А тем временем идет рит++
Вот тут можно посмотреть выступления от авито https://avitotechrit.tilda.ws

В очередном переводе, опубликованном в нашем блоге, сравниваются несколько решений для Persistent Volumes в K8s: https://habr.com/ru/company/flant/blog/503712/

Multiple vulnerabilities in Dovecot IMAP server
https://seclists.org/fulldisclosure/2020/May/37

За ссылку спасибо @ldviolet

[CVE-2020-12050] Fedora/Red Hat/CentOS local privilege escalation through a race condition in the sqliteODBC installer script
https://sysdream.com/news/lab/2020-05-25-cve-2020-12050-fedora-red-hat-centos-local-privilege-escalation-through-a-race-condition-in-the-sqliteodbc-installer-script/

Container Security 101 — Scanning images for Vulnerabilities

Part 1 — Introduction and AWS Native Image Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-d25c9a7d02f5

Part 2 — Docker Trusted Registry Scanning
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-28391ee7170e

Part 3 — Scanning Images for Vulnerabilities with Trivy.
https://medium.com/faun/container-security-101-scanning-images-for-vulnerabilities-8030af2441ba

Первый день AWS Serverless-First Function, который проходил 21 мая.

https://www.twitch.tv/videos/627618639

Второй день будет 28 мая.

Регистрация и программа первого и второго дней
https://pages.awscloud.com/GLOBAL-event-OE-serverless-first-function-2020-reg-event.html

Робот-юрист, приложение для сбора мусора и многое другое: ламповый онлайн-хакатон с онлайн-пиццей побеждает кризис

https://habr.com/ru/company/mailru/blog/503718/

Через 30 минут начало

https://www.youtube.com/watch?v=F89150jjn4U

Что обозначает вывод «ss -s»
https://habr.com/ru/post/503648/

Мы зарелизили версию 0.3.20 эмулятора Kopycat.
С этого релиза код эмулятора полностью открыт и находится в нашем репозитории: https://github.com/inforion/kopycat. Собранный эмулятор и модули к нему находятся по ссылке: https://github.com/inforion/kopycat/releases.
В этом релизе мы:
- переехали на 11-й OpenJDK;
- исправили кучу ошибок в инструкциях ядер;
- доработали GDB, так что теперь можно использовать и CLion;
- сделали более подробное README;
- подготовили несколько видео, как установить эмулятор, как запустить Linux, как использовать снапшоты и как можно разрабатывать прошивку для микроконтроллера с помощью эмулятора в CLion (ссылки в начале README) и многое другое.
Полный changelog по ссылке: https://github.com/inforion/kopycat/blob/master/CHANGELOG.md
Сейчас реализованы процессорные ядра: x86, ARM, MIPS, MSP430, v850es, и частично микроконтроллеры: elanSC520, STM32F042, MSP430x44x.
Кроме того в этом релизе мы приложили несколько примеров работы с эмулятором:
- модуль для эмулятора VirtARM, который представляет собой эмуляцию минималистичного устройства на ядре ARM достаточного для запуска Linux: https://github.com/inforion/kopycat/tree/master/kopycat-modules/mcu/virtarm. Мы использовали Linux на базе buildroot. В репозитории вы найдете все необходимые патчи и конфиги для него.
- микроконтроллер от STMicroelectronics (STM32F042): https://github.com/inforion/kopycat/tree/master/kopycat-modules/mcu/stm32f0xx (UART, DMA).

Статья на Хабре

Носорог внутри кота — запускаем прошивку в эмуляторе Kopycat
https://habr.com/ru/company/inforion/blog/445798/

QNAP pre-auth root RCE Exploit (CVE-2019-7192 ~ CVE-2019-7195)
https://github.com/th3gundy/CVE-2019-7192_QNAP_Exploit

@kvaps продолжает пилить годноту

Бэкап-хранилище для тысяч виртуальных машин свободными инструментами
https://habr.com/ru/post/504152/

#PROTIP: If you can't listen on port 80 during a bind shell, try adding the URI '/Temporary_Listen_Address/' to ur listener. Magic! You don't need administrative privileges to listen on port 80 on Windows anymore #redteam #windows

https://twitter.com/NinjaParanoid/status/1265187842889744384

Записи докладов DevOps Days: From Home от DevOps Days Kyiv
https://www.youtube.com/playlist?list=PL_O8YSX8ckfdtscOx6DyMYaUQ7lomjKfr

Программа
https://devopsdays.com.ua/fromhome/

Prowler is a security tool to perform AWS security best practices assessments, audits, incident response, continuous monitoring, hardening and forensics readiness.
https://github.com/toniblyx/prowler

Стало интересно собрать статистику по Cloud & SaaS. Кто и что использует на работе или просто для себя. На текущем месте работы, а так же и на прошлом.

Даже если вы с этими вещами не работаете (в силу специализации), но знаете, что есть в вашей фирме используется - попрошу вас ответить :)

Результаты выложу на след неделе, думаю за 3-4 дня будет собрано достаточно ответов. Репост приветствуется, или хотя бы ссылку на опрос киньте покидайте другим.

https://forms.gle/v4wppXeC1thfHJ4J9

Спасибо.

The Octopus Scanner Malware: Attacking the open source supply chain
https://securitylab.github.com/research/octopus-scanner-malware-open-source-supply-chain

​Давно я не бугуртил по поводу очередных ценных рекомендаций по работе с базой от рубистов.
Нет новостей от рубистов, вот и не бугуртил. Попрятались.

Но есть ЦУ от js-разрабов :)
И не от кого-нибудь, а от человека, который сделал prettier.
Для тех кто не знает - это тулза, которая сама форматирует js - код, согласно правилам в линтере.
Т.е. импакт его работы не поддается подсчету. Сэкономлены миллионы человеко-часов и миллиарды долларов.

И вот тут выходит ЭТО.

https://jlongster.com/how-one-word-postgresql-performance

Если коротко - человек узнал, что можно делать INSERT сразу нескольких строк сразу, а не по одной и поспешил рассказать об этом миру...

Не, ну допустим, что не всем это очевидно, ок (хотя, фак, как это можно оправдать). Но блин, делать поля с именами timestamp и group_id типа TEXT это как вообще?
Следующим открытием, видимо, будет то, что timestamp можно не хранить текстом и group вынести в отдельный справочник.
А потом про COPY.

Но и это еще не все.
Человек написал тулзу, которая работает с линтером, но сам, похоже им не пользуется.

await внутри for!
forEach вместо reduce!

И никто из 23.7k его фоловеров в твиттере ему не напихал!

Работает в stripe, кстати.

Короче, фак дыс щит.

PS: в анализаторе есть правила, которые выдают notice при сильном расхождение имени колонки и типа для нескольких кейсов. timestamp там тоже есть.

Ansible is used in Quarkslab to manage our infrastructure and in our product Irma. In order to have an idea of the security of Ansible, we conducted a security assessment. This blogpost presents our findings.

Ansible Security Assessment
https://blog.quarkslab.com/ansible-security-assessment.html