Forwarded from DevOps Deflope News
Вышла новая 23-я редакция Technology Radar по состоянию индустрии от компании ThoughtWorks.
Одна из основных тем — Инфраструктура как код, авторы отмечают взросление и развитие экосистемы, практик и инструментов.
Также можно отметить следующие практики и инструменты:
Dependency drift fitness function, Run cost as architecture fitness function, Security policy as code, CD4ML
Open Application Model (OAM), Pulumi, Tekton
Helm, Kustomize, ShellCheck, Terragrunt, tfsec, Flagger, Kiali
Technology Radar http://amp.gs/W0kq
PDF доступен по ссылке http://amp.gs/W0kD
#techradar #devops #tools #news
Одна из основных тем — Инфраструктура как код, авторы отмечают взросление и развитие экосистемы, практик и инструментов.
Также можно отметить следующие практики и инструменты:
Dependency drift fitness function, Run cost as architecture fitness function, Security policy as code, CD4ML
Open Application Model (OAM), Pulumi, Tekton
Helm, Kustomize, ShellCheck, Terragrunt, tfsec, Flagger, Kiali
Technology Radar http://amp.gs/W0kq
PDF доступен по ссылке http://amp.gs/W0kD
#techradar #devops #tools #news
Thoughtworks
Technology Radar | An opinionated guide to technology frontiers | Thoughtworks
The Technology Radar is an opinionated guide to technology frontiers. Read the latest here.
⚙️ NginxProxyManager
NginxProxyManager - это бесплатный обратный прокси (reverse proxy) на основе Nginx, который предоставляет удобный веб-интерфейс для управления проксированием приложений.
Основные преимущества и функции NginxProxyManager:
- Простая настройка проксирования: NginxProxyManager позволяет легко настраивать проксирование приложений без необходимости редактировать конфигурационные файлы Nginx вручную.
- Управление SSL-сертификатами: NginxProxyManager поддерживает автоматическое получение и обновление бесплатных SSL-сертификатов от Let's Encrypt, упрощая процесс настройки HTTPS.
- Контроль доступа и авторизация: NginxProxyManager предоставляет возможность управления пользователями, разрешениями и ведения журнала аудита.
- Централизованное управление проксированием: NginxProxyManager позволяет управлять проксированием нескольких приложений и доменов из единого веб-интерфейса.
Таким образом, NginxProxyManager упрощает процесс настройки и управления обратным прокси-сервером на основе Nginx, делая его более доступным для пользователей, не имеющих глубоких знаний в конфигурации Nginx.
🔗 Сайт проекта: https://nginxproxymanager.com
@showconfig #nginx #proxy #devops #opensource #ssl
NginxProxyManager - это бесплатный обратный прокси (reverse proxy) на основе Nginx, который предоставляет удобный веб-интерфейс для управления проксированием приложений.
Основные преимущества и функции NginxProxyManager:
- Простая настройка проксирования: NginxProxyManager позволяет легко настраивать проксирование приложений без необходимости редактировать конфигурационные файлы Nginx вручную.
- Управление SSL-сертификатами: NginxProxyManager поддерживает автоматическое получение и обновление бесплатных SSL-сертификатов от Let's Encrypt, упрощая процесс настройки HTTPS.
- Контроль доступа и авторизация: NginxProxyManager предоставляет возможность управления пользователями, разрешениями и ведения журнала аудита.
- Централизованное управление проксированием: NginxProxyManager позволяет управлять проксированием нескольких приложений и доменов из единого веб-интерфейса.
Таким образом, NginxProxyManager упрощает процесс настройки и управления обратным прокси-сервером на основе Nginx, делая его более доступным для пользователей, не имеющих глубоких знаний в конфигурации Nginx.
🔗 Сайт проекта: https://nginxproxymanager.com
@showconfig #nginx #proxy #devops #opensource #ssl
🕵️♂️ Сканирование Oops Commits на GitHub в поисках утёкших секретов — разбор кейса
🔍 Кратко:
- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.
⚡️ Что интересного:
- Удалить коммит на GitHub невозможно:
Даже после
- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.
- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов:
- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.
- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.
🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner
Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!
Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets
@showconfig #безопасность #github #secrets #tokens #devops #trufflehog
🔍 Кратко:
- GitHub хранит все публичные коммиты, даже те, которые разработчики “удаляют” через force push.
- Эти “удалённые” коммиты (zero-commit PushEvents) доступны в архиве GitHub навсегда.
- Автор проекта, белый хакер Шарон Бризинов (Sharon Brizinov) просканировал все force push события с 2020 года и нашёл секреты на сумму $25,000 в баунти.
⚡️ Что интересного:
- Удалить коммит на GitHub невозможно:
Даже после
force push коммиты остаются доступны по хэшу — их можно найти и восстановить.- Автоматизация поиска секретов:
Используется GitHub Event API + GH Archive для поиска zero-commit PushEvents (force push без новых коммитов).
Новый инструмент Force Push Scanner позволяет сканировать такие “висячие” коммиты на секреты/пароли.
- Результаты поиска:
• Найдены тысячи активных секретов/паролей/токенов.
• Самые ценные находки — GitHub PAT и AWS credentials.
• Чаще всего секреты утекали из файлов:
.env, application.properties, docker-compose.yml, main.py.- Кейс: предотвращение supply-chain атаки:
Был найден GitHub PAT с правами администратора ко всем репозиториям Istio(!) (36k звезд, 8k форков). Это могло привести к масштабной supply-chain атаке, но команда быстро отреагировала и удалила ключ.
- Важные выводы:
• После коммита секретов их нужно немедленно отзывать — “удаление” из истории не спасает.
• Для защиты стоит регулярно сканировать dangling commits в своих репозиториях.
🛠 Полезные инструменты:
Для поиска секретов в удалённых коммитах:
• https://github.com/trufflesecurity/trufflehog
• https://github.com/trufflesecurity/force-push-scanner
Рекомендую: если работаете с GitHub — проверьте свои репозитории и настройте автоматический поиск утёкших секретов!
Источник: https://trufflesecurity.com/blog/guest-post-how-i-scanned-all-of-github-s-oops-commits-for-leaked-secrets
@showconfig #безопасность #github #secrets #tokens #devops #trufflehog
GitHub
GitHub - trufflesecurity/trufflehog: Find, verify, and analyze leaked credentials
Find, verify, and analyze leaked credentials. Contribute to trufflesecurity/trufflehog development by creating an account on GitHub.
1🌚3👍1🤯1