Terraform Code Quality
Key Steps to a good quality for your Infrastructure Code.
https://cloudskiff.com/terraform-code-quality/

Выложены доклады с Black Hat USA 2020

https://www.youtube.com/playlist?list=PLH15HpR5qRsXE_4kOSy_SXwFkFQre4AV_

Программа доступна тут
https://www.blackhat.com/us-20/schedule.html

Редко такое встретишь. Обычно всё на Go переписывают.

Rewriting a kubectl plugin from a standard Go stack to a more comfortable approach with Scala has been challenging and rewarding. We are really happy with the result, and we arguably improved it in several ways:

- Improved the user experience concerning ergonomics, feedback, and validations
- More features and functionalities have already been added easily
- The code-base is by far more familiar and easy to grasp

The success has been reinforced by the fact that Cloudflow users migrated to the new CLI without noticing, but started to use and enjoy the new functionalities. 

Why we rewrote Cloudflow's CLI from Go to Scala
https://www.lightbend.com/blog/writing-kubectl-plugins-with-scala-or-java-with-fabric8-kubernetes-client-on-graalvm

Kubernetes security tool for policy enforcement

https://github.com/cruise-automation/k-rail

@kvaps продолжает ломать эти ваши кубернетисы

Продолжаем крушить и ломать Kubernetes, на этот раз рассмотрим варианты восстановления работоспособности etcd-кластера.

https://habr.com/ru/post/544390/

Новые место и дата ZN 2021 📢

Ничто не заменит нам энергию живого общения! Поэтому ZeroNights приглашает вас отметить свое десятилетие офлайн в неформальной обстановке эпохи цифровой революции.

В этом году конференция пройдет 30 июня в пространстве «Севкабель Порт» г. Санкт-Петербург.

Открыта ранняя регистрация. Промокод EARLYBIRD на скидку 20% действует до конца марта.

Сайт: https://zeronights.ru/

Smart (and simple) ways to prevent symlink attacks in Go
https://blog.trailofbits.com/2020/11/24/smart-and-simple-ways-to-prevent-symlink-attacks-in-go/

Я пользуюсь Mint много лет уже как единственной ОС на моих комплюктерах и считаю эти решения (и попытки их внедрить) правильными и нужными.

Разработчики Linux Mint рассматривали два основных пути более активного продвижения обновлений: усиление информирования пользователей о наличии обновлений и автоматическая установка обновлений по умолчанию с возможностью легко вернуться к ручному режиму для тех, кто привык самостоятельно контролировать свою систему.

В следующем выпуске Linux Mint решено добавить в менеджер обновлений дополнительные метрики, позволяющие оценивать актуальность пакетов в системе, такие как число дней с момента последнего применения обновлений. В случае длительного отсутствия обновлений Update Manager начнёт выводить напоминания о необходимости применения накопившихся обновлений или перехода на новую ветку дистрибутива. При этом предупреждения можно будет отключить в настройках. Linux Mint продолжает придерживаться принципа, что жёсткое навязывание недопустимо, так как пользователь является владельцем компьютера и волен делать с ним что угодно. Переход на автоматическую установку обновлений пока не планируется.

https://www.opennet.ru/opennews/art.shtml?num=54676

OWASP API Security Top 2019 на русском

Подписчик Eugene Rojavski скинул результат собственного перевода OWASP API Security Top 2019, выполненного совместно с его командой (act1on3, keni0k). Перевод уже стал частью официального репо OWASP.

"Несмотря на то, что более обширный Web Application Security Risks Top 10 по прежнему актуален, ввиду специфики API, необходим отдельный список рисков безопасности специфичных для API. Безопасность API фокусируется на стратегиях и решениях, направленных на понимание и предотвращение уникальных уязвимостей и рисков безопасности, связанных с использованием API."

#dev #web #attack

Condensation is a zero-trust distributed database that ensures data ownership and data security
A general-purpose distributed database with inherent end-to-end security
https://github.com/condensationdb/condensation

https://condensationdb.com/how-it-works/

Если кто-то пропустил, то есть целое направление про то, как обмануть системы распознавания в машинах

Прикрепил исследование "MobilBye: Attacking ADAS with Camera Spoofing"

+
Hackers Can Use Fake Road Signs on Digital Billboards to Spoof Tesla’s Autopilot
https://postintrend.com/technology/hackers-can-use-fake-road-signs-on-digital-billboards-to-spoof-teslas-autopilot/
+
Обмануть автомобиль: спуфинг дорожных знаков и Deep Learning
https://proglib.io/p/fooling-cars-deep-learning

Отрастил антитела.

Перед первым уколом делал специально анализы на IgM и IgG (что это значит можно почитать, например, тут https://mosgorzdrav.ru/ifa). Значения были нулевые.

Fuzzing sockets: Apache HTTP, Part 1: Mutations
https://securitylab.github.com/research/fuzzing-apache-1

Спасибо @oleg_log за линк

Securing your Amazon AWS S3 presigned URLs, tips and trick
https://meliot.me/2021/03/06/securing-amazon-s3-presigned-urls/

💬 Container Plumbing Days - конференция от RH, которая пройдёт 9-10 марта. Программа выглядит интересно https://containerplumbing.org/schedule Денег не просят, только регистрацию. Возьмите на заметку. #containers #redhat

Утечка данных через кольцевую шину CPU Intel

Группа исследователей из Иллинойсского университета разработала новую технику атаки по сторонним каналам, манипулирующую утечкой информации через кольцевую шину (Ring Interconnect) процессоров Intel. Атака позволяет выделять сведения о работе с памятью в другом приложении и отслеживать информацию о времени нажатия клавиш. Исследователи опубликовали инструментарий для проведения сопутствующих измерений и несколько прототипов эксплоитов.

https://www.opennet.ru/opennews/art.shtml?num=54717

ЗЫ Так мне эта новость понравилась, что сделал смешную картинку (за 300)