👀 Безопасность процесса сборки: последствия и рекомендации защиты

Наткнулись на статью о том, как хакеры могут взломать self-hosted GitLab через уязвимости в CI/CD, и мерах защиты. Автор фокусируется на сценарии с глобальными instance runners, где аутентифицированный пользователь может выполнить код на runner-хосте.

После небольших вводных описывается сценарий атаки:

⚪️ Доступ к GitLab: аутентификация через SSO (например, Azure AD)
⚪️ Создание тестового репозитория: проверка доступных runners в Settings → CI/CD → Runners
⚪️ Запуск тестового job: YAML с командами (id, uname -a, ip a, curl) для разведки (тип executor: shell — уязвимый, без контейнеризации)
⚪️ Reverse shell: замена на bash-reverse shell на порт 443 (HTTPS-трафик не блокируется)
⚪️ Доступ к хосту: выполнение как gitlab-runner (не sudo, но доступ к файлам других jobs)
⚪️ Поиск секретов: просмотр builds других пользователей (например, .env, SSH-ключи)
⚪️ Пивотинг в облако: через AWS metadata (IMDSv2) — получение IAM-роли (VulnerableSSMRole), перехват токена, аутентификация через awscli
⚪️ Компрометация других EC2: через SSM (Systems Manager) — выполнение команд (например, запись файла как root) на всех инстансах с SSM Agent

В конце — рекомендации.

👉 Читать статью

@DevOpsKaz 😛

🔥 Будущее командной работы уже в Алматы

06.11, 14:30 – 18:00
MOST IT Hub, Алматы

Приглашаем на ACE Almaty — Teamwork Reimagined: Cloud. Secure. Connected.

Событие объединит IT-руководителей, менеджеров проектов и продуктов, специалистов по сервисным процессам и всех, кто стремится сделать командную работу более прозрачной, безопасной и эффективной.

🔹 Новое видение совместной работы от Atlassian
🔹 Практические кейсы и советы от экспертов
🔹 Безопасные и масштабируемые облачные решения для современных компаний
🔹 Живое общение и обмен опытом с профессионалами отрасли

ACE — это не просто встреча, а пространство для идей, вдохновения и реальных решений, которые помогают командам работать лучше.

👉 Участие бесплатно после регистрации

#партнерский_пост

🔥 Подборка инструментов DevOps и один патч

⚪️ Патч Vault Enterprise 1.21

Vault 1.21 усиливает compliance и автоматизацию для DevOps, снижая риски в ИИ и облаках. Рекомендуем для zero-trust-архитектур. Ключевые фичи — SPIFFE Auth: авторизация агентов ИИ и сервисов по стандарту SPIFFE, а также восстановление отдельных секретов (роли БД, SSH-ключи) без полного отката кластера.

⚪️SOPS

Оператор для управления секретами в Kubernetes, созданными на основе пользовательских CRD SopsSecrets. Превращает зашифрованные данные в обычные секреты без риска утечки чувствительной информации. Идеально вписывается в GitOps, сохраняя удобство CI/CD и повышая безопасность инфраструктуры.

⚪️Trivy

Утилита для поиска уязвимостей, неправильных конфигов, секретов, SBOM в контейнерах, Kubernetes, репозиториях кода, облаках и другом. Направляет свои сканеры на проблемы безопасности, чтобы вы могли спать спокойно.

⚪️ Lens

Полнофункциональная IDE для Kubernetes с визуализацией кластера, встроенным терминалом и поддержкой расширений. Lens ускоряет работу с Kubernetes, делая управление кластерами через интуитивный интерфейс доступным даже для новичков.

@DevOpsKaz 😛

🔥 Предлагайте свой контент для публикации

На конференции DevOpsDays Almaty 25 у нас на стенде (Core 24/7) было много гостей — и многие хотели участвовать в жизни сообщества KazDevOps. Предлагали идеи по контенту, рубрикам, активностям.

По этой причине мы вновь напоминаем — предложить свой контент или идею может каждый.

Что это может быть за контент:

— Кейсы из вашей работы по администрированию, безопасности, DevOps, облакам и т.п.
— Новости, которые порадуют коллег
— Книги, фильмы и руководства — всё, что пригодится в обучении
— Ваш личный карьерный путь — такой, которым стоит поделиться
— То, о чем мы не подумали, но вам кажется это классным

Принимаем ваш контент в боте по ссылке здесь и ниже. Рассмотрим, опубликуем или свяжемся за уточнением — и обязательно укажем ваше авторство.

@DevOpsKaz 😛

🔥 Эволюция Observability — от версии 1.0 до 3.0

Представьте: ваш сервис упал в 3:00 ночи. Раньше вы бы открыли 5 вкладок, потратили час на корреляцию логов и метрик, а потом ещё час — на объяснение боссу, почему это стоило $50 000. Сегодня всё иначе.

За последние 5 лет observability прошла путь от «соберём хоть что-то» до «платим только за важное и сразу видим, где теряем деньги». В новой статье мы кратко разбираем эволюцию наблюдаемости:

⚪️ 1.0 — как команды тратили 2 часа в день на переключение между Kibana, Grafana и Jaeger.
⚪️ 2.0 — почему OpenTelemetry + Datadog решили проблему скорости, но создали новую — счёт за терабайты.
⚪️ 3.0 — как сервисы по типу Bitdrift и Honeycomb дают 1000× телеметрии за 0,01× стоимости, а AI сам находит аномалии до того, как клиенты заметят.

Статья на простом языке для новичков и тех, кто хочет кратко понять современную историю observability.

👉 Читайте в новой статье

@DevOpsKaz 😛

🔥 Cloud Native Community Day — большой митап для всех, кто занимается Kubernetes, observability и платформенной инженерией.

3 причины, почему не стоит пропускать:

⚪️ Обмен реальным опытом — послушаете доклады тех, кто каждый день решает задачи в продакшене. Уйдете с готовыми решениями, которые можно внедрить у себя в компании и выделиться среди коллег. Будем говорить про сертификацию, service mesh и ArgoCD. Все то, что вы реально используете в проде.

⚪️ Укрепляем наше комьюнити и входим в мировую семью CNCF — 50+ единомышленников в одном зале: SRE, DevOps, платформенные инженеры, архитекторы. Это знакомства, которые превращаются в коллаборации, найм и совместные проекты. Официальное признание от CNCF — вы станете частью глобального сообщества 200 000+ специалистов.

⚪️ Бесплатный фуршет и подарки — голодными вас не оставим. А самым активным за лучшие вопросы вручим подарки. После докладов — неформальный нетворкинг и afterpaty, чтобы вы смогли обменяться контактами и просто развлечься.

❗️ Места ограничены — 100 человек.

👉 Регистрация

Ждём вас 13 ноября в 16:00!

@DevOpsKaz 😛

🔥 На Yandex Neuro Scale состоялось награждение лучших CTO стартапов Казахстана

Совместный проект Yandex Cloud и Digital Business — рейтинг технических директоров стартапов Казахстана — проводился с июня 2025 года. Итоги подвели на Yandex Neuro Scale 5 ноября.

Жюри выбрали топ-10 финалистов по пяти критериям:

🔹технические компетенции
🔹лидерские качества
🔹бизнес-мышление
🔹инновационность и адаптивность
🔹предыдущие достижения

Главного победителя выбирали открытым народным голосованием в телеграм-канале Digital Business.

Первое место занял Чингиз Кеншимов, CTO и сооснователь eKYC-платформы Verigram, предназначенной для биометрической идентификации и онбординга в финансовом секторе. Он получил грант в 10 млн тенге на облачную инфраструктуру в Yandex Cloud для дальнейшего развития продукта и сертификат на PR-поддержку от Digital Business.

Еще два финалиста выиграли специальные призы. Приз от Digital Business получил Даукен Сейтқали, CTO ARLAN BIOTECH, а от Yandex Cloud — Аян Уали, CTO SAU Super App.

Победителей наградили руководитель группы по работе со стартапами в Yandex Cloud Никита Ражев и Виталий Волянюк, основатель и директор Digital Business.

👉 Узнайте подробнее о проекте

🔥 Satbayev University — генеральный партнер Cloud Native Community Day

Satbayev University
актовый зал
13 ноября в 16:00
участие бесплатно после регистрации

В стенах Satbayev University состоится митап — встреча экспертов и слушателей по темам DevOps-инженерии.

Приглашенные спикеры:

⚪️ Илиев Тельман, Head of DevOps, Tele2/Atlel расскажет про «Istio и Envoy: от хаоса микросервисов к управляемому трафику»
⚪️ Дюсенов Сайран, Head of Infrastructure, «Aitu-Платёжные Решения» с темой доклада: «Сертификации Kubernetes от CNCF»
⚪️ Крамча Саин, DevOps Engineer, Core 24/7 выступит с темой «Организация парка Kubernetes кластеров»

Такое сотрудничество позволит укрепить связь между бизнесом и студентами, которые в будущем станут специалистами.

Главная задача Satbayev University — «обучение через научные исследования». Университет ведет широкую научную работу, а также мониторинг и анализ трендов развития науки по профильным направлениям. И этот митап отлично вписывается в их концепцию.

@DevOpsKaz 😛

🔥 Chaos Engineering: как не бояться ломать прод и спать спокойно

Немного о Chaos Engineering простыми словами. Представьте, что ваш сервис — это машина. Вы не ждёте, пока она сломается на трассе, а специально дёргаете за провода, выключаете двигатель, прокалываете колесо — делаете всё это в безопасной среде, чтобы понять: «А что будет? Кто заметит? Как быстро починим?».

Цель: создать систему, которая защищена от случайностей, а если падает — восстанавливается сама за секунды. Звучит просто.

На практике применить Chaos Engineering — непростая задача. Всегда есть страх «что-то сломать» и сложность технически реализовать.

LitmusChaos MCP Server — инструмент, который упрощает реализацию Сhaos Engineering. Этот сервер на Go предоставляет полноценный интерфейс для управления экспериментами, инфраструктурами, средами и тестами на устойчивость. БЕЗ кода, YAML и конфигов. Всё взаимодействие — в чате с ИИ. Страх что-то сломать будет куда меньше.

Что может:

⚪️ Удалять frontend pod’ы
⚪️ Изменять network latency
⚪️ Создавать http probe, которая проверяет API каждые 5 секунд
⚪️ Получать статистику о экспериментах и не только

👉 Посмотреть на GitHub

@DevOpsKaz 😛

🔥 Первый спикер Cloud Native Community Day — Илиев Тельман, Head of DevOps в Tele2/Atlel

Илиев Тельман — инженер с 15-летним опытом в IT-индустрии. Его экспертиза в Cloud Native технологиях подтверждена пятью сертификатами CNCF.

На митапе Тельман выступит с докладом «Istio и Envoy: От хаоса микросервисов к управляемому трафику».

Вы разберетесь, что такое Service Mesh и какие проблемы микросервисной архитектуры он решает. Получите сравнение популярных прокси-серверов и выясните, почему Envoy стал ключевым выбором для Data Plane. Посмотрите, как Istio позволяет контролировать и гибко управлять сетевым трафиком.

👉 Приходить послушать Тельмана бесплатно

Satbayev University
актовый зал
13 ноября в 16:00

@DevOpsKaz 😛

🔥 Кейс Sector Tree: оптимизация инфраструктуры и миграция в облако

Разработчик софта обратился к нам в Core 24/7 для миграции части сервисов в облако, а также за ускорением time-to-market своих разработок. Миграция была необходима, так как компания Sector Tree столкнулась с серьёзными проблемами в своём дата-центре, где частые перебои с электроэнергией приводили к отключению серверов.

Инфраструктура была построена на классических виртуальных машинах, что ограничивало масштабируемость и отказоустойчивость. Ключевые сервисы, включая мониторинг и приложения, страдали от сбоев, что угрожало операционной эффективности.

В результате наших работ критичные сервисы после миграции в облако больше не зависят от перебоев в дата-центре. А детальный мониторинг увеличивает прозрачность состояния инфраструктуры. Также сократилось время выпуска обновлений продукта на 30-40%.

👉 Узнайте, что мы делали, в новом кейсе

@DevOpsKaz 😛

🔥 Второй спикер Cloud Native Community Day — Дюсенов Сайран, Head of Infrastructure, «Aitu-Платёжные Решения»

Дюсенов Сайран — профессионал с 20-летним опытом в IT. С 2017 года успешно сдает профессиональные экзамены от IBM, Red Hat, CNCF и LPI как в офлайн, так и в онлайн формате. Работает с обширным стеком как в квазигосударственных, так и в международных компаниях. Имеет 5 действующих сертификатов Red Hat и 2 сертификата CNCF.

Дюсенов Сайран выступит с темой «Сертификации Kubernetes от CNCF» и расскажет обо всех нюансах, тонкостях и бенефитах: что даёт сертификация в СНГ-реалиях, какие есть экзаменационные лайфхаки, как готовиться к сертификации, а также roadmap на 25-26 года.

👉 Приходить послушать Сайрана бесплатно

Satbayev University
актовый зал
13 ноября в 16:00

@DevOpsKaz 😛

🔥 Третий спикер Cloud Native Community Day — Крамча Саин, DevOps Engineer, Core 24/7

Саин выступит с докладом на тему «Организация парка Kubernetes кластеров». В современном enterprise-ландшафте Kubernetes уже давно перестал быть единственным кластером в продакшене. В крупной организации их десятки, а иногда и сотни. Каждый кластер — это своя версия Kubernetes, свои CNI, CSI, Ingress-контроллеры, свои RBAC-политики и свои секреты. Ручное управление такой флотилией превращается в операционный кошмар.

Именно поэтому управление multi-cluster Kubernetes должно быть так же декларативным, как сами приложения, которые в нём работают.

Satbayev University
актовый зал
13 ноября в 16:00

❗️ ОТКРЫЛИ РЕГИСТРАЦИЮ ЗАНОВО

Для тех, кто не мог зарегаться из-за высокого спроса — теперь можете, открыли 50 дополнительных мест.

1. Переходим по ссылке и жмем Attend
2. Логинимся с почтой Google и заполняем данные
3. На последнем шаге выбираем continue with free plan

@DevOpsKaz 😛

🔥 Helm v4.0.0 только что вышел — через 6 лет после v3!

Релиз приурочен к 10-летию Helm, который стал стандартом для деплоя в Kubernetes, помогая командам упрощать CI/CD.

Ключевые обновления:

⚪️ Плагин-система на WebAssembly: полная переработка (HIP-0026) с Extism — плагины теперь sandboxed, кросс-платформенные, без рестарта. Post-renderers стали плагинами.
⚪️ Server-side Apply: нативная поддержка Kubernetes для лучшего разрешения конфликтов и управления полями.
⚪️ Chart v3: новая версия с обратной совместимостью v2, подготовка к экспериментальному API v3.
⚪️ Мониторинг ресурсов: интеграция kstatus watcher для ожидания статуса ресурсов.
⚪️ Кеширование чартов: локальное content-based caching для ускорения.
⚪️ Производительность и SDK: переход на slog (структурированное логирование), reproducible builds, улучшенный Go SDK с embeddable командами.
⚪️ Безопасность: улучшенная OCI-поддержка, валидация зависимостей.

⚠️ Breaking changes

Переименование флагов (--atomic → --rollback-on-failure), удаление deprecated (--no-update), строгий YAML-check. Существующие чарты v2 работают, но скрипты CI/CD нужно обновить.

v4 упрощает GitOps, повышает безопасность цепочки поставок и ускоряет деплой на 30%. Идеально для больших команд — меньше багов, больше автоматизации.

@DevOpsKaz 😛