Пятничный деплой

2021-02-16 11:15:04 Launching OSV - Better vulnerability triage for open source

В вопросах, касающихся уязвимостей в сторонних компонентах (цепочке поставок), одна из главных проблем - полнота сведений в базе данных. В частности речь идет о NIST. Информации о CVE, CVSS и CPE чаще всего недостаточно, чтобы точно идентифицировать, какие компоненты подверглись уязвимости в цепочке поставок. Это же проблема является ключевой в вопросах корреляции SAST/SCA. Более того, мы не обладаем информацией о том, в каких версиях происходит исправления уязвимости. Чтобы решить данную проблему, крупные вендоры (например, Sonatype) ведут собственные фиды.

По этой причине команда Google на базе информации, полученной по итогам работы над OSS-Fuzz, запустила проект Open Source Vulnerabilities (OSV). Это сервис, который использует собственные фиды, чтобы предоставить расширенную информацию об уязвимостях в версии ПО. Про подход "Know, Prevent, Fix", взятый за основу, они также писали в отдельной статье.

Как работать с сервисом можно прочитать здесь, а на саму базу можно взглянуть по пути list.

Вот, например, OSV-2020-2291. Здесь содержится информация о том, что за уязвимость, какие компоненты также подвержены, ссылка на репо, коммит, в котором уязвимость была найдена и устранена. Здесь же есть данные о результатах тестирования с помощью OSS-Fuzz.

#dev #sca Открыть/Комментировать

2021-02-15 16:06:33 HashiCorp на правах рекламы своего Consul Service Mesh выпустили цикл статей про распил монолитов (с критериями и подходами, про сам Consul там не очень много).

http://amp.gs/5JJ3 Открыть/Комментировать

2021-02-15 15:32:16 Kind - or Kubernetes in Docker - is a tool that allows you to easily spin up your local k8s cluster and was originally developed to test Kubernetes itself.

However, you can use it for the local development as well. This article describes some caveats regarding using Kind for such kind of things.

#kubernetes Открыть/Комментировать

2021-02-15 14:57:09 Полный(по версии автора) гайд по выбору инструмента для анализа Terraform кода на безопасность.

http://amp.gs/5JVe Открыть/Комментировать

2021-02-15 13:49:25 Подъехал новый митап от DevOps Novosibirsk в этот раз про Kubernetes в AWS на спотах: https://devops-nsk.timepad.ru/event/1557463/ Открыть/Комментировать

2021-02-15 12:02:40 https://pythonspeed.com/articles/faster-python/ Открыть/Комментировать

2021-02-15 12:00:42 ​17 февраля - демо-занятие «Фасилитация онлайн»

Влас Старцев (Продакт в Biglion) обсудит следующие темы:

- обучение в онлайне – как сделать это действительно эффективно?
- принятие решений Agile-командой – как меняется подход?
- гигиенические правила онлайна – проверь себя сам;
- Tips & Tricks при работе в онлайне – что помогает делать встречи полезными и почему так?

Регистрация: https://otus.pw/j5oM/

Демо-занятие является частью онлайн-курса «Agile Project Manger» Открыть/Комментировать

2021-02-15 11:17:00 В новом видео я решил начать рассказывать о том, как python работает с памятью. Рассказал о том, как работает сборщик мусора

Открыть/Комментировать

2021-02-14 19:00:15 Operations Anti-patterns, DevOps Solutions

JEFFERY SMITH

2020 Открыть/Комментировать

2021-02-13 19:40:12 How to Debug CrashLoopBackOff in a Container

https://releaseapp.io/blog/kubernetes-how-to-debug-crashloopbackoff-in-a-container Открыть/Комментировать