Выложены доклады с DevConfCZ 2020
https://www.youtube.com/playlist?list=PLU1vS0speL2Z08BeKSwSqfxPEl3ta5UK3

Программа доступна тут
https://devconfcz2020a.sched.com/

Text processing in the shell
https://blog.balthazar-rouberol.com/text-processing-in-the-shell

Отличная обзорная статья про то чем и как проверяется ядро Linux прежде чем выйти. В статье список и краткое описание статических анализаторов, фаззеров, фреймворков и утилит для тестирования.

How is the Linux kernel tested?
https://embeddedbits.org/how-is-the-linux-kernel-tested/

Продолжая тему статических анализаторов. В GCC 10 завезли -fanalyzer

This option enables an static analysis of program flow which looks for “interesting” interprocedural paths through the code, and issues warnings for problems found on them.

This analysis is much more expensive than other GCC warnings.

Static analysis in GCC 10
https://developers.redhat.com/blog/2020/03/26/static-analysis-in-gcc-10/

How Netflix uses Druid for Real-time Insights to Ensure a High-Quality Experience
https://netflixtechblog.com/how-netflix-uses-druid-for-real-time-insights-to-ensure-a-high-quality-experience-19e1e8568d06

Utilize Jenkins in an Auto-Scaling Kubernetes Deployment on Amazon EKS with Spot instances
https://itnext.io/utilize-jenkins-in-an-auto-scaling-kubernetes-deployment-on-amazon-eks-with-spot-instances-f9159df00aee

How to Build an End to End Production-Grade Architecture on AWS Part 1
https://blog.gruntwork.io/how-to-build-an-end-to-end-production-grade-architecture-on-aws-part-1-eae8eeb41fec

How to Build an End to End Production-Grade Architecture on AWS Part 2
https://blog.gruntwork.io/how-to-build-an-end-to-end-production-grade-architecture-on-aws-part-2-4f6e5dc30100

How to Build an End to End Production-Grade Architecture on AWS Part 3
https://blog.gruntwork.io/how-to-build-an-end-to-end-production-grade-architecture-on-aws-part-3-2d37b5e31b6a

Amazon Detective uses machine learning models to produce graphical representations of your account behavior and helps you to answer questions such as “is this an unusual API call for this role?” or “is this spike in traffic from this instance expected?”. You do not need to write code, to configure or to tune your own queries.

Amazon Detective – Rapid Security Investigation and Analysis
https://aws.amazon.com/blogs/aws/amazon-detective-rapid-security-investigation-and-analysis/

Выложены доклады с NDC DevOps 2020
https://www.youtube.com/playlist?list=PL03Lrmd9CiGf9HMv-O4SYP_JPA3PBof8f

Программа тут
https://ndcdevops.com/agenda/

Пентест, Kubernetes. У многих отсутствует представление о том, как это вообще выглядит. Хотя это очень полезно и пентестерам (для них это становится актуальнее с каждым днем), и людям, обеспечивающим работоспособность и безопасность Kubernetes кластера. Для получения этого представления я могу порекомендовать совсем свежее выступление “Command and KubeCTL: Real-World Kubernetes Security for Pentesters” . В данном выступление автор рассматривает и сразу демонстрирует различные тактики, техники и инструменты для получения доступа и эксплотации Kubernetes кластера.
Все live demo идет на примере 3 компаний - трех различных инфраструктур: on-prem, multu-cloud и сервис со множеством, географически разнесенных групп разработчиков. То есть это разное использование Kubernetes и как следствие разная модель угроз.
Отдельно стоит отметить Attack Chain (на скриншоте), которая описывает все что будет делать пентестер/злоумышленник, пытающийся взломать Kubernetes кластер. Каждый этап демонстрируется шаг за шагом.

On-Demand Container Scanning API

Прошлым летом ресечер Jerry Gamblin выложил на сайте vulnerablecontainers.org иформацию об уязвимостях 1000 самых популярных образов на Docker Hub. Не так давно по просьбе желающих он выпустил открытое API - scan.vulnerablecontainers.org на базе Trivy, Flask, Gunicorn и Nginx.

Как этим пользоваться можно почитать здесь:
https://jerrygamblin.com/2020/02/23/on-demand-container-scanning-api/

#tools #docker

путь Yandex Browser-а выбрал #zoom

https://twitter.com/c1truz_/status/1244737672930824193

+ нет end2end шифрования https://theintercept.com/2020/03/31/zoom-meeting-encryption/

​Миру нужен новый герой! Это ты! Давно думаешь допилить фичу для своего инди-проекта, но не знаешь когда? Откладываешь на потом? Скажи нет прокрастинации и участвуй в этом онлайн-хакатоне.

Хакатон "Ленивая Жопа"

• Описание: Russian Hackers проводят хакатон для сообщества. На хакатоне вы можете получить волшебное ничего, магический пендель и неоплачиваемую работу. Победителя выберем по количеству upvote на продакт ханте

• Даты проведения: 3 — 5 апреля

• Место проведения: online

• Регистрация: до 3 апреля

• Ссылка: lazyass.ru

• Если ты владеешь телеграм-каналом, поддержи наш хакатон и репостни его к себе в канал. Baxtep тебя не забудет

#hackathon @RussianHackers_Channel

The 'S' in Zoom, Stands for Security
uncovering (local) security flaws in Zoom's latest macOS client
https://objective-see.com/blog/blog_0x56.html
+
https://twitter.com/DanAmodio/status/1245329512889487361

За ссылки спасибо @ldviolet

Компания Microsoft опубликовала матрицу Adversarial Tactics, Techniques & Common Knowledge (ATT&CK) для Kubernetes. Данная матрица описывает и каталогизирует поведения атакующего на всех его стадиях от проникновения, до нанесения ущерба.
Взялись они это делать для своего Azure и пришли к выводу что есть большое сходство с матрицами для Windows и Linux. Так что большинство тактик такие же (9 штук), но есть и различия - отсутствует Collection, Command and Control и Exfiltration. Техник пока у них набралось 40 штук и каждая имеет небольшое описание с которым рекомендую ознакомится по ссылке.

CVE-2020-8816 – Pi-hole Remote Code Execution

https://natedotred.wordpress.com/2020/03/28/cve-2020-8816-pi-hole-remote-code-execution/

Сравнение Github Actions и CircleCI для тестирования Pull Reqeust-ов

https://blogs.vmware.com/opensource/2020/04/02/ci-tests-tools/

#github #githubactions #circleci #vmvare

This webinar uses examples to teach you how to deduce what queries are actually doing by reading the system log and system tables. We'll then explore standard ways to increase query speed: data types and encodings, filtering, join reordering, skip indexes, materialized views, session parameters, to name just a few. In each case we'll circle back to query plans and system metrics to demonstrate changes in ClickHouse behavior that explain the boost in performance. 

Secrets of ClickHouse Query Performance
https://www.youtube.com/watch?v=6WICfakG84c

Хей, мы планируем выпуск про вычисления на GPU сделать. Не хотите вопросов подкинуть? может что-то слышали и хотите узнать детальнее? А может готовы все-все оспорить? Напишите в чате или боту. Спасибо :)

Это было забавно.

https://www.reddit.com/r/ProgrammerHumor/comments/78aa07/reddit_host_a_joke_etcpasswd_with_hashes_for/