KazDevOps

☄️ Участвуйте в конкурсе и выиграйте бесплатное обучение на курсе Kubernetes База от Слёрм Разыгрываем 3 места на курс! Сможете пройти сами, подарить коллеге и даже младшему брату 😉 🔸 Узнаете основы, разберетесь с компонентами и абстракциями 🔸 Получите опыт настройки кластеров 🔸 Научитесь организовывать правильную разработку и деплой 🔸 Сможете запускать приложения в кластерах Старт курса — 15 апреля 🚩 Условия розыгрыша просты: 🔵 Подпишитесь на KazDevOps и оставьте комментарий "+" под этим постом. Комментарий обязательно оставлять в официальном аккаунте KazDevOps 🥳 12 апреля подведем итоги и выберем 3 победителей методом генерации случайных чисел. Каждый получит доступ к курсу. Go-go-go, и успехов! #kubernetes @DevOpsKaz

Поиск неизвестных уязвимостей с помощью фаззинга Nuclei v3.2 #nuclei #projectdiscovery #fuzzing 🛠 Недавно была добавлена поддержка многих новых функций. Если пересказать кратко, то: - Поддержка аутентификации - Расширенная поддержка фаззинга - Поддержка импорта HTTP-запросов (Burp, JSONL, MultiDoc YAML или генерация с помощью API схем OpenAPI, Swagger) Пример: nuclei -l bugbounty-proxify.yaml -im yaml -t fuzz/ - Поддержка LDAP - И пачка bugfix'ов В этом же посте мы разберём 2 и 3 пункты. Пример запроса:

POST /reset-password?token=x0x0x0&source=app HTTP/1.1
Host: 127.0.0.1:8082
User-Agent: Go-http-client/1.1
Cookie: PHPSESSID=1234567890
Content-Length: 23
Content-Type: application/json
Accept-Encoding: gzip
Connection: close

{"password":"12345678"}

Практически каждое поле мы можем фаззить (query, path, header, cookie, body). У нас есть некоторые правила, по которым мы можем это делать: prefix - Добавить полезную нагрузку в качестве префикса к значению postfix - Добавить полезную нагрузку в качестве постфикса к значению replace - Заменить значение на полезную нагрузку infix - Добавить полезную нагрузку в качестве инфикса к значению (инфикс - это нагрузка, вставленная по середине значения) replace-regex - Заменить значение на нагрузку с помощью regex Возьмем за основу простую SQL инъекцию:

http:
    ...
    payloads:
      injection:          # В этом разделе перечисляем полезные нагрузки
        - "'"
        ...
    fuzzing:
      - part: query       # Указываем какую часть запроса менять: query, path, header, cookie, body
        type: postfix     # Указываем одно из правил: prefix, postfix, replace, infix,replace-regex
        mode: single      # Указываем режим мутации: single, multiple
        fuzz:
          - '{{injection}}' # Переменная нагрузки 

Если же мы импортируем запросы из BurpSuite к примеру, то нам не обойтись без фильтрации входящих запросов. Для примера выберем тип DSL, но также существуют другие типы фильтров.

DSL - продвинутая фильтрация, с помощью, которой мы можем проверять длину запроса, статус код, хедеры, body и даже raw данные

Возьмем для примера простую проверку на то, что body не пустой и метод POST, condition: and значит, что оба условия должны быть TRUE

  - filters:
      - type: dsl
        dsl:
          - method == POST
          - len(body) > 0
        condition: and

В итоге мы можем собрать Франкенштейна:

http:
    # в начале мы отсеиваем запросы по перечисленным параметрам
  - filters:
      - type: dsl
        dsl:
          - method == POST
          - len(body) > 0
        condition: and
    # тут указываем полезные нагрузки
    payloads:
      injection:
        - "'"
        - "\""
        - ";"
    # fuzzing rules
    fuzzing:
      - part: body  # Говорим нукле тыкать body
        type: postfix # Добавляем нагрузку в конце значения
        mode: single  # Говорим добавлять нагрузку только 1 раз
        fuzz:
          - '{{injection}}' # Вызываем полезные нагрузки из переменной

Данный функционал будет полезен не только пентестерам, но и DevSecOps'у. К примеру первые могут импортировать в nuclei запросы из burp suite и их фаззить. А вторые могут импортировать API схемы и также фаззить. ➡️ Оригинал статьи 👍 Дополнительный материал: - Дока по fuzzing'у - Дока с примерами фаззинг шаблонов - Дока по фильтрам - Дока по экстракторам p.s. надеюсь на вашу поддержку, я постарался над написанием этого поста ❤️ 🌚 @poxek

Человечество на две части. Прогноз. #трендец Сегодня я хочу озвучить важный прогноз, хоть и не имеющий прикладного значения в моменте, но значимый для понимания того, куда и как (по моему скромному мнению, конечно) будет развиваться мир в обозримом будущем. 📈 Человек — уникальное животное с точки зрения эволюции. В отличие от других видов мы эволюционируем параллельно в двух плоскостях — физически и ментально. И если процесс физической эволюции у нас такой же медленный, как и у прочих животных, то наша ментальная эволюция идёт очень быстро по природным меркам. Физически сегодня мы точно такие же существа, как наши предки, придумавшие колесо. Но у нас уже есть космические корабли и компьютеры, а на пороге стоит искусственный интеллект. 👥 И одним из двигателей эволюции является такая штука, как внутривидовая конкуренция. Есть она и у нас. И её роль будет стремительно расти по мере того, как технологии становятся всё сложнее и сложнее, и их развитие будет всё ближе подходить в фазе параболического роста. Конкуренция как между отдельными людьми, так и между целыми регионами. Конкуренция между людьми будет подогреваться технологическим прогрессом, ведущим к стремительному изменению ландшафта профессий, знаний и навыков, которые окажутся востребованы в мире завтра. И скорость изменений нарастает. 🌐 Но что важнее, мы можем видеть признаки будущей регионализации технологического развития. Одни регионы мира будут активно развивать технологии или иметь к ним доступ, другие — ни первой, ни второй возможности иметь не будут. Как итог — крупные технологические анклавы с одной стороны, и архаика — с другой. В случае, если по каким-то причинам будет иметь место выраженная изоляция одних регионов от других, то через несколько поколений мы можем дойти до абсурдной сейчас ситуации, когда жители отрезанных от технологий регионов просто перестанут понимать своих технологически продвинутых соседей по планете. Сейчас, например, у вас много общих тем с людоедами из лесов Амазонки? Даже обеденное меню вас не объединит. 🔋 Дополнительно эта ситуация будет усугубляться по мере развития технологий, продлевающих жизнь. Можем получить демографические ножницы. В одних регионах за счёт новых технологий продолжительность жизни будет стремительно расти. В других же технологическое отставание будет вести к замедлению местных экономик, снижению уровня жизни населения (в т.ч. через качество доступных продуктов и медицины), и в итоге — к снижению продолжительности жизни. А дальше — простая логика: существо, живущее 120 лет, получит больше опыта и знаний, чем существо, живущее 60 лет. И с большей вероятностью за это время изобретёт что-то новое. Далее — спираль. 🗑 Впрочем, для человечества в целом трагедии отдельных людей и регионов не будут иметь значения на дистанции. Более успешный подвид просто вытеснит новых неандертальцев. Мы это уже проходили. Например, технологический разрыв вежду европейцами и коренным населением обеих Америк. Где теперь те индейцы?

Кстати, вы знали, что некоторые индейцы просто не видели (мозг не воспринимал) корабли Колумба, стоявшие на якоре недалеко от берега? Настолько эти большие плавучие штуки не вписывались в их сознание.

🎓 Основной инструмент ментальной эволюции человека определён давно — это наука и технологии. Просто сейчас мы всё ближе к точке невозврата, когда технопрогресс начнёт развиваться по параболе, не оставляя шансов тем, кто отстал. Знаете, как в школе — если пропустил несколько важных тем, потом вообще ничего не понятно. 📌 Но каждый из нас может выбирать свой путь — чему учиться, на что обращать внимание, какие навыки осваивать, о чём мечтать. В конце концов, отдельные индейцы до сих пор живы и преуспевают. На связи! @digitaltea | про IT доступно

☄️ Дополнительные DevOps-метрики В прошлый раз вам зашел пост об основных метриках, а сегодня выделим еще несколько, которые помогут построить фундамент DevOps. 1️⃣ Время цикла Это показатель того, сколько времени потребуется вашей команде на выполнение задачи. Это время — про скорость доставки. Как оптимизировать: если реализация функции заняла больше времени, чем ожидалось, посмотрите, сколько времени задача провела в бэклоге. Возможно, это ваше узкое место. Также проанализируйте процесс проверки кода. Именно на это обычно уходит большое количество времени. 2️⃣ Время развертывания Сколько времени вам требуется для развертывания выпуска в среде тестирования, разработки или производства? Как оптимизировать: если развертывание занимает более часа, то вероятно, что что-то не так. Решением может стать оптимизация конвейера CI/CD, чтобы он был более рациональным и имел необходимые ресурсы для передачи кода в рабочую среду. 3️⃣ Время безотказной работы Показывает, сколько система может работать до того, как она выйдет из строя. Метрика помогает подготовиться к дорогостоящим сбоям системы. Как улучшить MTTF: инвестируйте в мониторинг приложений, журналы и трассировку — это ключ к обнаружению и устранению сбоев. Вы также можете внедрить автоматизированные рабочие процессы, чтобы обнаруживать и документировать проблемы. 4️⃣ Коэффициент ускользания дефектов Это количество ошибок, которые не обнаружены и проявились в продашкене. Метрика помогает определить эффективность методов тестирования. Как оптимизировать: высокий уровень указывает на плохой анализ кода и плохие процессы тестирования. Команды должны стремиться выявить 90% дефектов на этапе контроля качества. 5️⃣ Использование приложения и трафик Метрика про количество пользователей, у которых есть доступ к системе после развертывания. Отслеживание активности и трафика помогает получить представление о том, как выглядит “нормальный” трафик, чтобы при обнаружении отклонений от нормы можно было найти первопричину. #devops @DevOpsKaz

В последние несколько лет на передний план вышла тема кибербезопасности предприятий и корпораций, субъектов государственной власти и объектов критической инфраструктуры (КВОИКИ). Новостную ленту сотрясают новости об утечках данных внутри государства и атаках на системы и сети извне, и первые лица компаний, финансисты, рисковики, ведущие руководители направлений и департаментов задаются вопросом, а готова ли организация к таким вызовам? Наши друзья и партнеры, оргкомитет международного форума Cyber & Digital Security – 2024, подготовили ответы на такие вопросы, и 3-4 апреля 2024 года приглашают аудиторию нашего сообщества принять участие в деловой программе форума. Именно в этом году Cyber & Digital Security, профильный конгресс кибербезопасности, выходит на абсолютно новый уровень бизнес-коммуникаций, включив в деловую программу с 3 по 5 апреля 2024 года: 👉 3 одновременных деловых потока 👉 4 разнообразные панельные дискуссии 👉 2 дня уникальных форматов Лектория (самые интересные доклады от исследователей и практиков) и Медиа-Юрты (прямые эфиры с первыми лицами рынка, отрасли и государства) 👉 2 дня практических сессии 👉 отдельный медиа-трек прямых трансляций с интервью первых лиц компаний и медиацентр для журналистов. В рамках форума у участников будет возможность: 💡 обсудить самые острые кейсы национальной и корпоративной кибербезопасности 💡получить понимание об использовании новых технологий в бизнесе, промышленности и органах власти 💡лично увидеть самые актуальные сценарии кибератак и способы их отражения 💡ознакомиться с новыми принципами безопасности инфраструктуры, увидеть воочию процесс работы с средствами киберрасследований, аналитики и киберразведки. На закрытой площадке будет самое полезное: руководителям, финансистам и рисковикам покажут эффективную сторону практической кибербезопасности, дадут возможность оценить риски, финансовые и имиджевые потери. 🚀 Регистрация: https://cds-forum.kz/ Выбирайте пакет «Базовый», вводите промокод SPCDS1 — и вот вы уже гость форума

Запись митапа «Как использовать облачные PaaS-сервисы, проектировать современную архитектуру и быть Cloud-Native» от 14 марта Поговорили об использовании современных облачных технологий: ML и других PaaS-сервисов. Спикеры поделились трендами, кейсами и рассказали, как быстро и эффективно разворачивать инструменты, выстраивать процессы и работать с командой. В программе: ➖ Cloud Native и Cloud Agnostic — два важных подхода к разработке облачных приложений в 2024 году. ➖ Вызовы при построении сервисов на основе Machine Learning и решения: опыт VK Cloud ➖ Архитектура PaaS-сервиса ➖ Нетворкинг От нас (Core 24/7 и KazDevOps) выступил Арман Нургалиев, Cloud Architect. Арман вещал на темы: ➖ Обзор подходов к построению архитектуры ➖ Как выбрать между Cloud Native и Cloud Agnostic ➖ Какие инструменты используются в 2024 году ➖ Какие решения используют наши клиенты в Казахстане 👉 Смотреть запись

☄️ Встречайте Kondense — инструмент Kubernetes, который помогает изменить размер контейнеров в поде. Особенно важно, если у вас не хватает памяти. Он устанавливается как дополнительный модуль и определяет оптимальную память для каждого контейнера в модуле. 👉 Подробности и инструкции прилагаются #devops #kubernetes #k8s #memory @DevOpsKaz

📌 Cyber and Digital Security – 2024 поможет найти ответы на любые вопросы по кибербезопасности Особенно, если знать, кому их задавать. На передний план остро вышла тема промышленной кибербезопасности, защиты объектов КВОИКИ, государства и корпораций. Каждый день, пробираясь между проверками на крепость AirGap, пытаясь накатить патчи в промышленном контуре, упираясь в сложности моделирования промышленных кибератак, защищая ключевые задачи ИБ перед руководителями АСУ, проверяя на безопасность поставщиков, курсируя между минами фишинговых кампаний, CIO и CISO промышленного предприятия не устают задавать себе вопрос: а нам это надо? Готовы ли мы к этим вызовам? Откуда придет следующий удар? Кто стоит за атакой на мой объект КВОИКИ? Пришло время задать вопросы коллегам по отрасли, экспертам и практикам, а во многом — регуляторам и надзорным органам. Все это можно сделать в апреле на Cyber and Digital Security – 2024. 📆 Когда: 3-5 апреля 2024 года. 📍Где: Астана, МВЦ «Экспо» Что послушать 👉 3 сессии кей-ноутов (4 апреля) — Промышленная и корпоративная инфраструктура, ИТ/ОТ данные и информационные системы, бизнес-партнерства и сервисные модели на производстве и не только 👉 2 дня лектория (топ-лекции, тренинги и кейсы, демо и воркшопы) (3 и 4 апреля) 👉 2 дня медиа-юрты (интервью из первых уст от первых лиц в прямом эфире) 💡 Кому задать вопросы 4 панельные сессии – Регуляторы и власть, Руководители ОЦИБ, Женщины в ИБ, Развитие человеческого капитала 💬 С кем поговорить в кулуарах СЕО и Зампреды, Безопасники и ИТ-директора, рисковики и финансисты, СТО и тим-лиды, и конечно, везде — пентестеры и исследователи безопасности 📣 О чем поговорить Риски и недопустимые события в промышленности и корпоративе, результативная безопасность и утечки данных в промышленном секторе, развитие кадров в ИБ и повышение киберграмотности, безопасная разработка и защита промышленности и объектов КВОИКИ. 🚀 Регистрация: https://cds-forum.kz/ Выбирайте пакет «Базовый», вводите промокод EPCDS1 — и вот вы уже гость форума

Lead DevOps в IT‑интеграторе Hilbert Team рассказал, как они используют возможности #ClickHouse для эффективного долгосрочного хранения метрик #Prometheus. 👉 В статье вы найдете рекомендации по использованию инструмента и описание альтернативных решений, таких как Thanos, Grafana Mimir и Victoria Metrics. ClickHouse доступен в managed‑решениях в облаках, поддерживает SQL и распределение метрик по разным шардам, что обеспечивает удобную работу с Prometheus. Все это делает ClickHouse хорошим решением для компаний, которые уже используют его в качестве основы своей аналитической инфраструктуры и хотят обогатить свою аналитику метриками Prometheus. @DevOpsKaz

🔥 3 дистрибутива Kubernetes от Ubuntu.com Разработчикам нужен быстрый способ настройки среды приложений. Опсам — легкая установка кластера с высокой доступностью и надежными обновлениями. В облаке важна автоматизация жизненного цикла кластера для интеграций приложений. 👉 Дистрибутивы Charmed Kubernetes и MicroK8s созданы, чтобы оправдать эти разные ожидания. Они просты в установке и обслуживании. Canonical Kubernetes станет третьим дистрибутивом и основой для будущих выпусков MicroK8 и Charmed Kubernetes. Дистрибутивы основаны на Kubernetes 1.30, имеют несколько встроенных надстроек, а установить их можно с помощью snap. #devops #kubernetes @DevOpsKaz

CORE 24/7 и KazDevOps ищут автора статей по DevOps Что нужно делать: — Писать статьи для блога по DevOps, SRE, Cloud Migration, Big Data, Web 3.0, Kubernetes, Docker, Grafana, Terraform, jFrog или другим технологиям, с которыми вы умеете работать — Писать четко и по делу, рассказывать о лучших практиках и инструментах — Делать это по плану или предлагать свои темы Условия работы: — Свободный график — Не менее 5 статей в месяц — Оплата за статью — 3 000 рублей на руки Для отклика напишите @shadofonspace в личку

РУКОВОДСТВО ПО ЦЕНООБРАЗОВАНИЮ ПЕНТЕСТОВ Подготовили для вас полное подробное руководство по ценообразованию пентест-проектов со всеми инфографиками и таблицами, где наглядно показано соотношение рисков и ресурсов, зрелость ИБ-процессов и модель злоумышленника, грейды специалистов и уровень оплаты труда. 👉https://pricing.awillix.ru/ 👈 В конце есть тест, который поможет первично оценить уровень зрелости информационной безопасности в вашей компании и получить базовые рекомендации для его улучшения. 🔣Это еще один наш вклад в развитие рынка. Надеемся, что такой артефакт станет доступным и простым инструментом для более легкого и зрелого диалога между бизнесом и его кибербезопасностью.

☄️ Открыта регистрация на beetech conf 2024 — 27 апреля в Алматы в NARXOZ University. Это ежегодная IT-конференция от Beeline Казахстан для продактов, agile-коучей, скрамов, разработчиков, QA-инженеров, безопасников, аналитиков и data-сайентистов. 📌 В этом году beetech conf 2024 это: ➖ спикеры казахстанских и зарубежных компаний. Эксперты из Beeline Казахстан, Booking, Тинькофф, Kolesa Group, Verigram и других компаний расскажут о неочевидных решениях своих кейсов и поделятся полезным опытом ➖ доклады по 3 направлениям: Management, Engineering и Big Data. Познавательно, актуально и без воды; ➖ воркшопы и квартирники, где участники смогут на практике разобрать интересующие кейсы и обсудить горячие темы! Эксперты Beeline Казахстан и других компаний отбирают сильные доклады и совсем скоро темы будут опубликованы на сайте. 👀 Посмотрите, как проходила конференция в 2023 году. 👉 Покупайте билет по early bird price до 1 апреля за 10 000 тенге на официальном сайте beetech.kz.

🔥 Troubleshooting Linux-серверов 👉 Попробуйте себя в сценариях дебага Linux-серверов и задачами, связанными с Kubernetes, Docker, Nginx, Apache, MySQL. Есть простой уровень, средний и настоящий хардкор. Придется что-то делать, чинить или хакать. Вот пример одной задачи:

Разработчик создал базу данных «main», но в ней отсутствуют некоторые данные. Вам необходимо восстановить базу данных, используя дамп "/home/admin/backup.sql". Проблема в том, что разработчик забыл пароль root для сервера MariaDB. Если вы столкнулись с проблемой при восстановлении базы данных, исправьте ее.

#devops #linux #kubernetes @DevOpsKaz

☄️ Retina — платформа наблюдения за сетью Kubernetes с открытым исходным кодом, которая помогает в сценариях DevOps и SecOps. Не зависит от облака. По сути — центр для мониторинга работоспособности и безопасности приложений и сети кластера. Retina собирает данные телеметрии, которые можно экспортировать в Prometheus, Azure Monitor и другие поставщики. А потом визуализировать в Grafana, Azure Log Analytics или где-то еще. Retina позволяет исследовать проблемы сети по требованию и постоянно контролировать ваши кластеры. 👉 Посмотреть на GitHub Пользуйтесь и делитесь с коллегами 🤝 #devops #devopsbooks @DevOpsKaz

Продолжаем делиться опытом через книги. 👉 Сегодня это — Высоконагруженные приложения. Программирование, масштабирование, поддержка | Клеппман Мартин Ключевые принципы, алгоритмы и компромиссы, без которых не обойтись при разработке высоконагруженных систем для работы с данными. Все рассматривается на примере внутреннего устройства популярных программных пакетов и фреймворков. Прочитав эту книгу, вы легко ответите на многие вопросы в техническом интервью по базам данных. Читайте и делитесь с коллегами 🤝 #devops #devopsbooks @DevOpsKaz

☄️ Релиз GitLab 16.10 Главная фишка релиза — семантическое управление версиями. Оно предназначено для компонентов в каталоге CI/CD. Также добавили управление доступом GitLab Duo, совершенно новые шаблоны для Wiki и интеграцию ClickHouse для высокопроизводительной DevOps-аналитики. Всего более 90 улучшений. Познакомьтесь с релизом здесь и поделитесь с коллегами 🤝 #devops #gitlab #gitlab1610 @DevOpsKaz

С праздником Наурыз, дорогие ❤️ Ваш KazDevOps

☄️ 4 метрики эффективности DevOps 1️⃣ Частота развертывания Показатель того, как часто изменения выпускаются в продакшен. Более частые развертывания представляют меньший риск и обеспечивают непрерывную доставку. В идеале — ежедневно. Элитные команды способны делать это по требованию. 👉 Как повлиять: вместо большого количества функций и изменений ваши выпуски должны представлять собой одну функцию или изменение, а каждое обновление должно быть как можно меньшим по объему. 2️⃣ Срок внесения изменений Эта метрика — индикатор проблем процесса, она помогает выявить узкие места, замедляющие доставку программного обеспечения. Элитной команде требуется менее часа с момента проверки кода до его развертывания. 👉 Как повлиять: используйте ПО, которое поможет определить, застряли ли коммиты, например, в ожидании тестирования качества. Как только вы обнаружите, что задерживает развертывание, вы можете автоматизировать тестирование или нанять дополнительных тестировщиков. 3️⃣ Среднее время стабилизации Это среднее время восстановления после сбоя работы продукта или системы. Чтобы измерить это, необходимо знать время, когда произошел инцидент и когда его разрешили, а также, что помогло. Элитной команде обычно требуется менее часа, чтобы снова запустить сервисы. 👉 Как повлиять: уменьшите размер развертываний — так вы сможете сократить радиус воздействия, если что-то пойдет не так. 4️⃣ Процент неудачных изменений Это процент развертываний, которые привели к сбою. Метрика показывает стабильность кода, который выпускает ваша команда, а также его качество. У элитных команд уровень неудачных изменений составляет 0–15 %, а у низкоэффективных — 16–30 %. 👉 Как повлиять: выясните основную причину неудач. Часто это человеческий фактор, плохое тестирование и плохое качество кода. Автоматизация процессов развертывания и тестирования может устранить человеческий фактор. Сохраняйте себе и делитесь с коллегами 🤝 @DevOpsKaz