💥 Jenkins снова под прицелом
Представьте: вы открываете Jenkins, даже не авторизовавшись, и видите список агентов, их ОС, состояние очереди и подключённость. Именно так работала страница /securityRealm/signup до версии 2.528.
Почему так вышло
Jenkins когда-то включил туда стандартную боковую панель, а в ней отображались статусы билдов. Никто не заметил, что даже неавторизованный пользователь может глянуть в кухню CI/CD.
Как нашли
Исследователь просто прошёл по URL, получил ответ и увидел всю внутреннюю картину — идеальный старт для атакующего:
— имена агентов → подсказка для lateral movement,
— ОС узлов → выбор эксплойтов,
— статус очереди → понимание нагрузки системы.
В Jenkins 2.528 и LTS 2.516.3 разработчики вычистили include боковой панели из signup.jelly. Теперь любопытный глаз ничего лишнего не увидит.
Иногда уязвимости рождаются не из сложной криптографии, а из банального. Проверяйте даже мелкие шаблоны — иначе ваш CI/CD раскроет инфраструктуру до единого узла.
🐸 Библиотека devops'a
#разбор_полётов
Представьте: вы открываете Jenkins, даже не авторизовавшись, и видите список агентов, их ОС, состояние очереди и подключённость. Именно так работала страница /securityRealm/signup до версии 2.528.
Почему так вышло
Jenkins когда-то включил туда стандартную боковую панель, а в ней отображались статусы билдов. Никто не заметил, что даже неавторизованный пользователь может глянуть в кухню CI/CD.
Как нашли
Исследователь просто прошёл по URL, получил ответ и увидел всю внутреннюю картину — идеальный старт для атакующего:
— имена агентов → подсказка для lateral movement,
— ОС узлов → выбор эксплойтов,
— статус очереди → понимание нагрузки системы.
В Jenkins 2.528 и LTS 2.516.3 разработчики вычистили include боковой панели из signup.jelly. Теперь любопытный глаз ничего лишнего не увидит.
Иногда уязвимости рождаются не из сложной криптографии, а из банального. Проверяйте даже мелкие шаблоны — иначе ваш CI/CD раскроет инфраструктуру до единого узла.
#разбор_полётов
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡1👍1👾1
🚦 Ускоряем GitLab CI/CD
Обычный пайплайн в GitLab идёт «ступеньками»: сначала build, потом test, потом deploy. Даже если задачи никак не связаны, они будут терпеливо ждать друг друга. В итоге лишние минуты и часы простаивания.
Вместо жёстких стадий можно описать зависимости между стадиями. В GitLab CI это называется DAG — Directed Acyclic Graphs.
Например:
— линтер может запуститься сразу, не дожидаясь сборки,
— тесты стартуют сразу после билда,
— деплой уходит в бой, как только готовы нужные джобы.
Выглядит это так:
DAG превращает ваш CI/CD из очереди в автомагистраль. Если у вас много джобов — самое время пересмотреть пайплайн.
🐸 Библиотека devops'a
#арсенал_инженера
Обычный пайплайн в GitLab идёт «ступеньками»: сначала build, потом test, потом deploy. Даже если задачи никак не связаны, они будут терпеливо ждать друг друга. В итоге лишние минуты и часы простаивания.
Вместо жёстких стадий можно описать зависимости между стадиями. В GitLab CI это называется DAG — Directed Acyclic Graphs.
Например:
— линтер может запуститься сразу, не дожидаясь сборки,
— тесты стартуют сразу после билда,
— деплой уходит в бой, как только готовы нужные джобы.
Выглядит это так:
unit-tests:
stage: test
needs: [ "build-job" ]
script: make test
lint:
stage: test
script: make lint
deploy:
stage: deploy
needs: [ "unit-tests", "lint" ]
script: make deploy
DAG превращает ваш CI/CD из очереди в автомагистраль. Если у вас много джобов — самое время пересмотреть пайплайн.
#арсенал_инженера
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
🚀 Всё о курсе «ИИ-агенты для DS-специалистов»
❓ Зачем нужны ИИ-агенты?
Это системы, которые берут на себя задачи аналитики и автоматизации. Именно они становятся основой для работы с корпоративными данными и для поддержки принятия решений.
❓ Зачем мне курс?
Курс отвечает на три ключевых вопроса:
— Как построить собственную систему агентов с нуля?
— Каким образом использовать RAG-подход для работы с корпоративными данными?
— Как адаптировать LLM под реальные задачи бизнеса?
❓ Подходит ли это мне?
Курс рассчитан на специалистов уровня middle+ и senior: ML/AI инженеров, Data Scientists, backend и platform-разработчиков. Подойдёт и студентам CS/DS, если вы готовы к продвинутым практикам.
Запись вводной встречи «ИИ-агенты: новая фаза развития искусственного интеллекта» доступна по ссылке.
❓ Когда старт?
Обучение начинается 3 октября.
❓ Сколько стоит?
До 28 сентября действует скидка → 57 000 ₽ вместо 69 000 ₽ (промокод datarascals).
🔗 Описание программы и регистрация
❓ Зачем нужны ИИ-агенты?
Это системы, которые берут на себя задачи аналитики и автоматизации. Именно они становятся основой для работы с корпоративными данными и для поддержки принятия решений.
❓ Зачем мне курс?
Курс отвечает на три ключевых вопроса:
— Как построить собственную систему агентов с нуля?
— Каким образом использовать RAG-подход для работы с корпоративными данными?
— Как адаптировать LLM под реальные задачи бизнеса?
❓ Подходит ли это мне?
Курс рассчитан на специалистов уровня middle+ и senior: ML/AI инженеров, Data Scientists, backend и platform-разработчиков. Подойдёт и студентам CS/DS, если вы готовы к продвинутым практикам.
Запись вводной встречи «ИИ-агенты: новая фаза развития искусственного интеллекта» доступна по ссылке.
❓ Когда старт?
Обучение начинается 3 октября.
❓ Сколько стоит?
До 28 сентября действует скидка → 57 000 ₽ вместо
🔗 Описание программы и регистрация
🔥 Сегодня последний день скидки!
На недавнем вебинаре «ИИ-агенты: новая фаза развития AI» мы показали, как агенты уже меняют работу Data Scientists и инженеров.
Что тебя ждёт на курсе:
⚡️ создашь своего ИИ-агента с нуля
⚡️ соберёшь RAG-систему
⚡️ научишься адаптировать LLM под реальные данные бизнеса
⏳ До конца этого дня цена на курс 57 000 ₽. Уже завтра будет 69 000 ₽. Успевай записаться (используй промокодdatarascals ).
🔗 Записаться на курс
На недавнем вебинаре «ИИ-агенты: новая фаза развития AI» мы показали, как агенты уже меняют работу Data Scientists и инженеров.
Что тебя ждёт на курсе:
⚡️ создашь своего ИИ-агента с нуля
⚡️ соберёшь RAG-систему
⚡️ научишься адаптировать LLM под реальные данные бизнеса
⏳ До конца этого дня цена на курс 57 000 ₽. Уже завтра будет 69 000 ₽. Успевай записаться (используй промокод
🔗 Записаться на курс
Срочное включение с новостями и материалами прошедшей недели
— Grafana 12.2
В свежем релизе Grafana 12.2 появилась поддержка LLM-powered SQL expressions — теперь можно использовать генеративный ИИ для написания SQL прямо в панели.
— Docker Desktop 4.46
— ТОП-9 популярных AI-агентов для разработки
— Rufus 4.10
— Дыра в Jenkiins
#дайджест_недели
Please open Telegram to view this post
VIEW IN TELEGRAM
⏳ Последние часы со скидкой!
Мы уже закрыли вебинар «ИИ-агенты: новая фаза развития AI», но запись всё ещё доступна.
А дальше остаётся только практика. На курсе «ИИ-агенты для DS-специалистов» ты научишься разрабатывать агентов, собирать RAG-системы и адаптировать LLM под бизнес.
⏰ Сегодня цена ещё 57.000 ₽ с промокодом datarascals.
Завтра — 69.000 ₽.
👉 Успеть оплатить до полуночи
Мы уже закрыли вебинар «ИИ-агенты: новая фаза развития AI», но запись всё ещё доступна.
А дальше остаётся только практика. На курсе «ИИ-агенты для DS-специалистов» ты научишься разрабатывать агентов, собирать RAG-системы и адаптировать LLM под бизнес.
⏰ Сегодня цена ещё 57.000 ₽ с промокодом datarascals.
Завтра — 69.000 ₽.
👉 Успеть оплатить до полуночи