DevOps для ДевоПсов

317 npm-пакетов скомпрометированы через взломанный аккаунт atool 19 мая за 22 минуты опубликовано 637 вредоносных версий 317 пакетов с десятками млн загрузок/мес. Под ударом echarts-for-react, size-sensor, 250+ пакетов @antv. Полезная нагрузка Mini Shai-Hulud: кража AWS-ключей, GitHub PAT, npm-токенов, SSH-ключей, секретов 1Password/Bitwarden, токенов Kubernetes/Vault. Эксфильтрация через зашифрованные Git-объекты и HTTPS под видом OpenTelemetry-трейсов. Тег latest не переставлен, но npm берёт наибольший semver — зависимость ^3.0.6 подтянет вредоносную 3.2.7. Запуск через preinstall. Что делать: проверить lock-файлы, заблокировать диапазоны версий затронутых пакетов, аудировать секреты в CI.

AI-генерированный код проходит CI и роняет прод под нагрузкой AI-агент написал модуль скоринга транзакций за 15 минут: 400 строк, тесты зелёные, ревью прошло. Через три месяца аудит нашёл race condition при параллельной обработке транзакций одного клиента — вторая транзакция не видела результат первой, оборот занижался, подозрительные паттерны не детектировались. Корень проблемы: разработчик не разобрался в модели параллелизма, ревью провёл другой агент с теми же слепыми зонами. CI проверил синтаксис и покрытие unit-тестами — но race condition под нагрузкой ловится только concurrent-сценарием или инженером, который понимает модель. Для SRE это означает конкретное требование к пайплайну: AI-генерированный код в нагруженных сервисах нуждается в ручном ревью модели параллелизма и нагрузочных тестах до деплоя в prod. Разбор на Tproger — про то, как выстраивать контроль.

20 мая в 12:00 (мск) пройдёт бесплатный вебинар «Автоматизация процессов безопасности в Kubernetes: опыт MWS Cloud Platform» Руководитель направления облачной безопасности Алексей Федулаев расскажет: — какие есть подводные камни при переходе с ручных сканов; — как покрыть тепловыми картами кластеры и отслеживать нарушения; — как находить аномалии в поведении пользователей; — и как это всё подружить с центром безопасности. Вебинар будет полезен директорам по ИТ и ИБ, ИБ-специалистам и инженерам, работающим в облачных средах. Регистрируйтесь, подключайтесь к прямому эфиру и задавайте вопросы в чате. 📆 20 мая в 12:00 Это #партнёрский пост

Готовы к космическим скоростям? Яндекс и Tproger выкатили залипательный квест для разработчиков. Они собрали интерактивную космическую карту: вы управляете полетом, открываете новые локации-планеты и проверяете свои знания. По пути придется разгадывать хардкорные исторические кейсы. Какую часть интернета смог положить червь Морриса? Сколько команд в сутки переваривала первая орбитальная станция? В финале можно залететь в розыгрыш сертификата на Яндекс Маркете с космическими призами. Ссылка: https://tprg.ru/NyCx

Kubernetes: от kubectl до полного стека из 10+ инструментов K9s → Argo CD → KEDA → Karpenter → Network Policies → Istio → Secrets Store CSI → Kyverno → Prometheus → Jaeger... Почему каждый из них появился и какую проблему решает: https://tprg.ru/XcMT

Инженеры перебрали... Linux-кейсов 🤩 23 апреля K2 Cloud и K2Тех проведут онлайн - митап — pебята будут разбирать реальные инженерные кейсы из практики про поломанный SSH, обновление ядер, поломку сети в ВМ и балансировщики с одинаковыми конфигами, но разными результатами. А ещё можно принести свой кейс на разбор и получить приз. Подробности и регистрация по ссылке.

Как сделать развертывание в Kubernetes умным Helm, Kustomize, Argo CD работают, пока ваше приложение простой stateless-сервис. А если нужен строгий порядок запуска, готовая база данных, последовательный пайплайн? Тут либо приходится писать своего оператора (дорого, сложно, долго), либо надеяться на итоговую согласованность и молиться. Есть и третий путь. Yoke + Air Traffic Controller (ATC) предлагают логику приложения как код, скомпилированный в WASM. Вот что вы узнаете из перевода статьи Дэвида Демаре-Мишо: — как построить пайплайн из трёх задач, где каждая следующая стартует только после успешного завершения предыдущей. — как организовать координацию с внешними ресурсами. Если вы еще не знакомы с Yoke и Air Traffic Controller самое время познакомиться.

Постоянный доступ в Kubernetes: как атакующие закрепляются в кластере и остаются незамеченными Вы думаете, что если злоумышленник получил доступ к ноутбуку администратора на пять минут — это не страшно? А зря. Чтобы изменить мнение, советуем почитать перевод статьи Рори Маккьюна «Beyond the Surface» — детальный разбор одного реального вектора атаки на Kubernetes. Автор показывает, как с помощью встроенных механизмов (kubectl debug, containerd, статические манифесты, CSR API, Token Request API) можно: — получить root-доступ к узлу; — запустить скрытый контейнер в обход API; — организовать удалённое управление через Tailscale; — создать вечные учётные данные, которые невозможно отозвать без ротации корневого сертификата. В статье — не только техники атак, но и чёткие признаки обнаружения, а главное — меры защиты: изоляция API-сервера от интернета, минимальные привилегии RBAC, централизованные логи узлов. Полный текст: https://tprg.ru/gfJ6

Docker Hub и GitHub Actions ломаются в Испании по выходным Если инфра или часть команды в Испании — по субботам и воскресеньям до 24 мая 2026 ждите таймаутов на docker pull, падений CI и 5xx с Vercel. La Liga с декабря 2024-го по судебному приказу шлёт ISP списки IP на немедленную блокировку. Цель — пиратские стримы, но сидят они за Cloudflare, а один anycast-IP держит тысячи клиентов. Отваливается всё. Cloudflare апелляцию проиграл, парламент вмешиваться отказался. Ещё около шести недель лотереи. Что делать: — pull-through mirror Docker Hub на сервере вне Испании; — GitHub Actions runners в AWS/GCP/Yandex Cloud за пределами страны; — VPN с выходом в Нидерландах; — fallback на CloudFront на время матчей. Корень — IP-блокировки в мире, где CDN раздают один IP тысячам сайтов. Технически не лечится, только обходом.

Marimo CVE-2026-39987 (CVSS 9.3): WebSocket без auth-чека, в Docker — сразу root Если в инфраструктуре крутится Marimo — проверьте версию прямо сейчас. Эндпоинт /terminal/ws не вызывал validate_auth(), WebSocket-handshake отдаёт PTY. В официальном Docker-образе процесс работает от root, эксплуатация тривиальна. Sysdig поймал первую атаку через 9 часов 41 минуту после advisory, без публичного PoC. До этого так же ловили Langflow (20 часов) и Flowise. Окно на патч — часы, не дни. Что сделать: — обновить до 0.23.0 (всё ниже 0.20.4 уязвимо); — не выставлять наружу: --host 127.0.0.1, за reverse proxy с auth; — сканировать ML-инфру на предмет «внутренних» дашбордов на 0.0.0.0; — ротировать ключи облаков и LLM-провайдеров, если инстанс хоть раз торчал в интернет.

Мэн заморозил новые ЦОДы мощнее 20 МВт — закладывайте в GPU-бюджет LD 307 запрещает штату и муниципалитетам выдавать разрешения на любые дата-центры с подключённой мощностью выше 20 МВт. Порог подобран прицельно: корпоративные и колокейшен-объекты проходят, а гиперскейлерные ИИ-кластеры (тысячи GPU легко уходят за 50–100 МВт) — нет. Мораторий действует до 1 ноября 2027 года. По данным Data Center Watch, за два года по США заблокировано проектов примерно на $64 млрд. Локальные паузы уже ввели округа в Мичигане и Индиане, на подходе Денвер и Детройт. Что делать сейчас: следить за Вирджинией и Техасом как ранним индикатором (там основная масса ЦОДов), закладывать диапазон неопределённости в годовые GPU-бюджеты, мониторить spot-цены на H100/B200 у Yandex Cloud, VK Cloud и Cloud.ru — там эффект глобального дефицита виден первым.

Linux 7.0 берёт в mainline первый RVA23-чип — пора целить toolchain в новый профиль SpacemiT K3, первый коммерческий SoC на RVA23, входит в mainline Linux 7.0 (релиз 12 апреля). В 7.1 добавят драйверы периферии и оптимизации под вектор. Ubuntu 26.04 LTS — одна из первых платформ с K3 из коробки. Суть не в чипе, а в профиле: RVA23 фиксирует обязательный набор расширений — Vector 1.0, битовые манипуляции, крипто, для серверного RVA23S64 ещё и гипервизор. Один RISC-V бинарь теперь работает на любом сертифицированном железе, без угадывания feature-флагов. Что делать: пересобрать toolchain под RVA23-таргет, прогнать CI через QEMU с -cpu max, для пилота взять Banana Pi BPI-F3 на K1. Production пока рано — серийных K3-плат нет, CI-раннеры на RISC-V в пять раз медленнее x86. Разбор и практические шаги.

Chrome 146 включил DBSC — пора добавить два эндпоинта, если не хотите, чтобы угнанные сессии жили вечно DBSC (Device Bound Session Credentials) привязывает сессионные cookies к TPM-чипу клиента. Chrome генерирует пару ключей через TPM при логине, публичный отдаёт серверу, приватный остаётся в чипе. На каждом refresh сервер шлёт challenge — клиент подписывает его через TPM. Без оригинального железа подпись не сделать. Что это значит на практике: если инфостилер (Lumma, Vidar, StealC) слил cookies и залил на свой хост, сессия умрёт на первом refresh. Никаких изменений на фронте — только два новых бэкенд-эндпоинта: регистрация устройства и refresh с верификацией подписи. Спецификация открытая, W3C, пилили Google с Microsoft. macOS через Secure Enclave — в следующих релизах, Linux пока в пролёте, Firefox и Safari молчат. Как внедрять на бэкенде — разбор на Tproger.

Flatpak: критическая уязвимость — побег из песочницы. Обновитесь. CVE-2026-34078, рейтинг Critical. Любое Flatpak-приложение может полностью выйти из изоляции: читать и писать файлы хоста, выполнять произвольный код. Фикс: flatpak 1.16.4. Большинство дистрибутивов уже доставляют патч через стандартные обновления — проверьте, что версия актуальна. Если у вас в инфре крутятся Flatpak-приложения или вы используете их в CI — обновите пакет и убедитесь, что sandbox-политики не опираются на старое поведение.

Little Snitch вышел на Linux — мониторинг исходящих соединений на eBPF, бесплатно Инструмент, который 20 лет был только на macOS, теперь работает на Linux. Показывает сетевую активность каждого процесса в реальном времени — без iptables-правил и без tcpdump | grep. Работает на eBPF, веб-интерфейс на localhost:3031. Поддерживает блоклисты Hagezi и Steven Black. Полезно после деплоя нового образа, при отладке агента или при расследовании аномальной активности. Лицензия: eBPF-модуль и веб-интерфейс — GPLv2, демон проприетарный, но бесплатный. Авторы честно предупреждают: это инструмент для приватности, не замена WAF. Подробнее на Tproger

Microsoft заблокировала разработчиков WireGuard и VeraCrypt — без предупреждения Microsoft отозвала доступ к Windows Hardware Program у мейнтейнеров WireGuard, VeraCrypt, MemTest86 и Windscribe. Причина — непройденная верификация, о которой никто не уведомил. Без подписи Microsoft выпустить обновление драйвера для Windows невозможно. Если завтра в WireGuard найдут критическую RCE — патч до пользователей не дойдёт. Мейнтейнер WireGuard так и написал: «А если бы нашли критическую уязвимость?» Разблокировка началась только после публичного шума — VP Scott Hanselman написал лично. Supply chain риск: один сбой у вендора — и open source инструменты в вашем стеке не получают security-обновления.

Улучшаем Dockerfile: от примитивной базы к multi-stage-решению Dockerfile можно составить по-разному, и даже самые примитивные его варианты могут работать, но это не значит, что их стоит использовать. Поэтому давайте разбираться, как сделать из Dockerfile конфетку. Для этого читайте статью. Там с каждым шагом Dockerfile становится всё круче с каждым шагом: 🔘 Начинается с наивного подхода — всё работает, но образ тяжеленный, сборка занимает 10 минут, а результат непредсказуем. 🔘 Multi-stage — разделяем сборка и рантайм, финальный образ содержит только бинарник и необходимые runtime-зависимости. Другие два шага, а также отдельный блок о том, почему не все лучшие практики стоит бездумно выполнять — по ссылке.

В каком порядке что изучать в девопсе? Популярных роадмапов куча, идеального нет. roadmap.sh/devops — самый полный по охвату, но это гигантская интерактивная карта без чёткого порядка: открываешь и тонешь в сотне тем. github.com/milanm/DevOps-Roadmap — выглядит всё очень уверенно и как будто свежее, но в реальности чел просто обновил заголовок на 2026 год, а внутри всё ещё лежит информация например про Puppet. devopsroadmap.io — интереснее по подходу: итеративное обучение через сквозной проект, GitOps и security подаются как база, есть ветки роста (SRE, Platform Engineering, MLOps). Но внутри скорее каркас со ссылками, чем полноценный контент. Сетей нет, Ansible нет, облако обзорно. Как навигатор сгодится. Что реально нужно в 2026 и чего нет ни в одном роадмапе целиком: GitOps (Argo CD/Flux), Platform Engineering, FinOps для больших, OpenTelemetry. Secrets management (Vault, External Secrets) — это вообще первое, что настраиваешь на проекте. Тему AI в пайплайне генераторы контента тоже пока не научились системно покрывать. Есть курс Яндекс Практикума PRO «DevOps для эксплуатации и разработки». Он хорошо закрывает ядро: Git с Git Flow, GitLab CI, Terraform, Ansible, Docker, Kubernetes, мониторинг (Prometheus + Grafana + Loki), CD с rollback и feature flags, DORA-метрики. Финальный проект в Yandex Cloud с фидбеком от эксперта. Чего курс не даст: обучение программированию, GitHub Actions, GitOps/Argo CD, Kustomize, облачный провайдер системно (AWS/Azure/GCP), supply chain security, тестирование как дисциплину. Это придётся добирать самостоятельно, как и фундаментальные знания по сетям (не знаю, почему к ним сейчас так мало внимания). Если нужна структура с менторством — курс + параллельно по roadmap.sh ходить в ширину и в глубину. Если умеете планировать обучение и пинать себя самостоятельно — документация, домашний кластер в minikube и реальные проекты на GitHub закроют 80% потребностей.

Health Score для PostgreSQL: один показатель вместо 150 метрик В традиционном мониторинге PostgreSQL сотни метрик, но нет ответа на вопрос «база здорова?». CPU 60%, connections 50%, idle in transaction 40% — ни один порог не пробит, но база тормозит. Health Score агрегирует пять категорий (Connections, Performance, Storage, Replication, Maintenance) в число от 0 до 100 с нелинейными штрафами за опасные комбинации и автодиагностикой: список проблем и готовые рекомендации. Для дежурного инженера это первый экран вместо десятков дашбордов. Система учитывает исторический baseline, поэтому аномалия определяется не по жёсткому порогу, а по отклонению от обычного поведения. Подробнее о формуле и внедрении — в статье: https://habr.com/ru/articles/1016288/

Распространенный миф о Kubernetes звучит так: платформа подходит только для работы с контейнерами. На самом деле, с ее помощью можно управлять сертификатами, DNS, сетями, хранилищами.

А ещё, по исследованиям, 74% компаний уже запускают stateful-нагрузки в Kubernetes. По сути, это универсальный оркестратор для инфраструктуры, а контейнеры — просто самый известный его use case.

Из этого следует неочевидный вывод: Виртуальные машины в Kubernetes — логичное расширение того, что платформа уже умеет. Павел Тишков, технический директор Deckhouse Virtualization Platform, на Deckhouse Conf покажет, как сделать ВМ надёжными, с живой миграцией и привычными абстракциями → [Зарегистрироваться] А остальные мифы про Kubernetes — в карточках к посту. Это #партнёрский пост