How to cut your Docker build time by 95%, Buildx, Caching & Layer Optimization

Сборка Docker занимает целую вечность? Я сократил время сборки с 8 минут до 24 секунд. Вот как это сделать с помощью Buildx и кэширования.

📌 Подробнее: https://arcnet.am/post/70

MemOps 🤨

MemOps 😃

4 ways to use Argo CD and Terraform together

Хотя в настоящее время существует несколько руководств, объясняющих, как использовать каждый инструмент по отдельности, информации о том, как их можно комбинировать, мало. Многие существующие пользователи Terraform переходят на Argo CD и задаются вопросами:

1. Как лучше всего передавать переменные из Terraform в Helm-диаграммы, развернутые с помощью Terraform?

2. Как получить секреты в приложениях Kubernetes, которые генерируются/получаются из Terraform?

3. Когда следует использовать Terraform Helm и провайдеры Kubernetes, если Argo CD уже поддерживает развертывание Kubernetes?

4. За какие ресурсы Kubernetes должен отвечать Terraform, а за какие — Argo CD?

5. Какова правильная граница между этими двумя инструментами, чтобы операторы могли использовать их с максимальной пользой?

В этом руководстве мы ответим на все эти вопросы и покажем четыре различных подхода к совместной работе Terraform и Argo CD. Обратите внимание, что все, что мы говорим о Terraform, также применимо к OpenTofu.

📌 Подробнее: https://octopus.com/blog/argocd-terraform-together

MemOps 🤨

MemOps 😃

Terraform Parallelism: How It Works, Tuning & Best Practices

В этом посте мы расскажем о параллелизме в Terraform: что это такое, как им управлять и как лучше всего настраивать параллелизм в Terraform.

📌 Подробнее: https://spacelift.io/blog/terraform-parallelism

MemOps 🤨

MemOps 😃

We Automated Everything Except Knowing What's Going On

Искусственный интеллект удешевил разработку программного обеспечения, но лежащие в его основе системы дают сбой.

📌 Подробнее: https://eversole.dev/blog/we-automated-everything

MemOps 🤨

MemOps 😃

Why our Kafka consumers survived the day but died every night

It took us 4–5 incidents over several weeks to even recognise the pattern.

📌 Подробнее: https://medium.com/@lokeshsoni/why-our-kafka-consumers-survived-the-day-but-died-every-night-8c9eb6ae528f

MemOps 🤨

MemOps 😃

Docker2exe превращает Docker-контейнеры в самодостаточные исполняемые файлы для Windows. Полезно, когда нужно быстро упаковать сервис и запустить его на машине без Docker.

Преимущества: простая развёртка, переносимость, удобно для тестов и демо.

Минусы и предостережения: убедитесь, что внутри контейнера нет секретных корчей и что вы выполняете только знакомый код.

📌 Подробнее: https://github.com/rzane/docker2exe

MemOps 🤨

MemOps 😃

Marimo CVE-2026-39987 (CVSS 9.3): WebSocket без auth-чека, в Docker — сразу root

Если в инфраструктуре крутится Marimo — проверьте версию прямо сейчас. Эндпоинт /terminal/ws не вызывал validate_auth(), WebSocket-handshake отдаёт PTY. В официальном Docker-образе процесс работает от root, эксплуатация тривиальна.

Sysdig поймал первую атаку через 9 часов 41 минуту после advisory, без публичного PoC. До этого так же ловили Langflow (20 часов) и Flowise. Окно на патч — часы, не дни.

Что сделать:

— обновить до 0.23.0 (всё ниже 0.20.4 уязвимо);
— не выставлять наружу: --host 127.0.0.1, за reverse proxy с auth;
— сканировать ML-инфру на предмет «внутренних» дашбордов на 0.0.0.0;
— ротировать ключи облаков и LLM-провайдеров, если инстанс хоть раз торчал в интернет.

📌 Подробнее: https://tproger.ru/news/marimo-rce-za-9-chasov-41-minutu-atakuyushhie-sobrali-eksplojt

MemOps 🤨

MemOps 😃

Reliability Engineering for Air-Gapped Systems

Советы и приемы для обхода труднодоступных средств мониторинга

📌 Подробнее: https://blog.alexewerlof.com/p/reliability-engineering-for-air-gapped

MemOps 🤨

Заключительная статья "Seccomp in K8s 3/3: Measuring, Scoring, and Scaling with Seccompute" о Seccomp в контексте цикла статей от Mark Manning.

Автор поднимает главный вопрос: как вообще понять, что ваш seccomp профиль «хороший», а не просто кажется таким. Он показывает, что без метрик и объективной оценки любые разговоры о безопасности остаются на уровне предположений.

В статье предлагается подход к измерению качества профилей: анализ покрытия syscalls, оценка избыточности и попытки формализовать «полезность» политики. На этом фоне появляется инструмент Seccompute, который помогает автоматически сравнивать и оценивать профили.

Ключевая идея — переход от ручного «тюнинга» к системному процессу с метриками, скорингом и возможностью масштабирования на уровне кластера.

📌 Подробнее: https://www.antitree.com/2026/04/seccomp-in-k8s-3/3-measuring-scoring-and-scaling-with-seccompute/

MemOps 🤨

MemOps 😃

Shell Tricks That Actually Make Life Easier (And Save Your Sanity)

Наблюдать за тем, как в остальном блестящий инженер шесть секунд подряд удерживает клавишу Backspace, чтобы исправить опечатку в начале строки, вызывает отчетливую, инстинктивную боль.

Все мы через это проходили. Мы осваиваем ls, cd и grep, а потом как бы… останавливаемся. Терминал становится местом, где мы живем, но мы редко утруждаем себя расстановкой мебели. Мы принимаем тот факт, что для выполнения определенных задач требуется сорок нажатий клавиш, совершенно не подозревая, что авторы командной оболочки решили именно нашу проблему где-то в 1989 году.

Вот несколько приемов, которые не совсем секретны, но и не всегда преподаются. Чтобы сохранить мир в нашей большой семье Unix, я разделил их на два лагеря: универсальные приемы, работающие почти в любой POSIX-подобной оболочке (например, sh в FreeBSD или ksh в OpenBSD), и улучшения качества жизни, специфичные для интерактивных оболочек, таких как Bash или Zsh.

📌 Подробнее: https://blog.hofstede.it/shell-tricks-that-actually-make-life-easier-and-save-your-sanity

MemOps 🤨

MemOps 😃

⌨️ Тут безопасники из Censys устроили глобальное сканирование всех IPv4 адресов и принесли занимательную некромантию. Выяснилось, что в апреле 2026 года в открытом интернете всё еще болтается почти 6 млн хостов с голой жопой, торчащей наружу через 21-й порт.

Протокол FTP (RFC 959). Возраст 55 лет. Создан в те благословенные времена, когда интернет был маленьким, все друг друга знали 🌻. Передает логины, пароли и данные кристально чисто и открыто. Пациент уже фактически мертв, так как индустрия давно переехала на SFTP (который подсистема SSH, а не FTP) или объектные хранилища. На практике - пациент пока жив.

Популяция хоть и сократилась на 40% за последние два года, но 6 миллионов открытых серверов - это сильно. В основном эпидемия поддерживается теми, кто покупает VPS с накатанным cPanel, где Pure-FTPd (1.99 млн хостов) и ProFTPD (812 тыс.) поднимаются по дефолту.

Настоящая археология начинается при детальном сканировании... найдено 1 744 сервера, на которых до сих пор крутится vsftpd версии 2.3.4. Олды могут пустят скупую слезу. Это та самая легендарная сборка из 2011 года, в исходники которой на SourceForge хакеры зашили бэкдор 🏴‍☠️. Если в качестве юзернейма отправить смайлик :), демон открывал рут-шелл на TCP-порту 6200. Жму руку тем, кто держит открыто уязвимость с бэкдором 15-летней давности. Пятнашка лет аптайма и патч-долга, Карл! 🥂

Самая эпичная часть отчета посвящена виндовым админам. Более 250 тысяч серверов крутят дефолтный Microsoft IIS FTP. В настройках IIS параметр controlChannelPolicy по дефолту выставлен в SslRequire. Админ смотрит в конфиг, видит, что TLS якобы принудительно включен, и идет пить пивчанский. НО! Параметр serverCertHash (привязка SSL-серта) по дефолту пустой 😶

Что делает IIS, когда к нему стучится клиент с командой AUTH TLS, но сертификата нет? Он выдает ошибку 534 Local policy on server does not allow TLS secure connections. Клиент думает... ну ок, раз TLS нельзя, давай по старинке... и отправляет пароль админа в открытом виде. Сервер его так же принимает! Более 150 000 серверов в мире прямо сейчас работают в режиме иллюзии безопасности... админы уверены, что включили FTPS, а по факту отдают данные в открытом виде.

Из 6 миллионов серверов около 2.45 млн ВООБЩЕ не умеют в TLS-хендшейк.

Резюме консилиума... в морг ⚰️

Типичный 🥸 Сисадмин