CloudFlare выкатил лендинг для внедрений BGP Security
https://isbgpsafeyet.com

За ссылку спасибо @ldviolet

Пятничное

A Kubernetes operator to deploy Windows 95 to Kubernetes
https://github.com/tdraebing/windows95-operator

Liz Rice. Container Security: Fundamental Technology Concepts that Protect Containerized Applications. April 2020.

Другая её книга в сооавторстве - https://xn--r1a.website/tech_b0lt_Genona/265

Наконец-то добрался и почитал-посмотрел доклад от @tnt4brain "Ansible это вам не bash". Доклад хорош, всем кто интересуется советую.

Расшифровка
https://habr.com/ru/post/494738/

Видео
https://www.youtube.com/watch?v=bq4IF3f24-k

Презентация
https://docs.google.com/presentation/d/1HhpCGgOgPvyRE24vE0qMCxPwnUZYGciA2oBypKnySk0

Выложены доклады с OWASP Moscow 2020/1

https://www.youtube.com/playlist?list=PLaYNFbPr2bsLJb1r3iay3MOZfYfX_07Hl

10 Things I Hate About PostgreSQL
https://medium.com/@rbranson/10-things-i-hate-about-postgresql-20dbab8c2791

Доклады с AWS Community Day Nordics 2020.

К себе в список просмотра закинул

Essential open source tools for a serverless developer - Yan Cui
https://www.youtube.com/watch?v=ausu6z4bcI8

The Art of Microservices Communication with AWS ... - Sheen Brisals
https://www.youtube.com/watch?v=0gPZx9ex9gY

Serverless Data Streaming at Scale - Anahit Pogosova
https://www.youtube.com/watch?v=gtE2o8qsq-4

Practical FinOps in Practice - Petri Kallberg and Michal Czerwinski
https://www.youtube.com/watch?v=6YiH-EZosO0

Infrastructure as code with AWS CDK - Ari Palo
https://www.youtube.com/watch?v=0Ztmk6A-7Sk

No more AWS keys for you - Nicole Yip
https://www.youtube.com/watch?v=rlQBeLWcFU8

---

Все доклады тут
https://www.youtube.com/playlist?list=PLGPzSTy-uUmPzajkT9-oB1bsDwHwhGXHv

Программа
https://awscommunitynordics.org/communityday/#agenda

В рамках своего доклада (https://xn--r1a.website/tech_b0lt_Genona/1231) по DevSecOps я говорил, что когда-то участвовал в разработке двух статических анализаторов. Сейчас я занимаюсь другими вещами, но стараюсь следить за этой областью по мере сил и возможностей.

В январе проходил POPL 2020

Principles of Programming Languages symposium addresses fundamental principles and important innovations in the design, definition, analysis, and implementation of programming languages, programming systems, and programming interfaces.

Программа
https://popl20.sigplan.org/program/program-POPL-2020

Записи докладов
https://www.youtube.com/playlist?list=PLyrlk8Xaylp5ojq0AVVXHrzvVb9zURgHd

Там для меня на столько же много интересного на сколько и непонятного, но что-то смог осилить (ну или думаю что смог). Из интересного

1. What is a Secure Programming Language?
https://www.youtube.com/watch?v=dhoP-dyIr54

Это доклад от Oracle Labs (слайды https://labs.oracle.com/pls/apex/f?p=LABS:0::APPLICATION_PROCESS%3DGETDOC_INLINE:::DOC_ID:1400).

Статья от них же https://drops.dagstuhl.de/opus/volltexte/2019/10546/pdf/LIPIcs-SNAPL-2019-3.pdf в рамках SNAPL 2019 (Summit on Advances in Programming Languages). Что б два раза не вставать ссылка на статьи SNAPL - https://drops.dagstuhl.de/opus/portals/lipics/index.php?semnr=16110

2. Formal Verification of a Constant-Time Preserving C Compiler
https://www.youtube.com/watch?v=-uyodWZxDvs

3. Stacked Borrows - An Aliasing Model for Rust
https://www.youtube.com/watch?v=h9Fh4jRDGLo

4. Executable Formal Semantics for the POSIX Shell
https://www.youtube.com/watch?v=PQ8uUFjzyH0

Статья с описанием что там и как - https://arxiv.org/pdf/1907.05308.pdf

Интересный доклад про про проблемы в инструментах, которыми ежедневно пользуются миллионы.
---

Как обычно критику, исправления, дополнения и прочее с удовольствием жду в личку.

Vulnerabilities summary
1. Ресурсы использования оперативной памяти могут считаться неправильно.
2. В Linux-контейнере возможна установка exec-флагов (chmod +) на свой Payload.
3. Не учитывается передаваемый сетевой трафик от Cloud Function в Интернет.
4. Снижение уровня доверия к диапазонам адресам айпи адресов Google.

GOOGLE HACK: CLOUD FUNCTION как HACKER PROXY SERVER
https://hackervision.org/2020/04/18/google-function-as-hacker-proxy-server/

Подробный рассказ с примером встраивания сканера безопасности веб-приложений OWASP ZAP (https://www.zaproxy.org/) в GitHub Actions.

DevSecOps goodness with Github actions and OWASP ZAP
https://www.youtube.com/watch?v=oXRdejqwBwc

Приложение в демке и примеры запуска Actions - https://github.com/we45/Vulnerable-Flask-App/actions

ЗЫ Статья на Medium с описанием как встроить ZAP в Azure Pipeline

How to run OWASP ZAP Security Tests Part of Azure DevOps CI/CD Pipeline
https://medium.com/@ganeshsirsi/how-to-run-owasp-zap-security-tests-part-of-azure-devops-ci-cd-pipeline-484da8793a12

Lessons from using eBPF (and bypassing TCP/IP) for accelerating Cloud Native applications
https://cyral.com/blog/lessons-using-ebpf-accelerating-cloud-native

Generic Talks 20 - PVS и его деревья.

У нас в гостях разработчики PVS-Studio Филипп Хандельянц и Юрий Минаев. Поговорили про внутренности их статического анализатора, необычные и хардкорные фичи:
1) На каком представлении работают? 🌲🌳🌴
2) Как это все умещают в память? 💾
3) Как сделали однопроходный анализатор?
4) Как кэшируют, работают с разными языками, обходят препроцессоры/макросы/темплейты и многое другое.

📣 Еще PVS-Studio стали нашими спонсорами.
Здесь вы можете скачать PVS-Studio: https://bit.ly/3bhfzgm ✅
и если ввести промокод #generictalks в поле "Сообщение" на странице скачивания, можно получить бесплатную лицензию на месяц, вместо 7 дней.

Заранее спасибо!

🎙Наш канал в YouTube - https://bit.ly/3cwXsmI
📹 Шоу с код ревью и кучей интересных советов - https://bit.ly/2zc2w1j (и Телеграм @good_bad_reviewer)
💵 Patreon - www.patreon.com/generictalks

https://soundcloud.com/generictalks/0020-pvs-i-ego-derevya

На этой странице сейчас собраны ссылки на все курсы отдела образования #postgres Professional.

А вот тут учбные курсы по тому же postgress в формате плейлистов

Run DNS- and DHCP-server inside Kubernetes cluster
https://github.com/kvaps/dnsmasq-controller/

Bilgin Ibryam & Roland Huß. Kubernetes Patterns. Reusable Elements for Designing Cloud-Native Applications. 2019.

SheftLeft Scan - A Free & Open Source DevSecOps Platform

Проект предоставляет :
- SAST
- SCA
- Поиск секретов
- Проверка open-source лицензий

Из поддерживаемых языков: Salesforce Apex, Bash, Go, Java, JSP, Node.js, Oracle PL/SQL, Python, Rust (Dependency and Licence scan alone), Terraform, Salesforce Visual Force, Apache Velocity.

Есть интеграция с Visual Studio Code, а также со всеми популярными CI/CD.


https://www.shiftleft.io/scan/

28 апреля @spbnodejs проводит online-meetup.

Спикерами на этот раз станут ребята из Hazelcast - Андрей Печкуров @puzpuzpuz и Андрей Гончаров @ai_goncharov.

- Андрей Печкуров расскажет об алгоритмах консенсуса.

Андей расскажет про распределенные системы и основные проблемы, которые возникают в них. После этого будет рассмотрен пример образовательного проекта и обуждение того, что нужно, чтобы написать производительное и линеаризуемое хранилище пар ключ-значение на Node.js.

- Андрей Гончаров, выступит с докладом «Strict mode в TypeScript или как помочь компилятору помочь нам»

Описание: Компилятор TypeScript предоставляет более 90 флагов. Семь из них известны как "strict". Один предназначен для того, чтобы управлять ими всеми.
В рамках доклада будут рассмотрены все 7 опций и что они должны делать. Так же будет разобран код реальных приложений и случаи, когда "strict" режим может помочь. Докладчик расскажет о ковариантности и контрвариантности, как это относится к TypeScript, и почему null худший враг.

Регистрация - https://nodejs-spb-event.timepad.ru/event/1295939/

К слову о консенсусах.

Прочитал недавно интересный пост про PigPaxos
http://muratbuffalo.blogspot.com/2020/03/pigpaxos-devouring-communication_18.html

Он призван решать проблему консенсуса в больших системах

Paxos protocols are most commonly deployed with 3 and 5 nodes. But there are also several applications that require vertically scaling Paxos to run on a large number of nodes, all within the same conflict domain. One example is consistent cloud configuration management. Configuration management is required for gating new product features, conducting experiments (A/B tests), performing application-level traffic control, performing topology setup and load balancing, monitoring and remediation, updating machine learning models (which vary from KBs to GBs), controlling applications’ behaviors (related to caching, batching, prefetching etc), and controlling chain replication topologies as in Physalia.

Another example is geo-replicated databases. A consensus group in a geo-replicated database may consist of dozens of nodes across many regions around the globe. As we show in our evaluation, PigPaxos increases throughput scalability significantly across WAN deployments with a large number of nodes. Even for Paxos clusters with a small number of (say 5) nodes, large messages (such as database replication messages as in CockroachDB and Spanner) trigger a communication bottleneck at the leader. PigPaxos's randomized relaying technique can help with those bottlenecks as well.

Статья доступна тут
https://arxiv.org/pdf/2003.07760.pdf

Грозовые облака: риски безопасности облачных сервисов
23 апреля 11:00 МСК

В программе вебинара:                            

-  Технология OpenStack: структура и особенности 
-  OpenStack с точки зрения безопасности
-  Атаки на провайдера: доступ ко внутренней инфраструктуре, обход лимитов, отказ в обслуживании
-  Атаки на клиента: ролевые модели, сетевые проблемы, двухфакторная аутентификация, своя панель управления
-  Примеры из практики пентестеров Digital Security
-  Рекомендации по обеспечению безопасности 

https://events.webinar.ru/732031/4319928