Всем DevOps! Деплоим средовую подборку новостей и статей.

⚫️ Обнаружена уязвимость в GitHub MCP-сервере, связанная с ИИ-агентами

Команда Invariant Labs опубликовала исследование уязвимости, которая позволяет злоумышленнику через Issue заставить ИИ-агента слить данные из приватных репозиториев. В отчете продемонстрировано, как атака реализуется на практике и предложены инструменты для обнаружения и предотвращения. Рекомендуем ознакомиться тем, у кого есть ИИ-ассистенты в репозиториях.

🟡 В Grafana появилась поддержка импорта алертов в через UI. Теперь можно перенести алерты из Prometheus, Loki и Mimir в Grafana-managed alerts через UI и API. О нюансах — в статье.

⚫️ Ракан Аль-Зага опубликовал статью о современных подходах к авторизации. Он объясняет, почему традиционные модели (RBAC, ABAC) не справляются с масштабом микросервисов и мультиоблачной архитектуры и предлагает иные решения: Policy-as-Code и Authorization-as-a-Service.

🟡 Шон Вэбб рассказал о прогрессе внедрения Rust в FreeBSD.

Сейчас в отдельной ветке защищенных сборок FreeBSD уже можно собрать Rust-компоненты, при этом все зависимости лежат локально и собираются с пакетным менеджером Cargo. Поддержка библиотеки cdylib, нескольких программ в одном Makefile и прочие фичи — в планах.

⚫️ Крис Ричардсон выпустил вторую часть серии об аутентификации и авторизации в микросервисной архитектуре. На этот раз речь идёт об аутентификации — проверке личности пользователя. Крис объясняет, зачем микросервисам нужен отдельный IAM-сервис, как работают OAuth 2.0 и OpenID Connect, и как встроить всю эту механику в распределённую систему.

🎙 В эфире DevOps FM — пятничная подборка подкастов

1. Mastering Microservices от Stack Overflow Podcast. В гостях — Жё Джордж, бывший архитектор Uber и Netflix. Он вместе с ведущим обсуждает эволюцию микросервисной архитектуры, ключевую роль инструментов оркестрации, а также переход от open-source к управляемым сервисам.

2. KubeCon EU 2025 Special от Kubernetes Podcast. Всё самое интересное с KubeCon в Лондоне: платформенный инжиниринг, AI в Kubernetes, свежие апдейты по ядру и неожиданные кейсы вроде запуска Kubernetes на молочной ферме. Также — новости экосистемы, новые фичи в Kubernetes 1.33 и развитие Gateway API.

3. OpenTofu with Cory O’Daniel and Malcolm Matalka от Software Engineering Daily. В этом выпуске рассказывают, как изменение лицензии HashiCorp привело к созданию OpenTofu, делятся историей запуска проекта, обсуждают роль сообщества и объясняют, почему OpenTofu стал важным инструментом для IaC.

Желаем приятного прослушивания! Тем, кто отдыхает — хороших выходных, а тем, кто работает — спокойных дежурных смен!

#devops #подкаст

Первая летняя подборка новостей и релизов уже в эфире DevOps FM!

🟡 Зарелизили VirtualBox 7.1.10

Oracle выпустили VirtualBox 7.1.10, в которой исправили некоторые ошибки и улучшили производительность.
Из интересного:
• Добавлена поддержка Linux 6.15.
• Исправили проблемы с аварийным завершением VBoxManage на хостах Windows и завершением процесса VM Selector на базе Linux
• Исправлена проблема, не позволявшая вставлять данные из буфера обмена в гостевую систему, доступ к которой осуществляется при помощи протокола RDP.

⚫️ В блоге Kubernetes вышла статья о том, как обеспечить корректный порядок запуска контейнеров в поде, когда основное приложение зависит от sidecar-контейнера.

В материале рассматривается, почему даже при использовании нативных sidecar-контейнеров с restartPolicy: Always нельзя гарантировать, что sidecar будет полностью готов до старта основного приложения. Автор показывает, как решить эту проблему с помощью startupProbe, postStart-хуков и других механизмов Kubernetes, чтобы добиться нужной последовательности запуска.

⚫️ Линус Торвальдс распорядился заблокировать учётную запись лидера Ubuntu Security Team

Кеса Кука, одного из главных сторонников Rust в ядре, заблокировали за подмену информации об авторстве коммитов. Поводом стал pull-запрос в Linux 6.16, в котором использовался git-репозиторий с фиктивными изменениями — ряд коммитов в нём значились от имени самого Торвальдса, хотя он к ним не имел отношения.

Торвальдс расценил это как потенциально вредоносную активность и потребовал немедленной блокировки профиля Кука до выяснения обстоятельств. Кес объяснил инцидент неудачным восстановлением репозитория после сбоя SSD и ошибкой в использовании утилиты git-filter-repo в связке с b4 trailers.

Позже автор утилиты b4 подтвердил, что подмена произошла без злого умысла и была следствием некорректного использования утилиты. Доступ Кука к инфраструктуре был восстановлен, а в b4 появится дополнительная проверка, предотвращающая подобные случаи в будущем.

🟡 На TheNewStack опубликовали результаты исследования от Google посвященное зрелости подхода платформенной инженерии и ее влияние на бизнес. Один из ключевых выводов — 65% времени разработчиков тратится на задачи, которые можно устранить с помощью платформенной инженерии — например, настройка инструментов, обновления, поддержка среды и т.д. Ознакомиться с остальными результатами можно здесь.

#devops #linux #kubermetes #platformengineering

Публикуем еженедельный дайджест релизов и новостей.

⚫️ Зарелизили FreeBSD 14.3

В новой версии обновили LLVM, OpenSSH, OpenZFS и другие сторонние компоненты, добавлена поддержка параметров для привязки политик и выполнения sysctl к jail-окружениям, изменили логику обработки флага "-U". Все изменения можно посмотреть здесь.

🟡 В блоге Kubernetes вышла статья о выходе Inference Extension для Gateway API — расширения, которое упрощает маршрутизацию трафика к LLM и другим AI/ML-моделям в Kubernetes.

В материале рассказали, как новое расширение учитывает особенности inference-нагрузок: продолжительность сессий, использование GPU и тип модели. Оно позволяет гибко направлять трафик на наименее загруженные поды, снижая задержки и повышая эффективность работы.

⚫️ На InfoQ вышел подробный гайд по использованию зеркалирования трафика для отладки и тестирования микросервисов. Авторы рассказали, как безопасно дублировать реальный трафик на теневые сервисы без влияния на пользователей — с помощью Istio, AWS VPC, eBPF и других инструментов. Если кратко:

• Зеркалирование позволяет ловить редкие баги, проводить регрессионные тесты и профилировать производительность в условиях, близких к боевым.
• Возможны разные уровни — L7 (через Istio и NGINX), L4 (через AWS VPC Mirroring), eBPF и DIY-решения.

Подробности и кейс с примерами читаем в статье.

#devops #freebsd #kubernetes #microservices

Начинаем рабочую неделю с занимательной статьи от Шарона Брызинова.

Удалили секрет из GitHub? Увы, он всё равно остаётся доступен. Даже после git reset --hard HEAD~1 с последующим git push --force коммиты не исчезают навсегда — GitHub хранит их в архиве и позволяет восстановить по хешу.

Исследователь автоматизировал поиск таких «висячих» коммитов, использовав GitHub Event API, GH Archive и TruffleHog и нашёл тысячи ключей и токенов. Один из них открывал админ-доступ ко всем репозиториям Istio, что могло привести к масштабной supply chain-атаке, но уязвимость вовремя устранили.

В статье — как Шарон он наткнулся на эту проблему, получил доступы к проектам Google, RedHat и других крупных корпораций и создал open-source проект для сканирования подобных утечек.

#devops #github #security

К сегодняшней среде подготовили для вас свежий дайджест интересных новостей и материалов за неделю.

⚫️ Let's Encrypt начала выдавать бесплатные TLS-сертификаты для IP-адресов

Let's Encrypt анонсировали начало предоставления бесплатных сертификатов для IP-адресов. Срок действия сертификатов составит 6 дней и пока генерация происходит только в тестовом режиме. Для запроса сертификата требуется наличие в ACME-клиенте поддержки расширения протокола, реализующего профили, а также поддержки профиля shortlived. Полноценный доступ ожидается к концу 2025 года.

🟡 Зарелизили GNU Bash 5.3

Спустя почти три года разработки представлена новая версия одного из самых популярных Unix-оболочек. Обновление затронуло как функциональность самой оболочки, так и библиотеку Readline, которая используется для редактирования командной строки.

Что нового:
• Появился новый формат подстановки команд ${ command; } и ${|command;}
• Добавлена переменная GLOBSORT — теперь можно управлять сортировкой файлов при автодополнении
• Команды read, source, compgen получили новые опции.
• Bash переведён на стандарт C23 — поддержка старых K&R C-компиляторов прекращена.

Полный список изменений можно найти здесь.

⚫️ На официальном блоге Kubernetes вышел разбор проблем с отказами устройств в подах

Авторы статьи делятся выводами из доклада на KubeCon NA и обсуждают, почему текущая модель отказоустойчивости Kubernetes не справляется с современными задачами. AI/ML-нагрузки предъявляют новые требования: устройства дорогие, сбои критичны, а переиспользование подов и девайсов должно быть максимально эффективным. В статье рассказывается о текущих решениях — от кастомных контроллеров до политик завершения работы подов, а также о том, какие доработки планируются в SIG Node: больше extension points, учёт деградации устройств, интеграция с DRA и многое другое.

Чтобы прочитать статью — кликните сюда.

🟡 Манешвар, разработчик LiveAPI, опубликовал гайд по миграции AWS EC2-инстанса в Google Cloud с сохранением всех данных и конфигураций — от ОС до пользовательских файлов. В статье он подробно описывает каждый этап: создание AMI, экспорт в S3, импорт в GCP и запуск нового инстанса на базе полученного образа.

#devops #kubernetes #bash #aws

Привет! В эту пятницу предлагаем разобраться, как Kubernetes управляет сетями — от ядра Linux до сервис-мешей.

Лука Каваллин написал подробную статью о том, что происходит с пакетами и подами в Kubernetes-кластере. В статье — фундаментальные принципы работы сетей в Linux, контейнерах и Kubernetes, а также современные абстракции: Service, Ingress и Gateway API. Автор не обошёл стороной и работу в мультикластерах, и типичные проблемы с сетевой доступностью между подами.

С деталями можно ознакомиться по ссылке.

Желаем приятного чтения! Тем, кто отдыхает — хороших выходных, а тем, кто работает — спокойных дежурных смен!

#devops #kubernetes #networking #pods

Всем DevOps! Делимся с вами подборкой инструментов для работы с сетями.

awesome-pcaptools — репозиторий, который содержит список инструментов для обработки файлов pcap при исследовании сетевого трафика. Если вам нужно проанализировать, визуализировать или обработать сетевой трафик, записанный в .pcap, советуем заглянуть сюда. Тут собраны:

• Linux-команды для мониторинга и анализа трафика
• Инструменты для захвата трафика
• Инструменты для анализа трафика
• DNS‑утилиты
• Тулзы для извлечения файлов из сетевых потоков
• Сопутствующие проекты (Различные библиотеки, инструменты и фреймворки)

#devops #tools #opensource

Выкатываем свежую партию релизов и статей за прошедшую неделю.

🟡 Oracle выпустили июльский Critical Patch Update для своих продуктов

Обновления коснулись 309 проблем и уязвимостей в Java SE, MySQL, VirtualBox и некоторых других продуктах. Устранены множество критических уязвимостей, включая те, которые позволяют удаленное выполнение кода без аутентификации. Некоторые их них получили уровень опасности выше 8, поэтому советуем обновиться.

Полный список уязвимостей, CVE и затронутых продуктов можно посмотреть здесь.

⚫️ GitLab улучшает удаление проектов и групп

Какие фичи для этого предлагают:
• Удаление не сразу, все проекты и группы сначала переходят в статус pending deletion и у вас есть 30 дней на восстановление, даже на бесплатном тарифе
• После удаления namespace автоматически освобождается и можно сразу создать новый проект с тем же адресом
• Появится чёткое разделение между временным и окончательным удалением — чтобы никто случайно не потерял важные данные

Полные подробности читаем в официальном блоге.

🟡 2025 Docker: как меняется разработка ПО

Команда Docker провели опрос о состоянии разработки приложений в 2025 года, в опросе участвовало более 4500+ специалистов. Результаты показывают — безопасность больше не является изолированной специализацией, только каждая пятая компания отдает эту задачу на аутсорс.

Использование контейнеров в ИТ-индустрии резко возросло до 92% по сравнению с 80% исследования 2024 года. Однако в других отраслях уровень внедрения ниже — 30%. Python обогнал JavaScript по популярности, а основными трудностями остаются оценка времени и планирование задач.

Интересно отметить, что самостоятельное обучение набирает популярность. Во всех отраслях 85% респондентов обращаются к онлайн-курсам или сертификации, значительно опережая традиционные источники, такие как школа (33%), книги (25%) или обучение на рабочем месте (25%).

⚫️ На dev вышла статья о том, когда стоит использовать API, а когда — вебхуки. Если нужно запрашивать данные по требованию — выбирайте API. Если хотите получать уведомления о событиях в реальном времени — помогут вебхуки. В статье также разобраны плюсы, минусы, безопасность, сравнение с WebSocket и различные кейсы вроде CRM-интеграций. Подходит тем, кто проектирует архитектуру взаимодействия между сервисами.

#devops #docker #api #gitlab