На этой неделе узнал что у одного из членов сообщества и одного из активных контрибуторов https://github.com/terraform-aws-modules есть ещё и крутая рассылка

https://weekly.tf

А ещё я раньше постил ссылку на классный блог другого нашего участника:

http://rtfm.co.ua/


Если у вас есть классные ресурсы — постите мне. Я не делаю платную рекламу, а бесплатную — всегда рад сделать.
Надо продвигать своих, что б чужие боялись 🙂

В помойке NPM всё как всегда

> Пакет coa, предоставляющий функции для разбора аргументов командной строки, насчитывает около 9 млн загрузок в неделю и используется в качестве зависимости у 159 других NPM-пакетов, включая react-scripts и vue/cli-service.

> Пользователем следует убедиться, что у них установлена версия coa 2.0.2 и желательно добавить в package.json своих проектов привязку к рабочей версии на случай повторной компрометации.

В NPM-пакет coa, насчитывающий 9 млн загрузок в неделю, внедрено вредоносное ПО
https://www.opennet.ru/opennews/art.shtml?num=56104

Никогда не думал что попадусь на мошенничество. Казалось бы неглупый пацан, с компами давно, всякие схемы знаю и никому не сливаю цифры с карты. Но сегодня я проебался, и размышляя сейчас - уши мошенника там торчали хорошо, но я был слишком самоуверен. За это и поплатился. И сейчас я расскажу как это было.

Ко мне в личку пришёл чел с аватаркой тиньков-банка и начал спрашивать про рекламу. Я пообщался и он купил меня оптовой закупкой. Тут ничего подозрительного пока, так часто приходят прямо в личку в телегу. Утром он кинул мне ссылку и сказал что это партнёрка. Ссылка показалась подозрительной что-то в стиле tinkoff-partner.ru точно я не помню потому что все мои переписки отправились следом за каналом. Я пробил хуиз и вроде успокоился. Залогинился через телеграм и спустя час меня выкинуло отовсюду. Ни рекламы, ни денег, ни канала, ни переписок. Заебись.

Я всегда думал что без телефона в телегу не войти, но сильно ошибался. Знаете такое ощущение беспомощности ты сидишь и думаешь да как так-то, этого не может быть. И ты даже сказать никому не можешь. И стыдно ещё что попался на такой развод.

Немного позже я восстановил акк, но он теперь девственно чистый. И почти сразу же мне написал этот чел и предложил выкупить канал за пятнашку. Но каким дебилом надо быть чтоб ещё и денег ему перевести.

Какие выводы? Нельзя верить людям в интернете, продавать рекламу непонятно кому тоже хуевая идея. Безопасность важна, когда у тебя спиздили что-то очень сложно вернуть это. Настрой 2фа прямо сейчас. Местами это неудобно но спасёт твою жопу.

И самое главное- можно украсть и аккаунт, и канал, но писать как я они всё равно не смогут.

Берегите себя и не ведитесь на мошенничество, не будьте мной

Всё забывал написать. Тут GitLab'ы, торчащие наружу, попали под раздачу. Я в апреле сюда писал о том, что надо бы срочно обновлять GitLab и вот теперь уже надо совсем точно их обновлять, потому что всё опубликовано и доступно.

GitLab CE CVE-2021-22205 in the wild
https://security.humanativaspa.it/gitlab-ce-cve-2021-22205-in-the-wild

Чекалки и PoC'и (ТЫСЯЧИ!11!! их)
https://github.com/Al1ex/CVE-2021-22205
https://github.com/mr-r3bot/Gitlab-CVE-2021-22205
https://github.com/r0eXpeR/CVE-2021-22205
https://github.com/RedTeamWing/CVE-2021-22205

За напоминание спасибо @codediggers

https://twitter.com/VulnersCom/status/1456505760133812234

Посмотреть чего напарсили можно тут
https://vulners.com/search?query=type:githubexploit

Чатик Vulners в телеге @VulnersChat

Всем спасибо. Сработало.

https://xn--r1a.website/durov_russia/36

#ad @alexbodryk готовит к выпуску небольшую книгу по api security на английском. Нужен редактор, если нейтив то идеально. Готов отблагодарить деньгами и/или указанием авторства, контакт @alexbodryk

Зашёл в @zatelecom, а там забавно получилось.

Таргетинг работает (нет)

Доклад про мониторинг Kubernetes от Николая Храмчихина с последнего BMM - https://www.youtube.com/watch?v=cdPKMshnk3M . Транскрипция доклада доступна на хабре - https://habr.com/ru/post/586206/

PS: доступен список с докладами, статьями и другими ссылками об VictoriaMetrics на русском по ссылке https://chits.cc, если у вас есть материал на русском, которого нет в списке - создавайте issue с указанием ссылки или шлите pr 😊

#victoriametrics #kubernetes #monitoring

Тут JB опубликовал свой Security Bulletin
https://blog.jetbrains.com/blog/2021/11/08/jetbrains-security-bulletin-q3-2021/

И там всё не так плохо кроме уязвимости TeamCity

In JetBrains TeamCity before 2021.1.2, remote code execution via the agent push functionality is possible.
Base Score: 9.8 CRITICAL
https://nvd.nist.gov/vuln/detail/CVE-2021-43193

Так что желательно до версии 2021.1.2 свой TeamCity обновить.

В чатик нашего митапа (@spb_reliability) принесли весть интересную

Американская Grafana купила стартап для управления ИТ-инцидентами Amixr с основателями из России
https://vc.ru/services/317755-amerikanskaya-grafana-kupila-startap-dlya-upravleniya-it-incidentami-amixr-s-osnovatelyami-iz-rossii

У ребят есть чатик в телеге @amixr_ru, кому интересно, и они уже успели переименоваться в Grafana OnCall.

Выложены доклады с Open Source Summit + Embedded Linux Conference + OSPOCon 2021

https://www.youtube.com/playlist?list=PLbzoR-pLrL6q8QMGJ4dFnqejkHDm76kJV

Программа тут
https://osselc21.sched.com/

​​AWS Architecture Monthly Magazine

Хочется чего-нибудь почитать по AWS, возможно, в пути или где вообще нет интернета? Может быть у вас всегда с собой Kindle или же, как я, предпочитаете бумажный вариант?

Есть классное место. Уже несколько месяцев читаю и наслаждаюсь. Ведь это не просто ссылка, которая растворится через какое-то время в вашей ленте. Это можно распечать, засунуть в рюкзак, забыть, а потом получить в лесу, или на даче без связи, истинное удовольствие.

https://aws.amazon.com/architecture/architecture-monthly/

Реально качественные статьи, тематическая подборка по для каждого месяца, лучшие авторы и рекомендации экспертов, подборка видео по теме, решения и описание референсной архитектуры — всё на самом высшем уровне. В pdf версии ссылки кликабельные (в бумажной, к сожалению, нет😀).

Очень рекомендую. Начиная с мая 2021-го года вёрстка и наполнение радикально изменились — каждый месяц увеличивается объём и качество. В AWS вспомнили про нас, кто любит читать бумагу и электронные книжки. Надеюсь, на выходе можно будет подписаться на регулярное издание и получать по (физической) почте.

На картинке журналы AWS Architecture Monthly, cкачать pdf:

▫️ November 2021 IoT for the Edge
▫️ October 2021 Aerospace
▫️ September 2021 Advertising Technology
▫️ August 2021 Sustainability

#design

Новости из помойки NPM

> Проблема была устранена через 6 часов после появления информации об уязвимости, но уявзвимость присутствовала в NPM дольше, чем охватывают логи с телеметрией. GitHub утверждает, что следов совершения атак с использованием данной уязвимости с сентября 2020 года не зафиксировано, но нет гарантий, что проблема не экслуатировалась раньше.

> Напомним, что в соответствии с проведённым в 2020 году исследованием, лишь 9.27% мэйнтенеров пакетов используют для защиты доступа двухфакторную аутентификацию, а в 13.37% случаев при регистрации новых учётных записей разработчики пытались повторно использовать скомпрометированные пароли, фигурирующие в известных утечках паролей. В ходе проверки надёжности используемых паролей удалось получить доступ к 12% аккаунтов в NPM (13% пакетов) из-за использования предсказуемых и тривиальных паролей, таких как "123456". В числе проблемных оказались 4 учётные записи пользователей из Top20 самых популярных пакетов, 13 учётных записей, пакеты которых загружали более 50 млн раз в месяц, 40 - более 10 млн загрузок в месяц и 282 с более 1 млн загрузок в месяц.

Уязвимость, позволявшая выпустить обновление для любого пакета в репозитории NPM
https://www.opennet.ru/opennews/art.shtml?num=56167

Лайк, шер https://habr.com/ru/company/flipperdevices/blog/589163/

Среда это маленькая пятница

What's Inside the EU Green Pass QR Code?
https://gir.st/blog/greenpass.html

Service Architecture at SoundCloud — Part 1: Backends for Frontends
https://developers.soundcloud.com/blog/service-architecture-1

Service Architecture at SoundCloud — Part 2: Value-Added Services
https://developers.soundcloud.com/blog/service-architecture-2

Service Architecture at SoundCloud — Part 3: Domain Gateways
https://developers.soundcloud.com/blog/service-architecture-3

Наверное, может быть полезно, но я так и не придумал как я могу для себя использовать.

apt-transport-oci is an apt-get plugin to support distributing *.deb packages over an OCI registry such as ghcr.io .

https://github.com/AkihiroSuda/apt-transport-oci