Вот какая занимательная история:

Пилил себе добрый человек пакет для Node.js. Пилил, да забил — не интересно более, другие приоритеты, ну ти прочее. А пакет то висит в зависимостях: ишью копятся, ревьювить что-то надо. Короче, всячески тратить своё драгоценное время.

Ну и написал, значит, этому доброму человеку какой-то левый чел из интернетов. Мол, друг важную вещь делаешь, коммьюнити помогаешь, устал — понимаю, давай я твоё дело продолжу. Ну добрый человек взял и контроль над репой и передал.

И всё, вроде, хорошо, но в пакет этот тут же влетает код для хищения крипты.

Пакет уже, вроде, из npm репозитория удалили, но вы всё же перепроверьте у себя.

Ясное дело, все в первую очередь начали пинать оригинального автора. Он даже сделал по этому поводу открытый пост о том, что автор опенсорса ничего никому не должен и вообще это всё бесплатно и энтузиазм. Но так или иначе бОльшая часть современного софта так или иначе на опенсорс завязана.

Это пост не к тому, что Нода плохая. Так может произойти с любым открытым кодом. Так что даже не знаю: проверяйте, что там у вас в зависимостях регуляроно…

P.S. На закуску сервис визуализации зависимостей npm пакетов.

#security #coolstory

С вами рубрика “Материалы от подписчиков”!

Статья об аналитике CloudWatch логов в AWS

Спасибо за наводку Andrew Shi

P.S: Если у вас есть интересный материал, которым вы бы хотели поделиться или просто интересно пообщаться, стучитесь в личку @grem1in

#aws

Я на какое-то время пропал, но вот вернулся)
На прошлой неделе отгремел AWS re:Invent, так что новости про Амазон сыпались со всех сторон. Я постарался собрать всё интересное (субъективно) в виде дайджеста.

Computing:
- AWS Outposts
- Arm-based Amazon EC2 A1 Instances
- Firecracker - легковесная виртуализация на Rust с открытым кодом
- Предиктивный скейлинг EC2 с ML под капотом
- Гибернейт для EC2

Данные:
- Amazon Aurora Global Database - одна реляционка на несколько(!) регионов
- DynamoDB Support for Transactions
- AWS DataSync - автоматизация передачи данных между хранилищами внутри AWS (S3, EFS)
- AWS Transfer for SFTP - SFTP для S3
- Amazon EFS now Supports Access Across Accounts and VPCs
- Amazon Timestream - новая time-series DB от AWS
- S3 Object Lock - запрет на удаление данных в S3 на заданный период
- S3 Intelligent-Tiering - новый сторейдж-класс для S3
- AWS Lake Formation - сервис для создания безопасных data lakes
- Amazon Quantum Ledger Database (QLDB) - треккинг датафлоу между приложениями
- Amazon Managed Blockchain - ну вы поняли 😉

Приложения:
- AWS App Mesh - Service Mesh от AWS
- Application Load Balancer can now Invoke Lambda Functions to Serve HTTP(S) Requests
- AWS License Manager - для упрощения управлением сторонних лицензий
- AWS Lambda Supports Ruby
- Custom Runtimes для AWS Lambda
- Managed Streaming for Kafka - Kafka без Кафки
- Amazon Forecast - прогнозы от AWS по любым(?) вашим данным

#aws
Продолжение >>

>>
Разработка:
- AWS Toolkit for PyCharm
- AWS Well-Architected Tool - AWS архитектор as a service

Логи:
- CloudWatch Logs Insights - анализ логов (уже было на канале)

IoT:
- IoT Events - ловим события с девайсов
- IoT Things Graph - строим модели взаимоотношения IoT штук в графическом режиме

Другое:
- Key Management Service (KMS) Custom Key Store - можно использовать кастомное хранилище для KMS ключей
- AWS Ground Station - “managed service that lets you control satellite communications”. Как тебе такое, Илон Маск?

P.S: было ещё много аноносов по ML/AI, потому что сейчас и в ближайшем будущем — это тренд. Несомтря на то, что я прекрасно понимаю важность ML/AI, я не имею какой-либо экспертизы в этом направлении, чтобы как-то подбирать новости 🙁 Так что в подборку оно не вошло.

#aws

Тем временем релизнулся Kubernetes 1.13!

Что там нового и сколько сломали старого можно прочитать в чейнджлоге

Или наSisdig

#kubernetes

И сразу же вдогонку:

Найдена критическая уязвимость Kubernetes, которая позволяет повышать привелегии любому пользователю.

- RedHat
- ZDNet

Версии с фиксом: v1.10.11, v1.11.5, v1.12.3 иv1.13.0-rc.1

P.S. Вот и повод кластер обновить ¯\_(ツ)_/¯

UPD: GKE уже обновились, AKS, говорят, тоже.

#kubernetes #security

Тут бесплатно раздают книжку Introduction To Aws Iaas Solutions:

- The key components of the AWS public cloud platform
- How to launch your compute and storage resources on the AWS Virtual Private Cloud (VPC) platform
- How to add compute resources to your VPC with AWS Elastic Compute Cloud (EC2)
- The types of storage in AWS Elastic Block Storage (EBS) with cost, performance impact, and examples of operational tasks

#books #aws

​​If you wasn't on HashiConf 2018, look on 5 key lessons learned at Gruntwork while creating and maintaining a library of over 300,000 lines of infrastructure code

It's will be very interesting and useful hour of your life and I prepare some pick-ups from video which not described in article:
- Production Readiness Checklist
- Pre-commit for terraform docs
- Terratest

#terraform

История от Cossack Labs о том, как они ужали Docker image с 900 Mb до 10 Mb

#docker

​​Так и живём ¯\_(ツ)_/¯

 users with UID > INT_MAX can successfully execute any systemctl command

Беда в PolicyKit:
https://gitlab.freedesktop.org/polkit/polkit/issues/74

Описание этого же бага в systemd:
https://github.com/systemd/systemd/issues/11026

#security

Прямая трансляха Kyiv HashiCorp Meetup #4 живёт здесь:

https://www.youtube.com/watch?v=bYYm2RlyiRg

#event

terraform taint - very usefull command for force new resources after update autoscaling group

https://www.terraform.io/docs/commands/taint.html

#terraform

Слайды и видео со вчерашнего Kyiv HUG Meetup:

“Vault Kubernetes Rendez-Vous and Blockchain Adventures at Dreamteam" by Aleksandr Stepanov

“Preview of Terraform 0.12 + modules.tf" by Anton Babenko

Полное видео митапа:
https://youtu.be/bYYm2RlyiRg

#slides #hashicorp

​​Сегодня-завтра буду на XP Days Ukraine

Если тоже окажетесь тут, можем вместе бахнуть кофе 😉

#xpdays

===

Also, in twitter.com/MaxymVlasov you can find some posts about terraform, serverless, microservice and other topics from XP days. I'm also at XP days (:

Продолжаем рубрику от подписчиков:

@vxxtl про трейсинг – что такое трейсинг, кому полезен, зачем нам в секурити софте трейсинг, какой инструмент выбрали, как внедрили, с чем сложности, в чем польза.

​​Greet The AWS Well-Architected Tool!

It helps you review the state of your workloads and compares them to the latest AWS architectural best practices and helps build secure, high-performing, resilient, and efficient application infrastructure.

#aws

Запись вчерашнего вэбинара от HashiCorp про Vault 1.0 с авто-ансилом

#hashicorp #vault #security

Нативный Docker Compose on Kubernetes

Как-то пролетела новость, и никто не заметил. Раньше делали как: генерили кубер манифесты из компоуз файлов, с помощью, например, Kompose.

Наконец Docker расчехлились, и уже практически официально этим решением депрекейтнули Docker Swarm. Они напилили нативный контроллер, который позволяет применять compose манифесты в кубер.

Вот, смотрите:
https://blog.docker.com/2018/12/simplifying-kubernetes-with-docker-compose-and-friends/

Репа на гитхабе:
https://github.com/docker/compose-on-kubernetes

В общем, у кого compose (омг) или Swarm в проде - можно безболезненно пересесть в k8s как первый шаг в процессе миграции.

Это будет очень полезно ребятам, у которых мало инженерных ресурсов, но есть огромное желание в k8s.

Как новость?)

​​​​Free NGINX Cookbook by Derek DeJonghe.

Can be download here

#book #nginx

​​honeycomb.io выпустили брошюру про Observability. Объем небольшой — всего 26 страниц.

Внутри (судя по оглавлению): что оно такое, зачем надо, как к observability прийти и какие тулы использовать. И прикольные картинки!

Прямая ссылка на PDF

#books #observability