The DevSecOps Security Checklist от sqreen (https://www.sqreen.com/).

Каждый раздел содержит ссылки на соответствующую тематику.

hoppy — репозиторий Дэвида Бизли с древними версиями питона, начиная с 0.9.1 (1991 год). По сути, это вторая выпушенная версия, и от первой она отличается только багфиксами. На википедии на странице History of Python можно примерно посмотреть, какие фичи когда появлялись. И ещё в официальном репозитории есть огромный файлик HISTORY.

В общем, я уствовил самый древний Python.

>>> dir(builtin)
['EOFError', 'KeyboardInterrupt', 'MemoryError', 'NameError', 'None', 'RuntimeError', 'SystemError', 'TypeError', 'abs', 'chr', 'dir', 'divmod', 'eval', 'exec', 'float', 'input', 'int', 'len', 'max', 'min', 'open', 'ord', 'range', 'raw_input', 'reload', 'type']

Обратите внимание на отсутствие функций str и list. Литералы есть, но приводить типы ещё нельзя, у меня получилось только float в int. Также ещё нет comprehensions, generators. А ещё filter, map, reduce, они в 1.0 появились благодаря одному лисперу. Зато уже в первой версии есть else для for и range (причём даже с поддержкой отрицательного шага).

А ещё не переживайте из-за отсутствия print в списке, он же ключевым словом просто был до 3.0.

Атрибутов у встроенных типов не было by design:

>>> ''.join([1,2,3])
Unhandled exception: type error: attribute-less object

Например, для строк был модуль в stdlib:

>>> import string
>>> string.lower('AAaA!')
'aaaa!'

Вообще, из знакомого там path (сейчас os.path), calendar, shutil, glob, dis. А ещё там отступы 8 пробелов))))

Ну ладно, а хотите знать, как к строке то приводить?

>>> a = 1       
>>> b = [2,3,4]
>>> `[a] + b`
'[1, 2, 3, 4]'

А я то всё гадал, почему бэктики не используются нигде. А ещё двойные кавычки не pythonic, вот так то:

>>> "1"
Parsing error: file <stdin>, line 1:
"1"
 ^
Unhandled exception: run-time error: syntax error

Исключения были строками:

>>> SystemError
'system error'

А помните пост про lambda calculus? Так вот, некоторые функции тоже были в stdlib, в модуле lambda:

def Never(f, x): return x
def Once(f, x): return f(x)
def Twice(f, x): return f(f(x))

def SUCCESSOR(Ntimes, (f, x)): return f(Ntimes(f, x))

А я всегда говорил, что двоеточия в питоне нужны, чтобы условия, функции и всё такое можно было в одну строчку писать, lambda выражения только в 1.0 появились.

ИЛИ НЕТ???

# P.S.: Here is a Lambda function in Python.
# It uses 'exec' and expects two strings to describe the arguments
# and the function expression.  Example:
#      lambda('x', 'x+1')
# defines the successor function.

def lambda(args, expr):
       if '\n' in args or '\n' in expr:
               raise RuntimeError, 'lambda: no cheating!'
       stmt = 'def func(' + args + '): return ' + expr + '\n'
       print 'lambda:', stmt,
       exec(stmt)
       return func

Пробуем:

>>> from lambda import lambda
>>> lambda('a', 'a+1')(4)
lambda: def func(a): return a+1
5

Ух, столько всего! Надо доклад делать, в общем.

Самый беззащитный — это Сапсан
https://habr.com/ru/post/476034/

Simple CLI with the ability to run pure Nmap engine, 31 modules with 459 scan profiles.

Key Features
- simple CLI with the ability to run pure Nmap engine
- predefined scans included in the modules
support Nmap Scripting Engine (NSE) with  - scripts arguments
- TOR support (with proxychains)
- multiple scans at one time
- at this point: 31 modules with 459 scan profiles

https://github.com/trimstray/sandmap

Доклады с Open Source Summit & Embedded Linux Conference EU 2019
https://www.youtube.com/playlist?list=PLbzoR-pLrL6pamOj4UifcMJf560Ph6mJp

Вся программа
https://events19.linuxfoundation.org/events/embedded-linux-conference-europe-2019/program/schedule/

👻 Бекдоры и руткиты в Linux: https://capsule8.com/blog/dont-get-kicked-out-a-tale-of-rootkits-and-other-backdoors/

#security #напочитать

Выложили доклады с DevOpsDays Singapore 2018

Интересный доклад из серии "а как там у них устроено"
The Evolution of Site Reliability Engineering (SRE) at LinkedIn.com
https://www.youtube.com/watch?v=JcGlFZAn8mw

Плейлист на все доклады конференции
https://www.youtube.com/playlist?list=PLpWsyYqY_ehkEruIDKW-WVeA35ItMXCtH

Программа
https://devopsdays.org/events/2018-singapore/program

ClickHouse опубликовали планы на 2020, довольно крутые планы

> Примечение по терминологии. В тексте иногда используется понятие "просранная задача". Это - технический термин, который лишён оскорбительной коннотации и обозначает просранную задачу.

https://github.com/ClickHouse/ClickHouse/blob/master/docs/ru/extended_roadmap.md

Microservices Security Pattern — Implementing a policy based security for microservices with OPA
https://medium.com/microservices-learning/micoservices-security-pattern-implementing-a-policy-based-security-for-microservices-with-opa-f15164a79b0e

Достаточно интересный доклад, особенно та часть, где расписаны причины отказа от Nomad https://habr.com/ru/company/lamoda/blog/451644/

Выложили нарезанные доклады с Big Monitoring Meetup 4
https://www.youtube.com/playlist?list=PL_6HEdnVWofcLTA4eQwOxKHhRBdrwDtMY

Программа тут
https://monhouse.tech/bmm04

JFrog анонсировали свой Registry для Docker и Helm

https://twitter.com/jfrog/status/1197184586087841792

https://jfrog.com/jfrog-launches-free-artifactory-powered-jfrog-container-registry-to-empower-docker-and-helm-community/

А ещё у JFrog есть свой чат с Барухом - https://xn--r1a.website/all_frogs

Компания Cloudflare сообщила об открытии исходных текстов проекта Flan Scan, обеспечивающего сканирования хостов в сети на предмет наличия неисправленных уязвимостей. Flan Scan является надстройкой над сканером сетевой безопасности Nmap, превращающей последний в полнофункциональный инструмент для выявления уязвимых хостов в крупных сетях. Код проекта написан на языке Python и распространяется под лицензией BSD.

https://www.opennet.ru/opennews/art.shtml?num=51912
+
https://github.com/cloudflare/flan

3 истории сбоев Kubernetes в production: anti-affinity, graceful shutdown, webhook

https://habr.com/ru/company/flant/blog/475026/

Cloud Security Auditing. Springer. 2019.

- Котики, а где вы храните свои бесценные бэкапчики? Что сейчас модно использовать?
- В докере. Сейчас все модно пихать в докер

Тут Shodan, в честь своего десятилетия, аккаунты за $1 вместо $49 продаёт.

10 years ago @achillean launched the Shodan website! To celebrate a decade of discovery and growth we're going to offer the membership for $1 (marked down from $49) for the next 24 hours (0:00 UTC to 24:00 UTC): https://www.shodan.io/store/member
(с)
https://twitter.com/shodanhq/status/1198033142130581505

A tool to identify and exploit sudo rules' misconfigurations and vulnerabilities within sudo

Some of the checks/functionalities that are performed by the tool.
 - Misconfigurations
 - Dangerous Binaries
 - Vulnerable versions of sudo - CVEs (NEW - CVE-2019-14287)
 - Dangerous Environment Variables
 - Credential Harvesting
 - Writable directories where scripts reside
 - Binaries that might be replaced
 - Identify missing scripts

https://github.com/TH3xACE/SUDO_KILLER
+
Примеры использования
https://www.youtube.com/playlist?list=PLQPKPAuCA40FMpMKWZLxQydLe7rPL5bml

Continuous Monitoring – автоматизация проверок качества ПО в CI/CD Pipeline
https://habr.com/ru/company/lanit/blog/451630/