OpenVEX в CI/CD: как перестать бороться с ложными CVE и научить Trivy понимать контекст
Представьте: вы пытаетесь объяснить иностранцу, почему красный сигнал светофора не всегда означает «стоять», иногда это — «можно ехать, если ты — скорая помощь». Примерно так до недавнего времени выглядело наше общение с Trivy. Сканер находил уязвимости, DefectDojo их послушно складировал. А мы...
Может ли Service сломать ваш K8s кластер?
Привет, Хабр! Меня зовут Михаил, я backend-разработчик в команде Managed Kubernetes в VK Cloud. При работе с K8s всем нам приходится сталкиваться с множеством конфигураций, которые мы используем постоянно, и Service не является исключением. И вот тут мне стало любопытно: а может ли с виду...
Спросите эксперта: всё о безопасности контейнеров и DevSecOps
Привет, Хабр! Контейнеризация уже давно стала стандартом де-факто для современной разработки. Но вместе со скоростью и гибкостью Kubernetes и Docker принесли и новые головные боли для команд безопасности. Как защитить то, что живет всего несколько часов? Как внедрить DevSecOps и не свести с ума...
Контроль целостности трёх «К» в Kubernetes: как не доставить в прод вредоносный код
Между сборкой контейнера в CI и его запуском на узле есть длинная цепочка, в которой злоумышленники могут что-то подменить. Образ в registry, слои на диске, конфигурация в etcd, бинарники рантайма — каждый участок требует своей защиты. Рассказываем, как мы реализовали сквозной контроль целостности...
Best Practices по Dockerfile: от базового образа и кеша до SBOM, Cosign и CI/CD
Статья получилась большой: практик много, и каждая из них важна по-своему. Я собрал её как набор best practices: не все пункты нужны каждому проекту, но почти каждый пункт однажды всплывает на ревью, в CI или после неприятного инцидента. Я старался писать для разных грейдов: от базовых ошибок вроде...
[Перевод] Cilium и защита CI/CD: как опенсорс-проект уровня ядра Kubernetes защищает свою цепочку поставок
Cilium работает в сетевом пути уровня ядра в миллионах Kubernetes-pod'ов: от облачных провайдеров до собственных кластеров банков и телекомов. Если бы кто-то скомпрометировал сборочный пайплайн Cilium, зона поражения была бы сопоставима с инцидентом SolarWinds, но в облачно-нативной...
Kubernetes-аудит после Wiz и Prisma: как живут без CNAPP в 2026
В 2022–2024 западные CNAPP-платформы — Wiz, Prisma Cloud, Lacework — закрыли доступ для российских компаний. Сбер и Яндекс собрали свой стек на коленке, а вот у банков второго эшелона и финтеха с командой ИБ из 1-3 человек стало больно: Kubernetes в проде, аудит ФСТЭК через три месяца, а показать...
Как Runtime Radar помогает обнаруживать атаки на цепочку поставок: кейс LiteLLM
Всем привет! Это Сергей Зюкин, разработчик экспертизы runtime-radar — опенсорсного продукта, обеспечивающего безопасность контейнерной среды выполнения. Я подготовил для вас статью, в которой расскажу, как можно обнаружить инфостилер, встроенный в библиотеку LiteLLM в результате ее недавней...
Как мы поймали drift в Kubernetes и зачем после этого перешли на GitOps
История инцидента в продакшене: после планового релиза новая версия сервиса не поднялась, а откат на предыдущую версию тоже не помог. Причина оказалась не в коде, а в расхождении между тем, что было описано в Git, и тем, что реально жило в Kubernetes. Ручная правка ConfigMap несколько месяцев...
Разработка под Kubernetes: локально всё работает, в проде — нет. Кейс с Tetragon и eBPF
Локально всё работает идеально: политики ловят нарушения, логи пишутся, система стабильна. В проде Kubernetes-кластера — теряются события, появляются дубли, а дедупликация ломается от одного скрипта. Разбираю реальные проблемы, с которыми мы столкнулись при интеграции Tetragon и eBPF в реальный ИБ...
Keycloak как OIDC-провайдер для Kubernetes: наводим порядок с доступами
В какой-то момент почти в каждом Kubernetes-кластере наступает день, когда kubeconfig с правами cluster-admin перестаёт быть временным решением и внезапно становится: так исторически сложилось. Пользователей становится больше, доступы плодятся, а вопрос: кто и зачем может удалить namespace в проде?...
[Перевод] Non-Human Identities и будущее кибербезопасности
Возьмём типичную IT-компанию со штатом в 100 человек. Как думаете, сколько учётных записей существует в их облачной инфраструктуре? 150? 200? В действительности — около 2000. И самое удивительное, что только десятая часть из них принадлежит реальным людям. Остальные — это боты, сервисные аккаунты,...
Трактор без тракториста: почему разработка не упрощается при наличии современных инструментов
Привет, Хабр! Продолжаю делиться дискуссиями из нашего телеграм-канала Dev Q&A. На этот раз собрались поговорить о том, почему при всём богатстве инструментов — Kubernetes, CI/CD, low-code, AI-ассистенты — разработка не становится ни быстрее, ни дешевле. Собрал ключевые мысли в статью. Получилось...
Инструкция по настройке Удостоверяющего Центра (CA) на базе HashiCorp Vault и OpenSSL в Kubernetes
Эта инструкция представляет собой полное руководство по развертыванию отказоустойчивого кластера HashiCorp Vault в Kubernetes и настройке двухуровневой Public Key Infrastructure (PKI). Корневой сертификат и промежуточный CA создаются через OpenSSL, но промежуточный импортируется и настраивается в...
Tetragon: лучшие практики и нюансы разработки Tracing Policy
Привет! Меня зовут Виталий Шишкин, я эксперт продукта Container Security в Positive Technologies. За годы работы над продуктом MaxPatrol 10 мы строили аудит Linux на базе подсистемы Auditd, которая решала свою задачу и достаточно просто настраивалась, но ситуация поменялась с появлением...
Kubernetes с поддержкой confidential containers (CoCo). Хакеры и облачные провайдеры останутся ни с чем
Kubernetes, который нельзя взломать. Знакомьтесь с Confidential Containers - технология, которая скрывает ваши контейнеры ото всех. В посте мы разберем: 1. Секреты архитектуры невидимых подов 2. Волшебство аппаратного шифрования (TEE) на практике 3. Kata Containers как ключ к конфиденциальности 4....
Обновления в S3, поддержка прерываемых ВМ в Managed Kubernetes и другие октябрьские апдейты Selectel
В этом насыщенном октябре команда Selectel добавила новый пул S3 в регионе СПб, интегрировала Karpenter с Managed Kubernetes, реализовала аттестованные ВМ под ключ и успела выполнить множество других важных задач. А еще мы провели флагманскую конференцию Selectel Tech Day и рассказали, как...
[Перевод] Неожиданная находка в Kubernetes: постквантовая криптография в кластерах
Развитие квантовых компьютеров ставит под угрозу классическую криптографию: потенциально они смогут взломать существующие алгоритмы шифрования вроде RSA и ECC. На выручку приходит постквантовая криптография (PQC). Автор статьи объясняет, как обстоят дела с PQC в TLS, что это значит для Kubernetes —...
Назад