🔒 Статистика паролей за 2025 год

В 2025 году наибольший слив паролей случился с утечкой 16 миллиардов паролей — одна из крупнейших в истории. При этом 94% пользователей повторяют пароли на разных сервисах, что усиливает риски.

Три четверти паролей не соответствуют базовым требованиям безопасности, а простые пароли типа «123456» до сих пор в лидерах по использованию.

💬 Какие практики применяются у вас на проекте? Находили листочки с паролями на мониторе? Делитесь в комментах👇

➡️ Статистика по паролям

🐸 Библиотека devops'a

#разбор_полётов

❓ Как внедрить zero-trust между микросервисами

Для внедрения zero-trust между микросервисами в DevOps нужно последовательно наложить несколько ключевых слоёв безопасности.

Первое — включить mTLS с распределённой идентичностью на уровне ворклоадов с помощью SPIFFE/SPIRE. Это значит каждой службе присваивается короткоживущий X.509-сертификат (SVID), который автоматически ротацируется и используется для взаимной аутентификации и шифрования трафика.

Такой подход исключает хранение статичных сертификатов и полностью автоматизирует управление ими.

Далее — построить авторизацию по идентичности, используя RBAC или Open Policy Agent (OPA). Это даёт возможность задавать политики доступа в зависимости от конкретной сущности-сервиса, а не на уровне IP или сети. Ещё слой сетевых ограничений добавляют Kubernetes NetworkPolicy, которые ограничивают коммуникацию только разрешёнными путями.

В Kubernetes для реализации zero-trust-mTLS удобно использовать сервис-меши типа Istio, Linkerd или Ambient Mesh (sidecarless). Для мультикластера нужна федерация trust domains, чтобы распространять доверие и идентификацию между кластерами, а также централизованный аудит для мониторинга и инцидент-реакции.

🐸 Библиотека devops'a

#задача_со_звёздочкой

😊 AI-помощник, который всегда под рукой

В современном ритме работы переключения между задачами и поиском ответов сильно тормозят продуктивность. Seeva решает эту проблему, появляясь мгновенно в любом приложении по нажатию горячей клавиши.

Вы просто кликаете «Watch Screen», и помощник анализирует ваш экран, помогая разобраться с любыми вопросами без излишних переключений. Это экономит время и позволяет сохранить концентрацию на важном.

➡️ Поспрашивать про свой экран

🐸 Библиотека devops'a

#арсенал_инженера

📉 Главные тренды DevOps в России

Новый отчет State of DevOps Россия 2025 раскрывает ключевые направления развития практики DevOps в России.

Cloud-трансформация — отдельный важный тренд. Managed- и PaaS-сервисы меняют подходы к инфраструктуре и автоматизации процессов.

DevSecOps в отчете рассматривается как необходимый элемент безопасности, внедряемый без ущерба для скорости разработки.

Искусственный интеллект становится помощником, снимая нагрузку с специалистов и оптимизируя бизнес- и продуктовые процессы.

🐸 Библиотека devops'a

#пульс_индустрии

🛠 Управление политикам в Kubernetes по-человечески

Kyverno — это policy engine, работающий внутри Kubernetes. Он позволяет проверять, изменять и создавать ресурсы на основе заданных политик.

Можно управлять безопасностью контейнеров, автоматически добавлять необходимые метки, следить за стандартами именования и ресурсными лимитами.

Kyverno поддерживает проверку подписей образов, что помогает контролировать цепочку поставок и предотвращать запуск неподписанных или скомпрометированных образов.

В недавнем обновлении 1.16.0 появились новые фичи и фиксы:

• Добавлен vigilant mode, который запрещает использование celPreconditions без validate.cel.

• Исправлены ошибки в тестах generate VAP chainsaw.

• Добавлены функции генерации отчетов для MAPs.

• Исправлены проблемы с обновлением статуса, вызванные разным форматом времени.

• В Helm chart добавлена поддержка рендера Openreports ресурсов и возможность включения соответствующих флагов.

И другие изменения.

➡️ Репозиторий
➡️ Release Notes

🐸 Библиотека devops'a

#арсенал_инженера

📎 Что такое systemd и зачем он нужен в Linux

systemd — это система инициализации и менеджер сервисов, которая отвечает за запуск, остановку и управление процессами в Linux. Он запускается первым после загрузки ядра и держит под контролем все службы и задачи, которые нужны системе и приложениям.

До появления systemd в Linux популярны были разные init-системы, например, SysVinit. Они работали по очереди и запускали сервисы последовательно. Это приводило к долгой загрузке и сложностям с управлением зависимостями.

systemd изменил подход — он запускает сервисы параллельно и учитывает зависимости. Его модульная архитектура позволяет расширять функциональность, а удобные команды systemctl и journalctl сделали администрирование проще и понятнее.

systemd также заменяет многие отдельные утилиты и скрипты, объединяя возможности таймеров, монтирования устройств и управления сетевыми настройками.

Кроме инициализации systemd управляет сервисами через понятные unit-файлы — они описывают, как запускать и перезапускать службы, какие ресурсы выделять и как реагировать на ошибки. Пример простого юнита службы:

[Unit]
Description=Пример сервиса

[Service]
ExecStart=/usr/bin/your-app
Restart=always

[Install]
WantedBy=multi-user.target

systemd стал де-факто стандартом для большинства дистрибутивов Linux благодаря своей функциональности и удобству. Он избавляет от множества рутинных операций и упрощает управление системой.

🐸 Библиотека devops'a

#арсенал_инженера

👀 Что действительно скрывают обещания гибкого графика и карьерного роста в IT

Вакансии часто содержат привлекающие фразы, которые на деле означают совсем другое. Гибкий график нередко превращается в непредсказуемый режим работы без чётких часов, с неожиданными звонками в позднее время.

Обещания карьерного роста обычно подразумевают, что сами будете решать все проблемы в условиях авралов и большого объёма работы.

Чтобы избежать неприятных сюрпризов, важно уточнить у работодателя все ключевые моменты: какие задачи предстоят, как организован отпуск и из чего складывается оплата труда.

➡️ Узнать, что работодатели имеют в виду

🐸 Библиотека devops'a

🔄 Вышел Helm 4.0.0

Helm 4 получил переработанную систему плагинов, теперь поддерживается Web Assembly для расширений. Пост-рендереры вынесены в отдельные плагины, добавилась поддержка server side apply, а обработка ресурсов теперь использует kstatus для отслеживания состояния и ожидания объектов

Локальное кэширование ускоряет работу с чартами, а логирование через slog даёт интеграцию со стандартными логгерами. Архивы чартов теперь собираются воспроизводимо, улучшился и сам SDK: теперь появился экспериментальный v3 chart API и продвинутая поддержка нескольких версий chart API.

Если работаете с Helm — обновляйтесь, тестируйте свои пайплайны и чартовые сборки.

🐸 Библиотека devops'a

#пульс_индустрии

🐸 Библиотека devops'a

#пятничный_деплой

🔒 Безопасный контейнер

Запуск контейнеров с правами root считается плохой практикой безопасности, поскольку при компрометации процесса внутри контейнера злоумышленник получает расширенные права на хосте.

Чтобы минимизировать риски, всегда рекомендуется создавать в образе отдельного пользователя и запускать контейнер под ним.

Пример Dockerfile с запуском не от root:

FROM node:22

# Создаем пользователя appuser
RUN useradd -m appuser

# Переключаемся на пользователя appuser
USER appuser

CMD ["node", "server.js"]

Такой подход соответствует принципу наименьших привилегий и помогает защитить вашу систему от потенциальных угроз.

🐸 Библиотека devops'a

#root@prompt

🎆 Скоро Новый Год

А пока вспомним чем порадовала эта неделя.

— firewalld 2.4.0

— В хранилище Университета Юты нашли Unix

— MX Linux 25 «Infinity»

— State of DevOps Россия 2025

— Гибкий график не в вашу пользу

🐸 Библиотека devops'a

#дайджест_недели

🔍 Скрытые вакансии и булевый поиск

При поиске работы традиционные сайты подсовывают одни и те же вакансии большинству, но есть способ выйти из этого круга. Булевый поиск — это работа с логическими операторами, которые помогут отсеять лишнее и найти менее заметные, но важные вакансии.

Это метод работает на LinkedIn, Хедхантере, Гитхабе и даже через Google, помогая видеть вакансии, которые обычным поиском не найти.

➡️ Найдите вакансии, которые скрыты от других

🐸 Библиотека devops'a

⚡️ Ubuntu 25.10 перешла на sudo-rs

В Ubuntu 25.10 появилась новая версия sudo — sudo-rs, полностью переписанная на языке Rust. Эта замена призвана повысить безопасность и устойчивость инструмента.

Но в sudo-rs нашли и быстро исправили несколько уязвимостей, связанных с обработкой паролей и таймаутами

Несмотря на то, что Rust существенно снижает риски, связанные с использованием памяти, проект не застрахован от ошибок — и своевременное обнаружение и исправление критичны.

Хотя sudo-rs ещё молодой проект, и его безопасность улучшается вместе с развитием, переход на Rust уже помог значительно минимизировать классические ошибки C в sudo — уязвимостей стало существенно меньше по сравнению с оригинальной реализацией.

➡️ Источник

🐸 Библиотека devops'a

#пульс_индустрии

⚙️ Цепочка команд для перемещения файлов

Автоматизация пересортировки файлов в Linux нередко сталкивается с проблемами имен с пробелами. Самый надежный способ — использовать find с -print0 и xargs с -0.

Пример команды для перемещения всех файлов с расширением .log из указанного каталога в другую директорию:

find /path -maxdepth 1 -type f -name '*.log' -print0 | xargs -0 -I{} mv -- "{}" /archive/logs/

Опция -print0 у команды find выводит имена файлов, разделённые нулевым символом, а xargs с -0 принимает именно такой формат.

Можно использовать аналогичный приём и для переноса логов конкретного приложения:

find /var/log/myapp -type f -name 'myapp-*.log' -print0 | xargs -0 -I{} mv -- "{}" /backups/logs/

Перед применением стоит проверить корректность поиска, выполнив команду find без части с xargs и mv, чтобы убедиться, что выбраны именно нужные файлы.

🐸 Библиотека devops'a

#root@prompt