☄️Резюме отчета DORA за 2024 год

DORA (DevOps Research and Assessment) опубликовала очередной отчет, в котором представлены ключевые выводы о состоянии DevOps-практик в индустрии.

Отчёт длинный и подробный, но вот ключевые выводы:

➖ Компании с высокоразвитыми DevOps-практиками выпускают обновления в 46 раз чаще, чем их конкуренты
➖ Время восстановления после инцидентов у лидеров DevOps в 2600 раз быстрее
➖ Организации с передовыми практиками DevOps в 7 раз реже сталкиваются со сбоями при развертывании
➖ ИИ повышает производительность сотрудников, но снижает эффективность поставок ПО
➖ Качество поставок ПО выглядит немного слабее по сравнению с прошлым годом
➖ Системы и процессы, которые помогают разработчикам действовать независимо (документация, платформы самообслуживания и т.д.), стоят инвестирования
➖ Платформы разработки могут замедлить доставку в целом, но они повышают индивидуальную и командную производительность

Бонус: как читать и воспринимать метрики DORA

@DevOpsKaz 😛

Больше не нужно менять пароли

А что, их кто-то менял? 😀

Нынешние писанные и неписанные рекомендации по безопасности говорят, что пароли нужно периодически менять для профилактики.

🔬 Есть такой Национальный институт стандартов и технологий США (NIST), который устанавливает стандарты в области технологий (логично, да?). Так вот, эти ребята предложили упразднить это требование.

Аргументация у них простая. Смена паролей была актуальна на ранних этапах развития IT, когда люди не заморачивались и часто использовали простые пароли. А сейчас-то всё иначе, ага... Сейчас же, длинные сгенерированные случайным образом пароли обеспечивают надёжную защиту. А если заставлять людей их часто менять, то высока вероятность, что люди будут придумывать простые пароли, лёгкие для запоминания. И это наоборот навредит безопасности.

👏 Поздравляю учёных мужей — дошло наконец-то. Напомню, что именно об этом я писал здесь в своём мини-мануале по паролям.

❗️ Но ещё раз подчеркну, что пароль нужно обязательно менять, если есть подозрение в его утечке!

Всем хештега ниже!

#безопасность

@digitaltea | про IT доступно

☄️ Kolesa Group запускает исследование профессии разработчиков и DevOps-инженеров в Казахстане

Цель — сделать рынок IT-прозрачнее и создать лучшие условия для всех специалистов. Мы верим в развитие сильного и открытого казахстанского IT-комьюнити, данное исследование — шаг в этом направлении.

Пройти анонимный опрос могут: backend- и frontend-разработчики, iOS- и Android-разработчики, QA-инженеры (mobile и web), DevOps-инженеры и системные администраторы.

🚩 Опрос займёт всего 5 минут, а результаты помогут всей индустрии стать лучше.

👉 Пройти опрос

sd — это утилита командной строки для поиска и замены текста, разработанная как альтернатива традиционному sed.

sd сконцентрирован на одной основной задаче — поиске и замене текста. Благодаря своей простоте sd часто используется в автоматизации и CI/CD пайплайнах. Его легко интегрировать в команды и скрипты, и его синтаксис понятен даже через несколько месяцев после написания.

➖ Упрощенный формат команд
➖ Интуитивный синтаксис, который более похож на привычные регулярные выражения в JavaScript или Python
➖ В sd параметры по умолчанию настроены на наиболее часто используемые задачи. Это снижает количество необходимых флагов и дополнительных параметров
➖ sd написан на языке программирования Rust, который славится своей производительностью

@DevOpsKaz 😛

🚀 ROCKET CONF 24: ФИНТЕХ В СОВРЕМЕННОМ МИРЕ

До Rocket Conf 24 осталось меньше месяца — присоединяйтесь к финтех-ивенту.

Финтех-решения развиваются, новые сервисы трансформируют рынок, а цифровизация меняет привычные подходы.

Rocket Conf 24 станет площадкой для обсуждения этих трендов и поиска эффективных решений для бизнеса, который сталкивается с актуальными вызовами.

В программе:

➖ Финтех в новых секторах: как банковские сервисы интегрируются в маркетплейсы, застройщиков и классифайды.

➖ Эволюция банков через JTBD: как продукты адаптируются под реальные задачи клиентов.

➖ Трансформация традиционных банков: как они реагируют на изменения в отрасли.

➖ Коробочные решения и BaaS: готовые продукты и банковские услуги как сервис, способствующие ускорению внедрения технологий.

➖ Маркетинг финтех-продуктов: как привлекать клиентов с помощью инноваций.

Станьте частью Rocket Conf 24, чтобы расширить свои горизонты, завести полезные знакомства и узнать о последних трендах и лучших практиках в финтехе.

👉 Узнайте больше и забронируйте билет

☄️ Новости и релизы инструментов DevOps

➖ Grafana 11.3: дашборды на базе Scenes, обновленные визуализации и панели, а также многое другое
➖ Octoverse 2024 от GitHub — ежегодный отчёт о состоянии open source рынка
➖ Selectel объявила о создании SelectOS — серверной системы на базе Linux
➖ Релиз Ratarmount — решения для работы с архивами как с файловой системой без необходимости распаковки
➖ Релиз Kyverno 1.13: 700+ изменений. Добавили поддержку проверки подписей контейнерных образов, исключения для правил проверки, новое понятие для валидации правил и многое другое
➖Релиз Harbor CLI v0.0.1 — инструмент командной строки, которые позволяет управлять проектами, реестрами, репозиториями, артефактами и пользователями, упрощая работу с Harbor через терминал.

@DevOpsKaz 😛

Abusing GitLab Runners
#gitlab #devsecops

Не самая новая техника hijack'а других gitlab runner'ов, но тем не менее эффективная, если вы получаете доступ к gitlab и/или токен раннера. В этой статье автор хотел бы объяснить, что такое Runners, как они работают и как вы можете использовать их во время пентестов.

➡️Research

➡️Github PoC

Использование:

usage: hijack-runner.py [-h] [--target TARGET] [--register REGISTER] [--attack ATTACK] [--tag TAG]
                        [--clone]

Abuse GitLab Runners

optional arguments:
  -h, --help           show this help message and exit
  --target TARGET      The GitLab instance to target
  --register REGISTER  Register a token
  --attack ATTACK      Use Runner token to steal data
  --tag TAG            Taglist separated with commas
  --clone              Will clone the repo locally

🌚 @poxek | 📺 YT | 📺 RT | 📺 VK | 🌚 Магазин мерча

🔥 Обход сетевых ограничений и создание обратных туннелей

Chisel — это мощный инструмент для туннелирования, который способен пробивать фаерволы, обходить NAT и создавать туннели для пересылки данных через TCP, используя WebSockets.

Пригодится в работе DevOps, пентестеров, а также разработчиков, работающих с ограниченными сетями.

Фишки Chisel:

➖ Используется для обхода ограничений сети, когда доступны только HTTP или HTTPS порты
➖ Поддерживает шифрование через TLS
➖ Работает на любой ОС, что делает его очень удобным для быстрого развёртывания
➖ Поддерживает работу через HTTP/WebSocket и может быть запущен всего одной командой
➖ Хорошо справляется с обходом NAT и фаерволов, что позволяет его использовать в ситуациях, где другие средства не работают.

@DevOpsKaz 😛

Каждый победитель получит по ваучеру — мы напишем в личку до пятницы включительно!

Вы не в числе победителей? Ничего страшного. Оставайтесь с нами — впереди другие конкурсы, море полезного контента и, конечно, обучение со скидкой от наших партнёров.

@DevOpsKaz 😛

☄️ Интерактивный Kubernetes-тренажер

Kubelab — это веб-платформа для интерактивного обучения Kubernetes. Здесь вы найдете лабораторные работы, специально созданные для проведения воркшопов. То есть, они заточены для увлекательной учебы на практике хоть всей компанией сразу.

Лабораторки интересные — есть и самые базовые (Networking, Storage, Jobs, RBAC и т.д.), и продвинутые задания (комплекс того, чему обучают в основах).

Можно подсмотреть подсказки и готовые решения, если где-то прям не идет. Из дополнительного есть веб-интерфейс и редактор кода.

Подробная инструкция по настройке прилагается.

👉 Сайт

Пользуйтесь и делитесь с коллегами 🫡

@DevOpsKaz 😛