​17 февраля - демо-занятие «Фасилитация онлайн»

Влас Старцев (Продакт в Biglion) обсудит следующие темы:

- обучение в онлайне – как сделать это действительно эффективно?
- принятие решений Agile-командой – как меняется подход?
- гигиенические правила онлайна – проверь себя сам;
- Tips & Tricks при работе в онлайне – что помогает делать встречи полезными и почему так?

Регистрация: https://otus.pw/j5oM/

Демо-занятие является частью онлайн-курса «Agile Project Manger»

Подъехал новый митап от DevOps Novosibirsk в этот раз про Kubernetes в AWS на спотах: https://devops-nsk.timepad.ru/event/1557463/

Полный(по версии автора) гайд по выбору инструмента для анализа Terraform кода на безопасность.

http://amp.gs/5JVe

Kind - or Kubernetes in Docker - is  a tool that allows you to easily spin up your local k8s cluster and was originally developed to test Kubernetes itself.

However, you can use it for the local development as well. This article describes some caveats regarding using Kind for such kind of things.

#kubernetes

HashiCorp на правах рекламы своего Consul Service Mesh выпустили цикл статей про распил монолитов (с критериями и подходами, про сам Consul там не очень много).

http://amp.gs/5JJ3

Launching OSV - Better vulnerability triage for open source

В вопросах, касающихся уязвимостей в сторонних компонентах (цепочке поставок), одна из главных проблем - полнота сведений в базе данных. В частности речь идет о NIST. Информации о CVE, CVSS и CPE чаще всего недостаточно, чтобы точно идентифицировать, какие компоненты подверглись уязвимости в цепочке поставок. Это же проблема является ключевой в вопросах корреляции SAST/SCA. Более того, мы не обладаем информацией о том, в каких версиях происходит исправления уязвимости. Чтобы решить данную проблему, крупные вендоры (например, Sonatype) ведут собственные фиды.

По этой причине команда Google на базе информации, полученной по итогам работы над OSS-Fuzz, запустила проект Open Source Vulnerabilities (OSV). Это сервис, который использует собственные фиды, чтобы предоставить расширенную информацию об уязвимостях в версии ПО. Про подход "Know, Prevent, Fix",  взятый за основу, они также писали в отдельной статье.

Как работать с сервисом можно прочитать здесь, а на саму базу можно взглянуть по пути list.

Вот, например, OSV-2020-2291. Здесь содержится информация о том, что за уязвимость, какие компоненты также подвержены,  ссылка на репо, коммит, в котором уязвимость была найдена и устранена. Здесь же есть данные о  результатах тестирования с помощью OSS-Fuzz.

#dev #sca

"Domain Driven Design in Golang - Tactical Design" by Damiano Petrungaro
https://www.damianopetrungaro.com/posts/ddd-using-golang-tactical-design/

"Domain Driven Design in Golang - Strategic Design" by Damiano Petrungaro
https://www.damianopetrungaro.com/posts/ddd-using-golang-strategic-design/

Не читал, но тенденцию DDD в Golang поддерживаю.

#DDD

Вертикальное автомасштабирование pod'ов в Kubernetes: полное руководство

Это полное руководство по вертикальному автомасштабированию pod'ов (Vertical Pod Autoscaling, VPA) в Kubernetes. Вот его краткое содержание:

Узнать что было дальше.

Хороший курируемый репозиторий с ссылками на различные материалы, содержащие лучшие практики и примеры из различных компаний, о SRE/DevOps.

http://amp.gs/53sm

Наткнулся на продолжение данной статьи, но как по мне то, что описано тут является анти-патерном и так делать не надо...

И для таких задач например в том же Clickhouse есть представления, которые автоматом обновляются при вставке в родительскую таблицу...

И да, как по мне, очень большое заблуждение полагать что вам при анализе данных всегда нужен ACID (практически всегда это не так)

#postgresql #analitycs #clickhouse

https://m.habr.com/ru/company/tensor/blog/539638/

Очень классная исследовательская работа "Docker image history modification - why you can't trust `docker history`". Общая идея статьи показать, что история образа это всего лишь meatadata, которая также может быть изменена/подделана и не надо ей слепо доверять. И тут опять плавно возвращаемся к supply chain атакам.

Отдельное внимание уделяется инструменту от Google под названием container-diff. А потом демонстрируется (почти пошаговая инструкция) как можно подделать историю и данный инструмент не найдет отличий.

Для корректного подтверждения подлинность образов Docker, которые вы создаете или используете, лучше использовать их подпись (в Docker есть Docker Content Trust (DCT), а в Kubernetes, на пример, Notary в pipeline), а не данную metadata.

Я лично не знаю кто-либо использовал сравнение истории для определения аутентичности образов, но мало ли кто думал в этом направлении...

Разбираемся с not в Python
https://habr.com/ru/post/542474/?utm_campaign=542474&utm_source=habrahabr&utm_medium=rss

В этой статье из серии про синтаксический сахар (https://snarky.ca/tag/syntactic-sugar/) в Python я займусь на первый взгляд очень простым синтаксисом, но на самом деле, чтобы разобраться в механике его работы, нужно погрузиться вглубь на несколько слоев. Мы будем говорить о not.

​У тебя уже есть базовые навыки программирования и ты планируешь дальше развиваться в IT? Попробуй освоить DevOps, познакомься с понятиями Docker, CI и Kubernetes за 3 дня на бесплатном онлайн-интенсиве: 🔜 https://clc.am/hXWtig

Ты научишься:
➕ разбираться в DevOps-инженерии;
➕ собирать контейнер с приложением;
➕ запускать его при помощи Docker-compose;
➕ настраивать непрерывную интеграцию (CI);
➕ работать с сервисом Kubernetes.

🎁 Участники интенсива получат в подарок электронную книгу Кей Петерсон и Дэвида Колба «Век живи — век учись» издательства МИФ, а трое лучших — сертификаты на 30 000 рублей для обучения в онлайн-университете Skillbox!

Появились записи с FOSDEM2021.

http://amp.gs/5wtT

​Что общего между генералом, бригадиром и тимлидом? Все они вращают планету, связывают звенья одной цепи и делают жизнь окружающих легче.

Помнишь, в детстве ты мечтал быть вожаком и лидером, «главарём банды» и представлял, как за тобой пойдут толпы единомышленников? Теперь эти мечты могут стать реальностью благодаря полному и чёткому руководству от онлайн-университета Skillbox. Мы поможем реализовать твои способности лидера и обучим профессии тимлида.

Skillbox научит управлять командой, обучать сотрудников, выстраивать взаимодействие внутри команды и делать всё, чтобы она достигала серьёзных результатов. Команда станет горой за тебя, а начальство не будет медлить с продвижением по карьере.Оплата после обучения!

Обучаться очень удобно: от работы можно не отрываться, а уделять обучению придётся 3-4 часа в неделю, это совсем немного для больших результатов.

📌 Год обучения бесплатно!
📌 Оплата после обучения!
Все подробности по ссылке:  https://clc.am/YHY9CA

В комментариях к каналу люди регулярно спрашивали про итераторы. Записал видео - iterable, iterators вот это все https://www.youtube.com/watch?v=TvFQjT7S3kc