На GitHub есть один увлекательный проект за которым я слежу - https://github.com/uutils/coreutils

В нём занимаются переписыванием GNU Coreutils на Rust.

Оказывается к нему в нагрузку есть ещё https://github.com/uutils/findutils, который "переписывает" GNU Findutils.

Прогресс работ отображают в таблице
https://github.com/uutils/coreutils#utilities

Новость на opennet

В качестве причины создания проекта и использования языка Rust называется желание создать кросс-платформенную альтернативную реализацию Coreutils и Findutils, способную работать в том числе на платформах Windows, Redox и Fuchsia. Ещё одним важным отличием uutils является распространение под пермиссивной лицензией MIT, вместо копилефт-лицензии GPL.
. . .
Из последних достижений отмечается оптимизация производительности - в текущем состоянии многие утилиты, такие как head и cut, значительно превосходят по производительности варианты из GNU Coreutils. Охват тестовым набором расширен с 55% до 75% от всего кода (достаточной целью является 80%). Проведён рефакторинг кода для упрощения сопровождения, например, унифицирована обработка ошибок в разных программах, а в chgrp и chown объединён код для работы с правами доступа. Добавлены многочисленные изменения для улучшения совместимости с GNU Coreutils.

https://www.opennet.ru/opennews/art.shtml?num=56609

Подкасты я люблю, подкасты я слушаю часто и много. Один из таких DevOps Kitchen Talks.

Например, у них есть интереснейший выпуск с ребятами из VictoriaMetrics (@VictoriaMetrics_ru1)

31 - Monitoring vs Observability: VictoriaMetrics в гостях у DevOps Kitchen Talks
https://www.youtube.com/watch?v=5FTcJmJXbqA

А сегодня выложили новый выпуск

DevOps Kitchen Talks 37 - DevOps vs SRE
https://www.youtube.com/watch?v=88SCuXxrwXo

Интересный и подробный пост с разбором уязвимости. Не всё понятно, но очень интересно.

Firefox JIT Use-After-Frees | Exploiting CVE-2020-26950
https://www.sentinelone.com/labs/firefox-jit-use-after-frees-exploiting-cve-2020-26950/
+
https://twitter.com/maxpl0it/status/1489283212786475008

За ссылку спасибо @oleg_log

можно смотреть на 3 вещи бесконечно: как течёт вода, как бесится в воде лабрадор и как фиксятся баги фаззингом

Прекрасные ребята из подкаста @newpodcast2 зовут меня сегодня пообщаться в эфире. Начало в 18:00 Мск, трансляция будет на ютубе.

Пока что собираемся обсуждать такие темы:

1. Конференцию KnowledgeConf, которую мы в этом году проводим вместе с TeamLead Conf. Расскажу про свой опыт работы в программном комитете и про доклад, с которым сам буду выступать.
2. Работу в tarantool.io, новую команду Developer Experience, прежнюю команду документации.
3. Можем в целом обсудить мою странную карьеру, путь из разработки в документацию и обратно.

Задавайте вопросы здесь, постараюсь на них ответить :)

> The first erroneous computation example is CVE-2021-39137 which is an interesting go-ethereum bug identified by Guido Vranken. The bug caused a netsplit in the Ethereum network and essentially results from the ability to have a mutable and non-mutable slice referencing the same chunk of memory.

A deeper dive into CVE-2021-39137 – a Golang security bug that Rust would have prevented
https://research.nccgroup.com/2022/02/07/a-deeper-dive-into-cve-2021-39137-a-golang-security-bug-that-rust-would-have-prevented/

И что б два раза не вставать. Интересный пост

> On 2/2/2022, I reported a critical security issue to Optimism—an "L2 scaling solution" for Ethereum—that would allow an attacker to replicate money on any chain using their "OVM 2.0" fork of go-ethereum (which they call l2geth).

Attacking an Ethereum L2 with Unbridled Optimism
https://www.saurik.com/optimism.html

Cloud-native AuthN/AuthZ enforcer to protect your APIs.
https://github.com/kuadrant/authorino

Очень подробный и интересный FAQ на GitHub лежит. Люблю такое.
+
Tech Talk: Authorino (Showcase)
https://www.youtube.com/watch?v=JPxZaa3pxcw

VictoriaMetrics растёт и ширится.

Всем привет, мы релизнули SaaS (хотя внутри мы называем его database as a service)
https://victoriametrics.com/blog/dbaas-announcement/
будем рады любому фидбеку и первым 50 пользователям начисляются кредиты в размере 200$

Разгребал тут архивы свои и наткнулся на "мини-конференцию" от Wrike, которая проходила в апреле 2020. Послушать-посмотреть было интересно, потому делюсь - https://www.youtube.com/watch?v=jDjx5Uk1g94

Добавлю таймкоды сюда, Wrike TechClub чего-то не закинул их.

5:35 - Дмитрий Десятков, Wrike – “Никому не верьте!”

Давайте обсудим типы third party components и что можно сделать, чтобы минимизировать риски работы с ними. 

42:30 - Григорий Стрельцов, Wrike – “Автоматизация безопасной разработки”

Вместе с другими отделами компании мы придумали процесс автоматизации, основанный на ряде опенсорсных решений и Burp Suite. Burp Suite – это популярный инструмент оценки уязвимостей. Я расскажу, как можно интегрировать его в существующий цикл разработки, покажу, с какими трудностями при этом можно столкнуться

1:14:00 - Сергей Белов, Mail.ru – Выпускаем безопасные фичи v2

Данный доклад продолжит серию вопросов и ответов в современном AppSec. Мы постараемся разобрать сложные кейсы современной разработки и придумать для них оптимальные и безопасные решения.

2:01:55 - Олег Масленников, ЦИАН – "Обеспечение безопасности микросервисной архитектуры в Kubernetes"

Расскажу о том, как Kubernetes работает внутри, чем отличается от простого Docker и какими особенностями в плане обеспечения безопасности обладает в различных конфигурациях.

2:36:35 - Александра Сватикова, Одноклассники – "Безопасность аккаунта пользователя – взгляд изнутри онлайн сервиса"

В докладе я расскажу, откуда берутся взломанные аккаунты и почему отсутствие уязвимостей не гарантирует полную безопасность пользователей социальной сети. Затем попытаемся понять, почему при всей своей простоте и понятности сredential stuffing – самый частый способ атаки на онлайн сервисы. Я поделюсь нашими наблюдениями подобных атак за последние несколько лет и опытом внедрения мер противодействия им, а также расскажу о проблемах, с которыми мы столкнулись на этом пути.

3:12:47 - Юлия Омельяненко, Wrike – COVID-19: не дай вирусу из воздуха пробраться в вашу сеть

Мы расскажем о подходах к соблюдению корпоративных требований безопасности, и как они могут вам помочь.

Программа полная тут
https://wriketeam.timepad.ru/event/1290502/

Terraform модуль для создания RBAC-правил
https://habr.com/ru/company/nixys/blog/649663/

+
https://github.com/nixys/k8s-rbac-controller

Kubenurse - это небольшой сервис, который отслеживает все сетевые подключения в кластере Kubernetes. Kubenurse измеряет продолжительность запросов, записывает ошибки и экспортирует эти показатели в формате Prometheus.

Все выполненные проверки предоставляют метрики, которые можно использовать для мониторинга/предупреждения:

▫️Задержки и ошибки сети SDN
▫️Задержки и ошибки сети kubelet-to-kubelet
▫️Связь pod-apiserver
▫️Задержки и ошибки приема-передачи
▫️Задержки и ошибки сервисов (kube-proxy)
▫️Основные проблемы kube-apiserver
▫️Ошибки CoreDNS
▫️Внешние ошибки разрешения DNS

#k8s #kubernetes #prometheus #network

https://github.com/postfinance/kubenurse

Пишем и самим не верится, что наконец-то сообщаем об этом! Митапу в Санкт-Петербурге — быть!

Санкт-Петербург раскроет свои двери для Expert Fridays 25 марта в 19:00.
Тема митапа — DevOps
С распростертыми объятиями нас примут на площадке Selectel (Цветочная, д.19)

На митапе выступят:

— Алексей Григоровский, DevOps Engineer. Тема доклада — «GitOps: Деплоимся в k8s с помощью ArgoCD rollouts»
— Рустам Гимадиев, DevOps Engineer. Тема доклада — «CICD для Terragrunt на GitHub Actions: проблемы и опыт их решения»
Список спикеров будет дополняться.

Ну, и не изменяя нашим традициям, с нас — крафтовое пиво от наших Питерских друзей и вкуснейшая пицца 🍻🍕
Вход для участников бесплатный, поэтому с вас только QR-код и регистрация по ссылке: https://spb.expertfridays.com/events/devops-meetup/

До встречи!💃🏽

LXC vs Docker: Which Container Platform Is Right for You?
https://earthly.dev/blog/lxc-vs-docker/

Наткнулся на пост про то как делали arkade (https://github.com/alexellis/arkade)

С удивлением узнал, что у них оказывается sponsored apps есть.

I also wanted to be cautious of my prior mistakes with Open Source, as Alexis Richardson first told me at KubeCon Austin in 2017: "if your software is too easy to use, never crashes and is feature complete, nobody will pay for support"

Two year update: Building an Open Source Marketplace for Kubernetes
https://blog.alexellis.io/kubernetes-marketplace-two-year-update/

Тревожный чемоданчик инфры

Колесников Андрей описывает тревожный чемоданчик инфраструктурщика с благодарностью к ветеранам интернета
--
1. Приложения AppStore и Google Play - продумать альтернативные каналы дистрибуции и взаимодействия с клиентами. Кейсы уже есть;
2. В случае отзыва SSL-сертификатов, изданных западными CA, заменить их на выпущенные своим удостоверяющим центром. Распространить свои корневые сертификаты на инфраструктуру ваших сервисов (заказчики, партнеры и т.д.);
3. При наличии адресов в зонах ".com", ".net" и ".org" и других зарубежных доменов первого уровня зарегистрировать дополнительные адреса в доменных зонах ".ru", ".su" и ".рф”. В случае наличия доменов .ru и .рф, иметь альтернативу в зарубежных зонах;
4. Внимательный контроль доступа к серверам обновлений приложений, с обновлением может прилететь деактивация. При невозможности - производить обновления через локальный сервер с тестированием на выделенном сегменте;
5. Учитывать в работе возможность блокировки работы облачных систем корпоративных коммуникаций (почта, мессенджеры, сервисы видеоконференций и проч.). Рассмотреть варианты использования свободно распространяемых или российских аналогов;
6. Реализовать защиту от DDoS-атак на критичные онлайн-ресурсы;
7. Разработать политику обновления компонентов ПО, в том числе и open source, с учётом возможной блокировки их работы на территории РФ. Рассмотреть возможность использования локальных кэширующих серверов;
8. Проверить срок действия лицензий на зарубежные инструменты проектирования и разработки Рассмотреть возможность перехода от подписки к бессрочным лицензиям. Продумать переход на альтернативное ПО;
9. В случае использования зарубежных DNS-серверов для резолвинга, добавить российские. В случае использования российских, добавить зарубежные;
10. В случае использования ЦОД или облачных провайдеров (IaaS/PaaS) за рубежом реализовать схему переноса ресурсов к российским поставщикам услуг - хотя бы в роли secondary. Зеркально для российских ЦОД - самые критичные данные поднять зарубежом;
11. В случае хостинга DNS-зон у зарубежных провайдеров желательно перенести хостинг в РФ и наоборот;
12. В случае использования зарубежных CDN провайдеров желательно перейти на использование отечественных аналогов, хотя бы как secondary. Если ваш CDN в России, по возможности зеркалить критичные данные на зарубежных CDN;
13. Проведите инвентаризацию сетевых связностей с вашими партнерами и поставщиками услуг (VPN/API и иные технологии взаимодействия по сети) на предмет размещения их серверов на зарубежных площадках и обсудите с ними сценарии митигации рисков блокировок доступа из РФ;
14. Ревизия втроенного кода подтягиваемого из зарубежных облаков в ваши сайты и приложения: провести аудит, быть готовым поставить заглушки;
15. Учитывать в работе возможность блокировки push-уведомлений и продумать альтернативные каналы коммуникации с клиентами, в том числе способы доставки чувствительной информации;
16. NTP - обязательны к использованию российские клоки, пусть и secondary