Khronoscope: анализ состояния кластера k8s во времени
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
Документация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
Всем привет!
Не так давно мы писали про проект KHI (Kubernetes History Inspector), который позволял визуализировать журналы k8s для того, чтобы понять, что происходило в кластере.
Еще одна утилита, которая может помочь разобраться в том, «как все было» - Khronoscope. Его основная задача – производить анализ конфигурации кластера в интересующий промежуток времени.
С его помощью можно:
🍭 Получать сведения о том, что и когда запускалось
🍭 Отслеживать конфигурации ресурсов
🍭 Смотреть логи ресурсов
🍭 «Проматывать время и не только
На текущий момент утилита работает с
ConfigMap, DaemonSet, Deployments, Namespaces, Nodes, PersistentVolume, Pods, ReplicaSets, Secrets и ServicesДокументация по установке, «горячие клавиши», видео с демонстрацией работы – все это можно найти в repo проекта.
GitHub
GitHub - hoyle1974/khronoscope: Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through…
Imagine a tool like k9s that also lets you rewind in time to see the status of your cluster through time. - hoyle1974/khronoscope
❤2⚡1
Поиск изменений и Container Drift
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Всем привет!
Изначально контейнеры были задуманы как неизменяемые сущности (immutable). Однако, бывают случаи что «что-то поменялось» и надо понять, что именно.
Для этого можно пользоваться разными инструментами. Например: Docker Forensics Toolkit, Kube Forensics, Docker & Container Explorer.
В статье Автор описывает свои размышления на эту тему:
🍭 Что такое Container Drift
🍭 Поиск drift при работе с Docker
🍭 Поиск drift при работе с containerd
🍭 Автоматизация описанных подходов
В статье очень много примеров и деталей, а также разных способов реализации поиска container drift.
Это может быть полезно не только ИБ, но и ИТ-специалистам при расследовании инцидентов и идентификации основной проблемы.
Medium
Adrift in the Cloud: A Forensic Dive into Container Drift
In this discussion, I’ll be diving into container drift detection, specifically, analyzing container drift from a forensics perspective
❤8
Идентификация угроз в Kubernetes
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Всем привет!
Еще одна потрясающая статья от ребят из Exness! В ней Авторы делятся практиками, которые они используют для мониторинга и идентификации угроз, характерных для Kubernetes.
В первой части приводится описание используемых средств автоматизации. Выбор команды пал на Tetragon (в качестве агента) и Kubernetes Audit Log (для получения информации о том, что происходит с кластером).
Описываются плюсы и минусы использования open source, доработки, реализованные командой, а также Audit Policy, которую применяют в Exness.
Дальше – интересней! Поиск угроз:
🍭 System Binary Renaming
🍭 Privileged Container Detected
🍭 Suspicious Execution Activity Inside a Container
🍭 Cluster Admin Role Bound to the User и не только
Для каждой угрозы приводится ее классификация по MITRE и/или матрицей от Microsoft, краткое описание и возможные способы ее идентификации.
Очень и очень полезный материал для тех, кто работает с мониторингом ИБ сред контейнерной оркестрации. Рекомендуем! ☺️
Medium
Threat Detection in the K8s Environment
Discover what tools our SOC team uses to detect malicious activity on our clusters
❤5👍1
Атаки на JSON Web Tokens (JWT)
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Всем привет!
JWT повсеместно используются в современном мире для решения значимых задач – аутентификация, авторизация, безопасный обмен данными в приложениях.
Поэтому их защита – крайне важная задача. Если вам интересна эта тема, то рекомендуем прочесть статью.
После минималистичной вводной (что такое JWT, из каких «частей» состоит, какие они бывают и т.д.) Автор переходит к самому интересному – атакам и уязвимостям, связанным с технологией!
Рассматриваются:
🍭 Signature Not Verified
🍭 None Algorithm Attack
🍭 Trivial Secret
🍭 Algorithm Confusion и не только
Для каждой уязвимости описано в чем ее суть, какое может быть воздействие/ущерб (impact), как ее можно эксплуатировать и как можно защититься.
Коротко, ёмко, без воды и по делу! То, что надо!
Pentesterlab
The Ultimate Guide to JWT Vulnerabilities and Attacks (with Exploitation Examples)
Master JWT security with this in-depth guide to web hacking and AppSec. Learn how to exploit and defend against real-world JWT vulnerabilities like algorithm confusion, weak secrets, and kid injection — with hands-on labs from PentesterLab.
👍3
Безопасность CI/CD, рекомендации Wiz!
Всем привет!
По ссылке можно найти статью, посвященную безопасности CI/CD, подготовленную специалистами Wiz.
Сперва в статье разбираются основные компоненты: репозитории исходного кода, «сборщики», различные оркестраторы и т.д. После – особенности обеспечения ИБ конвейера: сложность, скорость, потребность в автоматизации, управление доступом и т.д.
Далее Авторы приводят собственные рекомендации:
🍭 Automating Security Scans
🍭 Focusing on Runtime
🍭 Managing Secrets Effectively
🍭 Implementing Immutable Infrastructure и не только
И это далеко не все – также рассматриваются задачи типового конвейера, распределение ответственности (кто делает что) и ключевые показатели эффективности, которые могут быть полезны для понимания того, насколько все хорошо реализовано.
P.S. Помимо этого в Wiz Academy множество прекрасных статей по разным DevSecOps-тематикам. Возможно, вы найдете для себя что-то интересное ☺️
Всем привет!
По ссылке можно найти статью, посвященную безопасности CI/CD, подготовленную специалистами Wiz.
Сперва в статье разбираются основные компоненты: репозитории исходного кода, «сборщики», различные оркестраторы и т.д. После – особенности обеспечения ИБ конвейера: сложность, скорость, потребность в автоматизации, управление доступом и т.д.
Далее Авторы приводят собственные рекомендации:
🍭 Automating Security Scans
🍭 Focusing on Runtime
🍭 Managing Secrets Effectively
🍭 Implementing Immutable Infrastructure и не только
И это далеко не все – также рассматриваются задачи типового конвейера, распределение ответственности (кто делает что) и ключевые показатели эффективности, которые могут быть полезны для понимания того, насколько все хорошо реализовано.
P.S. Помимо этого в Wiz Academy множество прекрасных статей по разным DevSecOps-тематикам. Возможно, вы найдете для себя что-то интересное ☺️
wiz.io
CI/CD Pipeline Security Best Practices: The Ultimate Guide | Wiz
Learn about CI/CD pipeline security best practices to protect your software lifecycle from vulnerabilities and attacks while maintaining development velocity.
1🔥9❤2👍1
Сравнение Gateway API
Всем привет!
В repo можно найти результаты сравнения Gateway API. В выборку попали:
Сравнение проводилось по следующим параметрам:
🍭 Attached Routes Test
🍭 Route Probe Test
🍭 Route Scale Test
🍭 Traffic Performance
🍭 Architecture
В начале сравнения представлен итоговый результат, далее – детальные по каждому из блоков, описанных выше.
Помимо этого, для каждого из сравниваемых решений описаны нюансы, которые выявил Автор в процессе тестирования.
Графики, графики, графики, таблицы, комментарии – все это есть в материале для более глубокого изучения.
P.S. Да, есть те, кто не попал в выборку (HAProxy, Linkerd и не только). Причины такого решения можно найти в repo.
Всем привет!
В repo можно найти результаты сравнения Gateway API. В выборку попали:
Cilium, Envoy Gateway, Istio, Kgateway, Kong, Traefik и Nginx.Сравнение проводилось по следующим параметрам:
🍭 Attached Routes Test
🍭 Route Probe Test
🍭 Route Scale Test
🍭 Traffic Performance
🍭 Architecture
В начале сравнения представлен итоговый результат, далее – детальные по каждому из блоков, описанных выше.
Помимо этого, для каждого из сравниваемых решений описаны нюансы, которые выявил Автор в процессе тестирования.
Графики, графики, графики, таблицы, комментарии – все это есть в материале для более глубокого изучения.
P.S. Да, есть те, кто не попал в выборку (HAProxy, Linkerd и не только). Причины такого решения можно найти в repo.
GitHub
GitHub - howardjohn/gateway-api-bench: Gateway API Benchmarks provides a common set of tests to evaluate a Gateway API implementation.
Gateway API Benchmarks provides a common set of tests to evaluate a Gateway API implementation. - howardjohn/gateway-api-bench
❤2👍1🔥1
5 лет, 160 комментариев и уязвимость устранена!
Всем привет!
Сегодня предлагаем вам очень увлекательную и захватывающую с первых минут статью.
Началось все с того, что Автор наткнулся на CVE-2022-1471, эксплуатация которой могла привести к RCE при использовании SnakeYAML.
И это удивило Автора, ведь в статье, которой на тот момент было уже 5 лет, упоминалась ровно та же самая уязвимость (только ей не был присвоен CVE), а SnakeYAML приводился в качестве одного из примеров.
Дальнейшее разбирательство немного шокировало: project maintainer перевел ее в значение «won’t fix», аргументируя это тем, что надо «просто использовать безопасный вариант реализации».
Да, он был прав. Но большинство людей не задумываются о том, как это правильно использовать. Им нужно реализовать десереализацию и только. Это подтверждается множеством примеров в интернете, где рекомендуется использовать небезопасный вариант.
С точки зрения Автора такой подход был в корне неверным. Ведь, если есть возможность, то лучше реализовать secure-by-default, а все остальное – на усмотрение пользователей.
Именно так и начался thread о том, что это надо исправить. На момент окончания обсуждения было порядка 160 комментариев.
Хорошая новость в том, что project maintainer все-таки согласился с тем, что можно сделать иначе и предоставил secure-by-default реализацию. Она попала в SnakeYAML 2.0.
В статье можно прочесть много интересных размышлений Автора:
🍭 О том, как используют средства анализа кода (иногда фокус смещается на создание новых правил для сканеров, а не на устранение существующих недостатков)
🍭 О том, что делать ИБ-исследователям, если они зашли в тупик при общении с «автором уязвимости»
🍭 О том, почему secure-by-default это важно и не только
Но это все лучше прочитать самим ☺️ Рекомендуем!
Всем привет!
Сегодня предлагаем вам очень увлекательную и захватывающую с первых минут статью.
Началось все с того, что Автор наткнулся на CVE-2022-1471, эксплуатация которой могла привести к RCE при использовании SnakeYAML.
И это удивило Автора, ведь в статье, которой на тот момент было уже 5 лет, упоминалась ровно та же самая уязвимость (только ей не был присвоен CVE), а SnakeYAML приводился в качестве одного из примеров.
Дальнейшее разбирательство немного шокировало: project maintainer перевел ее в значение «won’t fix», аргументируя это тем, что надо «просто использовать безопасный вариант реализации».
Да, он был прав. Но большинство людей не задумываются о том, как это правильно использовать. Им нужно реализовать десереализацию и только. Это подтверждается множеством примеров в интернете, где рекомендуется использовать небезопасный вариант.
С точки зрения Автора такой подход был в корне неверным. Ведь, если есть возможность, то лучше реализовать secure-by-default, а все остальное – на усмотрение пользователей.
Именно так и начался thread о том, что это надо исправить. На момент окончания обсуждения было порядка 160 комментариев.
Хорошая новость в том, что project maintainer все-таки согласился с тем, что можно сделать иначе и предоставил secure-by-default реализацию. Она попала в SnakeYAML 2.0.
В статье можно прочесть много интересных размышлений Автора:
🍭 О том, как используют средства анализа кода (иногда фокус смещается на создание новых правил для сканеров, а не на устранение существующих недостатков)
🍭 О том, что делать ИБ-исследователям, если они зашли в тупик при общении с «автором уязвимости»
🍭 О том, почему secure-by-default это важно и не только
Но это все лучше прочитать самим ☺️ Рекомендуем!
Medium
5 Years, 160 Comments, and the Vulnerability That Refused to Die
How a 5-year-old deserialization flaw, a vacation phone call, and some persistence led to a safer Java ecosystem
🤯6👏5❤1
Forwarded from Alfa Digital
Самый первый ❤️
Коллеги из AppSec Альфа-Банка запускают свой митап, и первая встреча пройдёт уже 10 июля в 18:30 в Москве — в пространстве ExitLoft.
Покажем на реальных кейсах, чем живёт AppSec в Альфа-Банке, расскажем, зачем перешли на сервисную модель SSDLC, как развиваем MLSecOps и какие приёмы Offensive AppSec помогают нам находить уязвимости до того, как это сделают другие. А завершим всё афтепати с общением под открытым небом.
➡️ Если вам интересно, как устроена безопасность приложений изнутри, регистрируйтесь по ссылке!
#анонс #cybersec
➿ ➿ ➿ ➿ ➿ ➿
@alfadigital_jobs — канал о работе в IT и Digital в Альфа-Банке
Коллеги из AppSec Альфа-Банка запускают свой митап, и первая встреча пройдёт уже 10 июля в 18:30 в Москве — в пространстве ExitLoft.
Покажем на реальных кейсах, чем живёт AppSec в Альфа-Банке, расскажем, зачем перешли на сервисную модель SSDLC, как развиваем MLSecOps и какие приёмы Offensive AppSec помогают нам находить уязвимости до того, как это сделают другие. А завершим всё афтепати с общением под открытым небом.
#анонс #cybersec
@alfadigital_jobs — канал о работе в IT и Digital в Альфа-Банке
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10❤🔥7❤3👎2👍1
Анализ событий кластера с InfraSight
Всем привет!
InfraSight – observability платформа, которая использует eBPF для «захвата» низкоуровневых системных событий с целью последующего анализа.
Состоит она из 4-х элементов:
🍭 Controller. Управляет eBPF-агентами в кластере
🍭 Agent. Анализирует события с использованием eBPF-программ
🍭 Server. Обрабатывает данные, полученные от Agent для последующего сохранения в базе данных
🍭 ClickHouse. Высокопроизводительная база данных, в которой хранятся события, полученные от InfraSight
На текущий момент решение позволяет отслеживать следующие системные вызовы:
Больше информации – архитектура, способы установки, настройка, схема БД и т.д. – можно найти в документации на проект.
Кстати, там же есть небольшое видео, в котором описан процесс работы с InfraSight и результаты, которые можно получить.
Важно: проект достаточно молодой и скорее всего есть нюансы, связанные с его работой 😊
Всем привет!
InfraSight – observability платформа, которая использует eBPF для «захвата» низкоуровневых системных событий с целью последующего анализа.
Состоит она из 4-х элементов:
🍭 Controller. Управляет eBPF-агентами в кластере
🍭 Agent. Анализирует события с использованием eBPF-программ
🍭 Server. Обрабатывает данные, полученные от Agent для последующего сохранения в базе данных
🍭 ClickHouse. Высокопроизводительная база данных, в которой хранятся события, полученные от InfraSight
На текущий момент решение позволяет отслеживать следующие системные вызовы:
execve, open, chmod, connect и accept.Больше информации – архитектура, способы установки, настройка, схема БД и т.д. – можно найти в документации на проект.
Кстати, там же есть небольшое видео, в котором описан процесс работы с InfraSight и результаты, которые можно получить.
Важно: проект достаточно молодой и скорее всего есть нюансы, связанные с его работой 😊
GitHub
GitHub - ALEYI17/InfraSight: InfraSight is a modular eBPF-based observability platform for Linux and Kubernetes environments. It…
InfraSight is a modular eBPF-based observability platform for Linux and Kubernetes environments. It provides deep visibility into system activity using custom eBPF programs, a centralized ClickHous...
❤5
Настало время... первого открытого Call For Papers на IT Elements 2025!
10–11 сентября ИТ-сообщество традиционно соберется на большой осенней конференции для тех, кто делает ИТ в России. Готовьтесь к новым трекам, новым спикерам и новой грандиозной площадке!
Если у вас есть сильный кейс, нестандартный опыт или нешаблонное решение — пришло время предложить свой доклад. Главное требование — экспертность и новизна темы.
Рассматриваются доклады по ключевым направлениям:
Смотрите выступления и вдохновляйтесь атмосферой прошлого года:
Станьте главным элементом IT Elements 2025!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6❤🔥3🥰3⚡1
The Kubernetes Networking Guide
Всем привет!
Если не знаете, что почитать на выходных, то рекомендуем обратить внимание на Kubernetes Networking Guide.
На этом ресурсе собрано очень много информации о том, как устроено сетевое взаимодействие в кластере.
На сайте можно найти информацию о:
🍭 Network Model
🍭 CNI
🍭 Services
🍭 Ingress & Egress
🍭 Network Policies
🍭 DNS и не только
Многие разделы содержат подразделы. Так, например, в блоке про CNI есть дополнительная информация о Flannel, Weave, Calico, Cilium.
Помимо теоретической части, включающей описания и различные схемы, на ресурсе доступны лабораторные работы (не для всего).
То, что надо, чтобы лучше понять устройство сети в Kubernetes и как с ней работать!
P.S. Некоторые разделы все еще находятся «Under Construction». Если вы хотите чем-либо дополнить материал, то можно сделать PR вот в этот repo.
Всем привет!
Если не знаете, что почитать на выходных, то рекомендуем обратить внимание на Kubernetes Networking Guide.
На этом ресурсе собрано очень много информации о том, как устроено сетевое взаимодействие в кластере.
На сайте можно найти информацию о:
🍭 Network Model
🍭 CNI
🍭 Services
🍭 Ingress & Egress
🍭 Network Policies
🍭 DNS и не только
Многие разделы содержат подразделы. Так, например, в блоке про CNI есть дополнительная информация о Flannel, Weave, Calico, Cilium.
Помимо теоретической части, включающей описания и различные схемы, на ресурсе доступны лабораторные работы (не для всего).
То, что надо, чтобы лучше понять устройство сети в Kubernetes и как с ней работать!
P.S. Некоторые разделы все еще находятся «Under Construction». Если вы хотите чем-либо дополнить материал, то можно сделать PR вот в этот repo.
www.tkng.io
The Kubernetes Networking Guide
🔥7
Dependency Management Report.pdf
1.6 MB
Dependency Management Report
Всем привет!
В приложении можно скачать отчет (~ 46 страниц), подготовленный Endor Labs и посвященный вопросу управления зависимостями и их уязвимостями.
Отчет содержит несколько частей:
🍭 Identifying Dependencies & Their Vulnerabilities. Раздел содержит сведения о нюансах, связанных с корректным определением зависимостей: достижимость, «фантомные зависимости» и т.д.
🍭 Discrepancies and Shortcomings of Vulnerability Databases. «Тонкости работы» с базами данных об уязвимостях и почему использование только
🍭 Why Remediating Known Vulnerabilities Is Hard. Почему нельзя «просто взять и обновить зависимости»
🍭 Software Composition Analysis and its role in dependency management. Рассуждения о функционале SCA-решений, который может помочь в решении описанных в отчете проблем
Для каждого раздела приводятся примеры, статистика, ссылки на полезные материалы по теме.
Отчет приятно читать, он содержателен и в нем практически нет маркетинга и «воды»
Всем привет!
В приложении можно скачать отчет (~ 46 страниц), подготовленный Endor Labs и посвященный вопросу управления зависимостями и их уязвимостями.
Отчет содержит несколько частей:
🍭 Identifying Dependencies & Their Vulnerabilities. Раздел содержит сведения о нюансах, связанных с корректным определением зависимостей: достижимость, «фантомные зависимости» и т.д.
🍭 Discrepancies and Shortcomings of Vulnerability Databases. «Тонкости работы» с базами данных об уязвимостях и почему использование только
NVD далеко не всегда является достаточным🍭 Why Remediating Known Vulnerabilities Is Hard. Почему нельзя «просто взять и обновить зависимости»
🍭 Software Composition Analysis and its role in dependency management. Рассуждения о функционале SCA-решений, который может помочь в решении описанных в отчете проблем
Для каждого раздела приводятся примеры, статистика, ссылки на полезные материалы по теме.
Отчет приятно читать, он содержателен и в нем практически нет маркетинга и «воды»
👍6
OWASP: Business Logic Abuse
Всем привет!
Еще один Top 10 от OWASP, на этот раз посвященный вопросам бизнес-логики: OWASP Top 10 for Business Logic Abuse(кстати, получилось довольно забавное сокращение – BLA 😊)
Он включает в себя:
🍭 Lifecycle & Orphaned Transitions Flaws
🍭 Logic Bomb, Loops and Halting Issues
🍭 Data Type Smuggling
🍭 Sequential State Bypass
🍭 Data Oracle Exposure и не только
Как обычно, описание и примеры доступны на сайте OWASP.
Материл достаточно свежий, поэтому деталей не очень много.
Всем привет!
Еще один Top 10 от OWASP, на этот раз посвященный вопросам бизнес-логики: OWASP Top 10 for Business Logic Abuse
Он включает в себя:
🍭 Lifecycle & Orphaned Transitions Flaws
🍭 Logic Bomb, Loops and Halting Issues
🍭 Data Type Smuggling
🍭 Sequential State Bypass
🍭 Data Oracle Exposure и не только
Как обычно, описание и примеры доступны на сайте OWASP.
Материл достаточно свежий, поэтому деталей не очень много.
owasp.org
OWASP Top 10 for Business Logic Abuse | OWASP Foundation
A very brief, one-line denoscription of your project
🔍 Semgrep меняет условия: новая лицензия и создание Opengrep
Всем привет!
13 декабря 2024 в блоге Semgrep вышло обновление “Important updates to Semgrep OSS”.
Уже в январе 2025 после обсуждений, группа компаний запустили форк Opengrep (LGPL-полная открытость правил и движка).
🎯 Детали всей истории и обзор Opengrep — в небольшой статье
Проверяете лицензии инструментов, которые добавляете в пайплайны? 🧐
Всем привет!
13 декабря 2024 в блоге Semgrep вышло обновление “Important updates to Semgrep OSS”.
OSS-версия переименована в Community Edition (CE), ядро под LGPL 2.1 осталось нетронутым, но правила перевели на Semgrep Rules License v1.0 с Commons Clause – запрещено использовать их в конкурирующих SaaS. А через 4 года (декабрь 2028) все Rules перейдут под Apache 2.0 (как указано в BSL).
Уже в январе 2025 после обсуждений, группа компаний запустили форк Opengrep (LGPL-полная открытость правил и движка).
🎯 Детали всей истории и обзор Opengrep — в небольшой статье
Проверяете лицензии инструментов, которые добавляете в пайплайны? 🧐
Telegraph
История о том как semgrep лицензию поменяли
Что такое Semgrep и кто им пользуется Semgrep — «семантический grep» для кода. Инструмент статического анализа (SAST), который ищет уязвимости по шаблонам, написанным «как обычный код», работая с собственным шаблонным сопоставлением AST. На 23 июня 2025 г.…
❤7👍3🔥2
Kubewall: интерактивный UI для Kubernetes
Всем привет!
Kubewall – еще один проект, цель которого – упростить взаимодействие пользователя с кластерами Kubernetes за счет предоставления графического интерфейса.
Он позволяет:
🍭 Централизованно работать с множеством кластеров
🍭 Просматривать ресурсы, созданные в кластере (конфигурация, события, логи)
🍭 Редактировать ресурсы за счет встроенного YAML-editor
🍭 Получать информацию об изменениях в кластере в режиме реального времени и не только
Устанавливается просто, не требует значительной конфигурации и практически сразу «готов к работе».
Важно: решение все еще находится в стадии активной разработки, но уже выглядит достаточно интересным для тестирования.
P.S. Конечно же, главный функционал в наличии! Можно менять темы на «светлую/темную» ☺️
Всем привет!
Kubewall – еще один проект, цель которого – упростить взаимодействие пользователя с кластерами Kubernetes за счет предоставления графического интерфейса.
Он позволяет:
🍭 Централизованно работать с множеством кластеров
🍭 Просматривать ресурсы, созданные в кластере (конфигурация, события, логи)
🍭 Редактировать ресурсы за счет встроенного YAML-editor
🍭 Получать информацию об изменениях в кластере в режиме реального времени и не только
Устанавливается просто, не требует значительной конфигурации и практически сразу «готов к работе».
Важно: решение все еще находится в стадии активной разработки, но уже выглядит достаточно интересным для тестирования.
P.S. Конечно же, главный функционал в наличии! Можно менять темы на «светлую/темную» ☺️
GitHub
GitHub - kubewall/kubewall: kubewall - Single-Binary Kubernetes Dashboard with Multi-Cluster Management & AI Integration. (OpenAI…
kubewall - Single-Binary Kubernetes Dashboard with Multi-Cluster Management & AI Integration. (OpenAI / Claude 4 / Gemini / DeepSeek / OpenRouter / Ollama / Qwen / LMStudio) - kubewall/kubewall
❤7🥱4👍1
Что такое CNI и как он работает
Всем привет!
Организация сетевого взаимодействия одна из самых важнейших задач. В настоящее время трудно представить системы, которые бы не «общались между собой».
В Kubernetes за это отвечает CNI – Container Network Interface – и его реализации (plugin’ы). О том, как это работает можно прочитать в статье.
В ней Автор описывает:
🍭 Из каких «компонентов» состоит CNI plugin, какие его основные задачи
🍭 Как
🍭 Логика работы CNI plugin’a «под капотом» (создание Virtual Ethernet Pair, назначение IP
🍭 Обеспечение сетевой связности между узлами кластера и не только
Для каждого раздела Автор подготовил наглядные диаграммы, примеры используемых команд.
В завершении статьи есть ссылка на GitHub Repo, в котором представлен минималистичный CNI plugin для того, чтобы можно было изучить вопрос более детально.
Отличная статья, которая дает общее понимание того, что из себя представляет CNI и как он работает «изнутри».
Всем привет!
Организация сетевого взаимодействия одна из самых важнейших задач. В настоящее время трудно представить системы, которые бы не «общались между собой».
В Kubernetes за это отвечает CNI – Container Network Interface – и его реализации (plugin’ы). О том, как это работает можно прочитать в статье.
В ней Автор описывает:
🍭 Из каких «компонентов» состоит CNI plugin, какие его основные задачи
🍭 Как
pod «подключается» к сети🍭 Логика работы CNI plugin’a «под капотом» (создание Virtual Ethernet Pair, назначение IP
pod и т.д.)🍭 Обеспечение сетевой связности между узлами кластера и не только
Для каждого раздела Автор подготовил наглядные диаграммы, примеры используемых команд.
В завершении статьи есть ссылка на GitHub Repo, в котором представлен минималистичный CNI plugin для того, чтобы можно было изучить вопрос более детально.
Отличная статья, которая дает общее понимание того, что из себя представляет CNI и как он работает «изнутри».
Medium
Container Network Interface (CNI) in Kubernetes: An Introduction
We’re gonna learn about the Container Network Interface (CNI) and CNI plugins, what they’re supposed to do, and how they’re implemented.
❤5👍3🥴1
Kube Composer
Всем привет!
Нет, это не то, о чем вы подумали! ☺️ Это не утилита, которая превращает compose-файлы в Kubernetes-манифесты.
Kube Composer – это интуитивно понятный YAML-генератор ресурсов кластера, которые вы хотите создать.
Представляет он из себя небольшое web-приложение, которое можно развернуть «у себя», так и воспользоваться playground’ом.
Он позволяет:
🍭 Описывать требуемые ресурсы и их параметры непосредственно в UI
🍭 Работает с
🍭 Наглядно показывает связность между разными Kubernetes
🍭 И, конечно же, генерирует YAML-файлы, которые потребуются для создания ресурсов
Не зря говорят, что лучше один раз увидеть, чем сто раз услышать. Поэтому предлагаем вам посмотреть на его возможности воочию.
Для этого нужно перейти сюда и создать свой первый ресурс, чтобы понять, что это такое и зачем оно нужно.
P.S. А еще там можно посмотреть специально подготовленное demo
Всем привет!
Нет, это не то, о чем вы подумали! ☺️ Это не утилита, которая превращает compose-файлы в Kubernetes-манифесты.
Kube Composer – это интуитивно понятный YAML-генератор ресурсов кластера, которые вы хотите создать.
Представляет он из себя небольшое web-приложение, которое можно развернуть «у себя», так и воспользоваться playground’ом.
Он позволяет:
🍭 Описывать требуемые ресурсы и их параметры непосредственно в UI
🍭 Работает с
Deployments, Services, Volumes, Ingress и не только🍭 Наглядно показывает связность между разными Kubernetes
🍭 И, конечно же, генерирует YAML-файлы, которые потребуются для создания ресурсов
Не зря говорят, что лучше один раз увидеть, чем сто раз услышать. Поэтому предлагаем вам посмотреть на его возможности воочию.
Для этого нужно перейти сюда и создать свой первый ресурс, чтобы понять, что это такое и зачем оно нужно.
P.S. А еще там можно посмотреть специально подготовленное demo
GitHub
GitHub - same7ammar/kube-composer: Open-Source Kubernetes YAML Builder with Intuitive Web Interface and Dynamic Visualization for…
Open-Source Kubernetes YAML Builder with Intuitive Web Interface and Dynamic Visualization for Developers and DevOps Engineers - same7ammar/kube-composer
Как работают Validating Admission Policy?
Всем привет!
Еще одна статья, в которой описывается «как оно работает под капотом?». На этот раз речь пойдет про Validating Admission Policy и их реализацию в Kubernetes.
Вкратце этот механизм позволяет анализировать создаваемые в кластере ресурсы на соответствие предъявленным требованиям.
После небольшой вводной Автор переходит к описанию того, что это такое из чего оно состоит в Kubernetes. Рассматривается «собственный механизм», а не сторонние (Kyverno, Gatekeeper и т.д.).
В статье рассказано о:
🍭 API Definition. Из каких API состоит Validating Admission Policy
🍭 Controller Reconciliation. Из чего она состоит, какие задачи выполняются
🍭 Resource Admission. Как осуществляется проверка создаваемых в кластере ресурсов
🍭 Expression Cost Analysis. Контроль того, что Kubernetes API Server’у не станет «плохо» от проверок
Каждый блок описан не только с точки зрения теории, но и подкреплен конкретными примера из кодовой базы Kubernetes.
Завершает статью немного примеров анализа манифестов и как можно реализовать мониторинг Validating Admission Policy с использованием Prometheus.
Всем привет!
Еще одна статья, в которой описывается «как оно работает под капотом?». На этот раз речь пойдет про Validating Admission Policy и их реализацию в Kubernetes.
Вкратце этот механизм позволяет анализировать создаваемые в кластере ресурсы на соответствие предъявленным требованиям.
После небольшой вводной Автор переходит к описанию того, что это такое из чего оно состоит в Kubernetes. Рассматривается «собственный механизм», а не сторонние (Kyverno, Gatekeeper и т.д.).
В статье рассказано о:
🍭 API Definition. Из каких API состоит Validating Admission Policy
🍭 Controller Reconciliation. Из чего она состоит, какие задачи выполняются
🍭 Resource Admission. Как осуществляется проверка создаваемых в кластере ресурсов
🍭 Expression Cost Analysis. Контроль того, что Kubernetes API Server’у не станет «плохо» от проверок
Каждый блок описан не только с точки зрения теории, но и подкреплен конкретными примера из кодовой базы Kubernetes.
Завершает статью немного примеров анализа манифестов и как можно реализовать мониторинг Validating Admission Policy с использованием Prometheus.
Medium
How It Works — Validating Admission Policy
The Kubernetes validating admission policy provides a mechanism to allow users to add custom validation policies into the Kubernetes…
👍5