Книжный куб
Весенняя распродажа в издательстве «Питер» (Рубрика #Sales) В издательстве Питер очередная распродажа со скидками в 35% на бумажные книги и 50% на электронные. Для получения этой скидки надо использовать промокод "Бумажная" (или "Электронная", если покупаете…
атракцион невиданой щедрости от Питера. Кто хотел закупиться — бегите бегом)
#devops
Котаны-кубернетесоводы, а кто как секреты шифрует в 2025? Нашел SOPS, но может есть что-то интереснее?
Отдельное спасибо скажу, если расскажите про скрепное хранилище ключей шифрования. Кажется, что сейчас это отдельная проблема с учетом выхода Vault и куцего функционала (да и конского ценника) КриптоПРО HSM
Котаны-кубернетесоводы, а кто как секреты шифрует в 2025? Нашел SOPS, но может есть что-то интереснее?
Отдельное спасибо скажу, если расскажите про скрепное хранилище ключей шифрования. Кажется, что сейчас это отдельная проблема с учетом выхода Vault и куцего функционала (да и конского ценника) КриптоПРО HSM
Goldydocs
SOPS: Secrets OPerationS
A Docsy example site
Forwarded from Positive Hack Days Media
Смотрите трансляцию, если не смогли сегодня присоединиться лично.
Также трансляции доступны в «VK Видео» и на Rutube.
@PHDays. 22-24 мая. «Лужники»
Please open Telegram to view this post
VIEW IN TELEGRAM
Positive Hack Days Media
У Positive Technologies стартанул PH Days. Трансляция бесплатная. Всем безопасникам и сочувствующим рекомендую
#пятничное
В 35 годиков собрался прочитать "Атлант расправил плечи" и прям весьма зашло
Про что
Это антиутопия про крах меритократии в США. Фактически все компетентные люди за несколько лет встали и вышли. При этом подробно описываются предпосылки и последствия для общества
Плюсы
- очень вдохновляет на великие свершения, профессиональный и личностный рост и вот это все
- очень продуманная позиция автора (так-то Айн Ранд основатель объективистского движения)
Минусы
- сильно заметно, что Айн Ранд — обиженка. Много выпадов в сторону советского социалистического режима
- присутствует кринжатина про "нефритовые стержни" и вот это все
Но при этом, лично для меня, плюсы сильно перевешивают минусы и книжку отчаянно рекомендую. Точно не стоит читать любителям бешеного экшена и людям без критического мышления, остальным must read!
Пару крутых цитат кину в коменты
В 35 годиков собрался прочитать "Атлант расправил плечи" и прям весьма зашло
Про что
Это антиутопия про крах меритократии в США. Фактически все компетентные люди за несколько лет встали и вышли. При этом подробно описываются предпосылки и последствия для общества
Плюсы
- очень вдохновляет на великие свершения, профессиональный и личностный рост и вот это все
- очень продуманная позиция автора (так-то Айн Ранд основатель объективистского движения)
Минусы
- сильно заметно, что Айн Ранд — обиженка. Много выпадов в сторону советского социалистического режима
- присутствует кринжатина про "нефритовые стержни" и вот это все
Но при этом, лично для меня, плюсы сильно перевешивают минусы и книжку отчаянно рекомендую. Точно не стоит читать любителям бешеного экшена и людям без критического мышления, остальным must read!
Пару крутых цитат кину в коменты
#пятничное #arch
Так уж получилось, что пару месяцев назад я стал сертифицированным архитектором TOGAF (не спрашивайте зачем), да и по долгу службы галерного гребца я периодически вижу примеры использования этого самого тогафа в разном отечественном крупняке. Ну и вот, решил поделиться наблюдениями по этому поводу, так что усаживайтесь поудобнее, че)
Так уж получилось, что пару месяцев назад я стал сертифицированным архитектором TOGAF (не спрашивайте зачем), да и по долгу службы галерного гребца я периодически вижу примеры использования этого самого тогафа в разном отечественном крупняке. Ну и вот, решил поделиться наблюдениями по этому поводу, так что усаживайтесь поудобнее, че)
Для начала, попробую подъяснить на пальцах что это ваще такое. Если в нормальной компании что-то делается примерно так: придумали -> поRnDшили -> сделали (-> обосрались -> поправили) -> радуемся, то если вы нефтегазовая/строительная/энергетическая/другая неИТшная компания, то любая нерутинная активность у вас называется модным словом Change и... должна быть 100500 раз согласована и утверждена в каждой дирекции каждого департамента. Т.к. таким образом, аленький цветочек, конечно же не вырастет и любая благая активность дохнет на корню, то придумали специально-обученных людей (корпоративных архитекторов), которые могут и умеют мастерски этот самый чейндж делать и протаскивать через все инстанции. В какой-то момент, у них появились свои лучшие практики и паттерны, которые в свою очередь оформились в целые фреймворки, одним из которых (и самым известным) стал тогаф.
Корп. архи в отличие от системных и даже солюшн должны (в теории) уметь продавить кого-угодно, поэтому и фреймворки их не только про технину. Тогаф, например, 5-слойный: начинается вся возня с целеполагания, потом бизнес (как там ценность создается и какие бизнесс-процессы бегают), а потом софтваре, железки и даже проектное управление. Все это великолепие идет последовательно. Да-да, в 2025 году тут все еще чистый ватерфол. Ну вот примерно какая-то такая картинка. Тут это все эффектно замкнуто в кружочек, что бы не отставать от модных agile-практик, но это все миф и на самом деле кружочек почти никогда не замыкается. Поэтому можно смотреть на это как на классический ватерфол с началом в целеполагании (Arch vision) и конце в реализации (Change management)
Корп. архи в отличие от системных и даже солюшн должны (в теории) уметь продавить кого-угодно, поэтому и фреймворки их не только про технину. Тогаф, например, 5-слойный: начинается вся возня с целеполагания, потом бизнес (как там ценность создается и какие бизнесс-процессы бегают), а потом софтваре, железки и даже проектное управление. Все это великолепие идет последовательно. Да-да, в 2025 году тут все еще чистый ватерфол. Ну вот примерно какая-то такая картинка. Тут это все эффектно замкнуто в кружочек, что бы не отставать от модных agile-практик, но это все миф и на самом деле кружочек почти никогда не замыкается. Поэтому можно смотреть на это как на классический ватерфол с началом в целеполагании (Arch vision) и конце в реализации (Change management)
Ну и чего в итоге-то? А в итоге имеем следующее:
➕ тогаф прям очень хорошо умеет отвечать на вопрос "нахуя". Вот прям целеполагать, управлять ожиданиями и вообще заинтересованными лицами пользуя его техники прям приятно
➖ вот только в нашей отечественной промышленной коньюнктуре вопрос "нахуя" задается крайне редко. В итоге, корп. архов просят "заниматься своими серворами, а к нам не лезть", ну а для технины, откровенно говоря, есть вариантики и получше тогафа
➕ тогаф умеет в работу с рисками. Впитав в себя лучшие практики ISO, риск-менеджмент получился очень удобным даже для технарей
➖ вот только риск-менеджмент "снизу" очень часто разбивается об отсутствие понимания коньюнктуры. Ну т.е. если тебе формально поставили цель уйти в облака, а рядышком кто-то откатывает на поставках серверов... ну такое. И вряд ли риск-менеджмент тут спасет
➕ тогаф заставляет этих самых архитекторов "идти в народ", потому как арх типа должен поучаствовать в создании плана проекта, а потом еще и в самой реализации поучаствовать
➖ но и это благое начинание разбилось об суровую реальность. Ну просто потому что это мало кто делает. Как правило все кончается отрисовкой никому не понятных картинок и убиранием их в стол
Про аджайл даже писать не буду: с одной стороны, если каждый спринт будет начинаться с забега на проработку всего и вся и последующего согласования, то все останется только на бумаге, т.к. делать это никто уже успевать ничего не будет... но хорошая новость в том, что корпоратам это и не нужно. До аджайла и продуктового подхода у нас дорасли только банки и отдельно взятые нефтянники, остальные все еще живут по ГОСТ 54869.
Ну и подводя итог моим наблюдениям:
- если вы так жена галере в консалтинге, то знать уметь и понимать тогаф надо, потому как в той или иной мере им укушены все корпораты.
- если вы по какой-то причине в промышленности/стройке/другом заскорузлом корпорате, то тогаф вероятно будет вам полезен, если из него выдрать нужные вам практики
- если все выше не про вас, то свят-свят-свят
➕ тогаф прям очень хорошо умеет отвечать на вопрос "нахуя". Вот прям целеполагать, управлять ожиданиями и вообще заинтересованными лицами пользуя его техники прям приятно
➖ вот только в нашей отечественной промышленной коньюнктуре вопрос "нахуя" задается крайне редко. В итоге, корп. архов просят "заниматься своими серворами, а к нам не лезть", ну а для технины, откровенно говоря, есть вариантики и получше тогафа
➕ тогаф умеет в работу с рисками. Впитав в себя лучшие практики ISO, риск-менеджмент получился очень удобным даже для технарей
➖ вот только риск-менеджмент "снизу" очень часто разбивается об отсутствие понимания коньюнктуры. Ну т.е. если тебе формально поставили цель уйти в облака, а рядышком кто-то откатывает на поставках серверов... ну такое. И вряд ли риск-менеджмент тут спасет
➕ тогаф заставляет этих самых архитекторов "идти в народ", потому как арх типа должен поучаствовать в создании плана проекта, а потом еще и в самой реализации поучаствовать
➖ но и это благое начинание разбилось об суровую реальность. Ну просто потому что это мало кто делает. Как правило все кончается отрисовкой никому не понятных картинок и убиранием их в стол
Про аджайл даже писать не буду: с одной стороны, если каждый спринт будет начинаться с забега на проработку всего и вся и последующего согласования, то все останется только на бумаге, т.к. делать это никто уже успевать ничего не будет... но хорошая новость в том, что корпоратам это и не нужно. До аджайла и продуктового подхода у нас дорасли только банки и отдельно взятые нефтянники, остальные все еще живут по ГОСТ 54869.
Ну и подводя итог моим наблюдениям:
- если вы так же
- если вы по какой-то причине в промышленности/стройке/другом заскорузлом корпорате, то тогаф вероятно будет вам полезен, если из него выдрать нужные вам практики
- если все выше не про вас, то свят-свят-свят
#security
Привет, котаны! Наткнулся тут на такую штуку. Если у вас есть DevSecOps или вы хотя бы иногда сканируете свой кодец на предмет CVE и других эксплоитов, то вам знаком формат SBOM. Вкратце, это такой отчет о найденых дырках в ваших зависимостях в богомерзком и абсолютно не читаемом json-формате. Так вот, принимайте онлайн тул для приятного просмотра этих самых SBOM'ов
UPD. В комментах правильно поправили, что sbom'ы, конечно же, эксплоиты самого кода не фиксируют. Только уязвимые зависимости
Привет, котаны! Наткнулся тут на такую штуку. Если у вас есть DevSecOps или вы хотя бы иногда сканируете свой кодец на предмет CVE и других эксплоитов, то вам знаком формат SBOM. Вкратце, это такой отчет о найденых дырках в ваших зависимостях в богомерзком и абсолютно не читаемом json-формате. Так вот, принимайте онлайн тул для приятного просмотра этих самых SBOM'ов
UPD. В комментах правильно поправили, что sbom'ы, конечно же, эксплоиты самого кода не фиксируют. Только уязвимые зависимости
#security
Котаны, тут Позитив изготовил вкусное. Если вы ставите себе сторонние чарты в свой уютный кубернетес (у нас вот пол-инфры всегда от bitnami) и переживаете, что они могут принести с собой майнеры, то можно переживать чуть меньше, теперь вы об этом хотя бы своевременно узнаете.
Для этого у вас должен быть какой-никакой SIEM, но я верю, что это вас не остановит😃
Котаны, тут Позитив изготовил вкусное. Если вы ставите себе сторонние чарты в свой уютный кубернетес (у нас вот пол-инфры всегда от bitnami) и переживаете, что они могут принести с собой майнеры, то можно переживать чуть меньше, теперь вы об этом хотя бы своевременно узнаете.
Для этого у вас должен быть какой-никакой SIEM, но я верю, что это вас не остановит😃
Forwarded from Positive Technologies
Это наш вклад в развитие опенсорс-сообщества и безопасность контейнерных технологий (в первую очередь платформы Kubernetes), которые из-за своей популярности и повсеместного использования часто становятся целью для атак злоумышленников. В результате многие компании сталкиваются с необходимостью мониторинга сложных инфраструктур в реальном времени, но не имеют для этого простых и доступных инструментов.
«Runtime Radar создан в рамках нашей инициативы по развитию опенсорс-проектов в кибербезопасности. Наша цель — предоставить специалистам простой инструмент для развития практических навыков обеспечения безопасности контейнеров, который не требует глубоких знаний по разработке, — отмечает Михаил Бессараб, руководитель продукта PT Container Security. — Мы выложили документацию и код решения на GitHub, и оно уже вызвало интерес среди инженеров по IT-мониторингу и команд SOC».
А если его возможностей будет не хватать, можно использовать PT Container Security — платформу для комплексной защиты контейнеризованного приложения на всех этапах его жизненного цикла.
Узнать больше о продукте, чтобы начать с ним работать, можно на сайте проекта и на GitHub.
@Positive_Technologies
Please open Telegram to view this post
VIEW IN TELEGRAM