сих пор работают без перебоев.
Почитать о костыльных решениях проблемы можно здесь.
upd: 7 ноября подведомственный Роскомнадзору ЦМУ ССOП порекомендовал отказаться от Cloudflare и перейти на российские решения. Центр отметил, что использование ECH нарушает российское законодательство.
Рекомендуем владельцам информационных ресурсов отключить расширение TLS ECH или, что правильнее, использовать отечественные CDN-сервисы, которые обеспечивают надёжное и безопасное функционирование ресурсов и защиту от компьютерных атак.
⚫️ Опубликовали патч для ядра Linux, который ускоряет прохождение теста
per_thread_ops на 2.6%. В патче используется маскирование указателей, что позволяет снизить количество медленных вызовов функции barrier_nospec(), применяемой в 64-битной версии функции copy_from_user().
🟡 GitHub выпустил Octoverse 2024 — ежегодный отчёт о состоянии индустрии open sourse. Если коротко:
• Разработчики со всего мира внесли более 1 миллиарда изменений в проекты с открытым исходным кодом. Из них — более 5,2 миллиарда изменений в 518 миллионов проектов на GitHub.
• Python впервые стал самым популярным языком на GitHub.
• Ожидается, что к 2028 году Индия обойдёт США по количеству разработчиков.
⚫️ В блоге Percona Пётр Зайцев высказался о проблемах MySQL и рассказал, как ей стать конкурентноспособной PostgreSQL. Спойлер:
#devops #linux #cloudflare #github #mysql #postgresql
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7⚡4🤬3❤1👨💻1
Изменение графиков стало возможным благодаря отсутствию проверки временных меток в Git и особенностям системы атрибуции коммитов на GitHub. Можно создавать "задним числом" коммиты с произвольными сообщениями, которые отобразятся на графике активности любого пользователя.
Два ключевых вывода из статьи:
1. Манипуляции с временными метками и коммитами могут быть использованы как в благих, так и в злонамеренных целях.
2. Такие уязвимости подчеркивают необходимость улучшения механизмов проверки на платформах, подобных GitHub.
#github #repository
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤2👍2😱2
GitHub провели исследование сообщества разработчиков ПО с открытым исходным кодом. Предыдущий опрос был аж в 2017 году, и за 7 лет изменились не только технологии, но и само сообщество — более 75 миллионов пользователей присоединились к платформе.
В новом исследовании приняли участие 8400 человек, благодаря которым смогли выявить ключевые тенденции, влияющие на будущее open-source. Из интересного:
1. Рост использования ИИ
Использование инструментов ИИ, таких как GitHub Copilot, растет: 72% респондентов, использующих ПО с открытым исходным кодом, сообщают, что используют эти инструменты для кода или документаций.
2. Борьба с токсичностью
В 2017 году 49% разработчиков предпочитали просто игнорировать онлайн-токсичность. В 2024 году этот показатель снизился до 38% — люди стали чаще жаловаться на нарушителей и их блокировать.
3. Безопасность и активная разработка остаются в приоритете
За прошедшие годы "активная разработка" и "свободная лицензия" так и остались лидирующими критериями при использовании ПО.
Посмотреть полные результаты исследования можно тут.
#devops #opensource #github
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11🔥4🥰3
На Blacksmith вышел полноценный гайд по управлению секретами — чувствительными данными, такими как API-ключи, токены доступа и учетные данные баз данных в GitHub Actions. Он объясняет, как работают секреты, какие уровни управления ими существуют (
В статье собраны как базовые для опытных пользователей советы, так и интересные инсайты.
Читаем материал тут и проверяем, насколько ваши методы соответствуют best practices.
#devops #github #secrets
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤2🔥1🤯1
Выкатываем средовую подборку, ловите!
🟡 HashiCorp выпустили статью о эфемерных значениях в Terraform.
Ephemeral values позволяют безопасно работать с чувствительными данными без их сохранения в state-файле. В статье разбираются эфемерные ресурсы, write-only аргументы и механизм отложенного выполнения, предотвращающие утечки секретных данных.
⚫️ Релизнули FreeBSD 13.5
В новой версии обновили LLVM и его компоненты до версии 19.1.7; устранили проблему 2038 года в UFS1 (даты теперь поддерживаются до 2106 года) и добавили пару фичей, например запуск sysctl и ip6addrctl в изолированных jail-окружениях.
Обновляемся тут.
🟡 GitHub разобрали практический подход к решению проблем с утечками конфиденциальных данных. О том, как выявлять и устранять утечки токенов и паролей, а также рекомендации по защите данных читаем в статье.
⚫️ Луки Каваллин опубликовал вводный разбор устройства ядра Linux.
Автор рассказал о ключевых механизмах, практических аспектах разработки в ядре, отличиях от пользовательского пространства и различных сложностях. Будет полезно тем, кто хочет глубже разобраться во внутренней архитектуре Linux.
#Devops #GitHub #Security #Linux
🟡 HashiCorp выпустили статью о эфемерных значениях в Terraform.
Ephemeral values позволяют безопасно работать с чувствительными данными без их сохранения в state-файле. В статье разбираются эфемерные ресурсы, write-only аргументы и механизм отложенного выполнения, предотвращающие утечки секретных данных.
⚫️ Релизнули FreeBSD 13.5
В новой версии обновили LLVM и его компоненты до версии 19.1.7; устранили проблему 2038 года в UFS1 (даты теперь поддерживаются до 2106 года) и добавили пару фичей, например запуск sysctl и ip6addrctl в изолированных jail-окружениях.
Обновляемся тут.
🟡 GitHub разобрали практический подход к решению проблем с утечками конфиденциальных данных. О том, как выявлять и устранять утечки токенов и паролей, а также рекомендации по защите данных читаем в статье.
Вместо того, чтобы зацикливаться на вопросе «насколько вы уязвимы», вы должны изначально предполагать худшее. Ваши конфиденциальные данные полностью раскрыты; считайте это данностью.
⚫️ Луки Каваллин опубликовал вводный разбор устройства ядра Linux.
Автор рассказал о ключевых механизмах, практических аспектах разработки в ядре, отличиях от пользовательского пространства и различных сложностях. Будет полезно тем, кто хочет глубже разобраться во внутренней архитектуре Linux.
#Devops #GitHub #Security #Linux
🔥15👍3❤1
Что ни среда — то свежий дайджест на канале DevOps FM.
🟡 30 марта произошел массовый сбой в работе сервисов Яндекса
В воскресенье авария в одном из ЦОД Яндекса вызвала трудности с доступом ко множеству сервисов в зоне ru‑central1-b. Роскомнадзор заявил, что авария связана с системой электропитания одного из дата-центров.
Ожидаем отчет от Yandex Cloud, которые пока продолжают выяснять причины сбоя.
⚫️ Код в ядре Linux 6.15 протестировал и нервы Линуса Торвальдса
Новый код тестирования драйверов Intel Xe
Торвальдса возмутило, что «омерзительный hdrtest-мусор» замедляет сборку, оставляет случайные файлы и засоряет дерево исходников. Он пометил
Выпуск Linux 6.15 ожидается в конце мая — начале июня 2025 года.
🟡 Более 1500 серверов PostgreSQL стали жертвами майнинга
Проблема была обнаружена еще в прошлом году, но сейчас атаки вышли на новый уровень. Как выяснила команда Wiz, хакерская группа продолжает массово взламывать PostgreSQL-сервера с дефолтными паролями, развертывая криптомайнеры.
Для каждого зараженного сервера используются уникальные хэши, а сам майнер выполняется безфайловым методом и маскируется под процессы PostgreSQL. Также, через уязвимость злоумышленники могут получить полный контроль над сервером и проникнуть в корпоративную сеть.
⚫️ GitHub обнаружил 39 миллионов утечек секретной информации в 2024 году
Платформа сообщает о масштабной проблеме утечек секретных данных в репозиториях. В 2024 году GitHub обнаружил 39 миллионов таких инцидентов, и это при условии что ежедневно блокируются тысячи потенциальных утечек.
Чтобы помочь разработчикам защититься, GitHub запускает новые инструменты безопасности: Secret Protection и Code Security, которые теперь доступны как отдельные продукты; бесплатное сканирование секретов для организаций, чтобы выявлять утечки в масштабах всей команды; а также расширение возможностей Push Protection, предотвращающего загрузку секретов в код еще до коммита.
Подробнее о том, как происходят утечки и что предпринять для защиты — в статье.
#devops #linux #github
🟡 30 марта произошел массовый сбой в работе сервисов Яндекса
В воскресенье авария в одном из ЦОД Яндекса вызвала трудности с доступом ко множеству сервисов в зоне ru‑central1-b. Роскомнадзор заявил, что авария связана с системой электропитания одного из дата-центров.
Ожидаем отчет от Yandex Cloud, которые пока продолжают выяснять причины сбоя.
⚫️ Код в ядре Linux 6.15 протестировал и нервы Линуса Торвальдса
Новый код тестирования драйверов Intel Xe
hdrtest, который необходим для проверки заголовков DRM, был влит в предварительную сборку версии 6.15. Торвальдса возмутило, что «омерзительный hdrtest-мусор» замедляет сборку, оставляет случайные файлы и засоряет дерево исходников. Он пометил
hdrtest как сломанный, посоветовал убрать это "омерзительное нечто" из стандартной сборки, а также накинул добра в рассылку: This thing needs to *die*.
Выпуск Linux 6.15 ожидается в конце мая — начале июня 2025 года.
🟡 Более 1500 серверов PostgreSQL стали жертвами майнинга
Проблема была обнаружена еще в прошлом году, но сейчас атаки вышли на новый уровень. Как выяснила команда Wiz, хакерская группа продолжает массово взламывать PostgreSQL-сервера с дефолтными паролями, развертывая криптомайнеры.
Для каждого зараженного сервера используются уникальные хэши, а сам майнер выполняется безфайловым методом и маскируется под процессы PostgreSQL. Также, через уязвимость злоумышленники могут получить полный контроль над сервером и проникнуть в корпоративную сеть.
⚫️ GitHub обнаружил 39 миллионов утечек секретной информации в 2024 году
Платформа сообщает о масштабной проблеме утечек секретных данных в репозиториях. В 2024 году GitHub обнаружил 39 миллионов таких инцидентов, и это при условии что ежедневно блокируются тысячи потенциальных утечек.
Чтобы помочь разработчикам защититься, GitHub запускает новые инструменты безопасности: Secret Protection и Code Security, которые теперь доступны как отдельные продукты; бесплатное сканирование секретов для организаций, чтобы выявлять утечки в масштабах всей команды; а также расширение возможностей Push Protection, предотвращающего загрузку секретов в код еще до коммита.
Подробнее о том, как происходят утечки и что предпринять для защиты — в статье.
#devops #linux #github
👍5❤4🔥1
Собрали для вас подборку новостей и релизов за прошедшую неделю.
🟡 Redis 8.0 и возвращение к open-source лицензии
В прошлом году Redis перешли на закрытые лицензии RSALv2 и SSPLv1 вместо BSD. Директор Redis Ltd заявил, что переход на проприетарные лицензии выполнил необходимую задачу — AWS и Google создали свой собственный форк. Теперь, помимо RSALv2 и SSPLv1, Redis будет распространяться под AGPLv3.
Что нового в версии 8.0?
• Внесли более 30 оптимизаций производительности для ускорения команд до 87% и повышения пропускной способности в два раза
• Добавлены 8 новых структур данных
• Новый механизм репликации, который снижает использование памяти и ускоряет синхронизацию
• Все модули из Redis Stack теперь доступны и в Redis Open Source
Все изменения можно посмотреть здесь, а обновиться — тут.
⚫️ Команда Wiz подготовила подробный разбор уязвимостей в GitHub Actions и собрала лучшие практики по защите CI/CD-процессов. Авторы разобрали недавние supply chain-атаки, включая кейс с
• Используйте только проверенные версии сторонних GitHub Actions — хеш-пиннинг обязателен.
• Выдавайте минимально необходимые права и аккуратно работайте с секретами — особенно с доступом к сторонним сервисам.
• Избегайте уязвимых триггеров вроде
Подробности читаем в статье.
🟡 В блоге Kubernetes вышла статья о выходе в GA функции предотвращения утечек
В материале рассказали, как
⚫️ На DEV вышла статья, в которой автор делится опытом автоматизации настройки окружения и управления конфигурационными файлами с помощью Ansible. Он объясняет, почему отказался от GNU Stow и как настроил систему так, чтобы развёртывание конфигурации на любом новом устройстве — будь то Linux или macOS — происходило в один клик.
#devops #redis #opensource #github #ansible #kubernetes
🟡 Redis 8.0 и возвращение к open-source лицензии
В прошлом году Redis перешли на закрытые лицензии RSALv2 и SSPLv1 вместо BSD. Директор Redis Ltd заявил, что переход на проприетарные лицензии выполнил необходимую задачу — AWS и Google создали свой собственный форк. Теперь, помимо RSALv2 и SSPLv1, Redis будет распространяться под AGPLv3.
Что нового в версии 8.0?
• Внесли более 30 оптимизаций производительности для ускорения команд до 87% и повышения пропускной способности в два раза
• Добавлены 8 новых структур данных
• Новый механизм репликации, который снижает использование памяти и ускоряет синхронизацию
• Все модули из Redis Stack теперь доступны и в Redis Open Source
Все изменения можно посмотреть здесь, а обновиться — тут.
⚫️ Команда Wiz подготовила подробный разбор уязвимостей в GitHub Actions и собрала лучшие практики по защите CI/CD-процессов. Авторы разобрали недавние supply chain-атаки, включая кейс с
tj-actions, и дали рекомендации по настройке безопасности. Если кратко:• Используйте только проверенные версии сторонних GitHub Actions — хеш-пиннинг обязателен.
• Выдавайте минимально необходимые права и аккуратно работайте с секретами — особенно с доступом к сторонним сервисам.
• Избегайте уязвимых триггеров вроде
pull_request_target .Подробности читаем в статье.
🟡 В блоге Kubernetes вышла статья о выходе в GA функции предотвращения утечек
PersistentVolume при удалении объектов в неправильном порядке.В материале рассказали, как
finalizer гарантирует корректное удаление томов, даже если PV удаляется раньше связанного PVC. Раньше в таких случаях хранилище оставалось висеть в инфраструктуре. ⚫️ На DEV вышла статья, в которой автор делится опытом автоматизации настройки окружения и управления конфигурационными файлами с помощью Ansible. Он объясняет, почему отказался от GNU Stow и как настроил систему так, чтобы развёртывание конфигурации на любом новом устройстве — будь то Linux или macOS — происходило в один клик.
#devops #redis #opensource #github #ansible #kubernetes
👍10🔥3❤1
В эфире DevOps FM — срединедельный дайджест новостей и статей.
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках(до 2000 запросов в секунду) . Всё это — с сохранением обратной совместимости и стабильности интерфейсов.
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
🟡 Вышел OpenSearch 3.0.
Новый релиз включает изменения для повышения производительности и масштабируемости. Например, добавили векторный движок, который применяется для работы с данными в ML и ускоряет векторный поиск. Ещё усовершенствовали работу с управлением данных, например pull-режим получения данных, поддержка gRPC, интеграция Apache Calcite и автоматическое определение типа индексов.
Все изменения можно посмотреть здесь.
⚫️ В Kubernetes 1.33 появилась новая функция, которая повышает безопасность при работе с приватными контейнерными образами. Теперь
kubelet проверяет, действительно ли под имеет доступ к уже загруженному образу, даже если он используется с политикой IfNotPresent. Это изменение помогает избежать несанкционированного использования приватных образов другими подами на той же ноде.В блоге Kubernetes подробно рассказали о проблеме, которую не могли решить более 10 лет, архитектуре решения и о том, как новая логика аутентификации работает под капотом.
🟡 GitHub обновил поиск по Issues — теперь он поддерживает вложенные запросы и логические операторы AND/OR.
Это улучшение позволяет более точно находить нужные задачи, комбинируя условия поиска. В статье рассказали, как команда реализовала эту функцию: от перехода на Abstract Syntax Tree и интеграции с Elasticsearch до тестирования на реальных нагрузках
⚫️ На Medium вышел обзор ключевых обновлений в репозитории Cloud Networking Config Solutions от Google Cloud. В статье перечислены новые шаблоны и улучшения для настройки сетевой инфраструктуры в GCP: от поддержки VPC как spoke в Network Connectivity Center до обновлений для Vertex AI Workbench, App Engine и AlloyDB.
#devops #kubernetes #cloud #github #opensearch
🔥10👍6❤2
Начинаем рабочую неделю с занимательной статьи от Шарона Брызинова.
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после
git reset --hard HEAD~1 с последующим git push --force коммиты не исчезают навсегда — GitHub хранит их в архиве и позволяет восстановить по хешу.Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.
В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.
#devops #github #security
👍12❤3
Инженер Фабиан Агиляр Гомес рассказывает, как инфраструктурная команда GitHub работает с поиском и устранением проблем. Автор объясняет разницу между продуктовой и платформенной инженерией через аналогию с модельками Gundam.
Материал охватывает такие навыки и подходы как:
• Понимание предметной области и технических доменов
• Знание сетей, операционных систем, распределённых систем и IaC-инструментов
• Оценка зоны влияния (impact radius) и работа с зависимостями
• Тестирование инфраструктурных изменений на проде через E2E
• Важность распространения знаний и ретроспектив
#devops #github #infrastructure
Please open Telegram to view this post
VIEW IN TELEGRAM