📢 YaTalks 2022

YaTalks — в этом году состоится 3 и 4 декабря в режиме онлайн.

Конференция пройдёт в два параллельных потока.
Первый посвящён технологиям:
🔗Frontend
🔗Backend
🔗Mobile
🔗Machine Learning.

Во втором потоке, про жизнь, мы поговорим о людях, создающих эти технологии, и о том, как собирать команды, расти и развиваться.

Детальнее по программе на сайте:
https://yatalks.yandex.ru/ru

​​🎯Цель. Процесс непрерывного улучшения.

Если надоело читать Медиум и Телеграм каналы, кишащие статьями про Кубернетис и хайлоад, то обратите внимание на роман "Цель. Процесс непрерывного улучшения" Элияху Голдратта. Книга больше ориентирована на работу производственных предприятий, но идеи автора вполне применимы и в айтишечки. Буквально с 10-ой главы шестеренки в голове начнут проводить параллели и делать сравнения с вашей деятельностью (как вы там на прод публикуете апликейшены?). В чем-то есть схожесть с книгой "Проект Феникс", но со своей изюминкой и про завод. И следите за линей взаимоотношений Алекса и семьи (Алекс главный герой начальник завода). Купить можно на Я.Маркете или Озоне. Читается очень легко.

И снова "Войти в айти"

Теперь не надо ходить по знакомым айтишникам и просить название книги, которую надо для начала прочитать. Потому что все они (книги) какой-либо прямой ответ не предоставят! А вот эта новая - предоставит.

Автор: Алексей Соцков
Блог: https://medium.com/@alexeyhimself

Покупать здесь: http://intoit.tilda.ws/book (750₽)
Там же можно ознакомиться с содержанием и главной "Где учиться".

Кунг-фу по фильтрации в tcpdump

Наверняка бывали ситуации, когда вам нужно было поискать в сетевом дампе пакеты с определенными свойствами. А дамп вы сняли в лоб, всё что было давай сюда, а потом в Wireshark скармливали.
А он каждый раз перечитывает же файлик, когда ты свою фильтрацию применяешь. Почитав доку сэкономите себе время по анализу сетевых дампов:

https://support.f5.com/csp/article/K2289

Это БАЗА! Что надо сделать после покупки VDS?

Гайд описывает перечень минильных действий, которые необходимо сделать после создания VPS/VDS дабы немного "охладить боль" от перебора паролей SSH на вашем, скорее всего не продакшн сервере. Для серьезных проектов используйте WAF, CDN, Anti-DDoS или комплексные облачные решения (Cloudflare например).

https://telegra.ph/Pro-bezopasnost-VPSVDS-servera-08-14

Snapshots в Cassandra 🛠

Короткий гайд как пользоваться штатным тулингом Кассандры nodetool snapshot. Как делать снапшоты, как восстанавливать и переносить данные. Если только вкатываетесь в C*, будет полезно. И совсем немного — про бэкап.

https://habr.com/ru/companies/digitalleague/articles/730424/

​​Один момент, который вы упускаете при использовании VPN 🙀

Пара расширений для браузера, которые помогут подменить вашу реальную таймзону, локаль и юзерагент. Обязательно включайте их, если пользуетесь зарубежными сервисами с десктопа, подключаясь через VPN. Смена IP-адреса это только половина "маскировки".

Для чего это надо? 🧐

К примеру, у вас получилось завести аккаунт для Chatp GPT (https://chat.openai.com/) и чтобы в будущем ваш аккаунт не забанили, нужно всё-таки "маскироваться" более тчательнее и не выдавать реальных персональный данных от браузера. Чтобы проверить, как и какие данные от вашего браузера видит тот или иной сервис, достаточно перейти на https://vytal.io/scan
Расширения не скрывают IP-адрес!

- Расширение для Chorme - https://vytal.io
- Расширение для Firefox - https://addons.mozilla.org/en-US/firefox/addon/chameleon-ext

🌐 OWASP Kubernetes Top 10

OWASP (Open Web Application Security Project) предоставляет нам список наиболее критических и приоритетных угроз, которые могут возникнуть в среде Kubernetes. Этот список помогает лучше понять, как обеспечить безопасность наших кластеров.

K01: Insecure Workload Configurations
K02: Supply Chain Vulnerabilities
K03: Overly Permissive RBAC Configurations
K04: Lack of Centralized Policy Enforcement
K05: Inadequate Logging and Monitoring
K06: Broken Authentication Mechanisms
K07: Missing Network Segmentation Controls
K08: Secrets Management Failures
K09: Misconfigured Cluster Components
K10: Outdated and Vulnerable Kubernetes Components

https://owasp.org/www-project-kubernetes-top-ten/

🌐 Дайджест Telegram канала «Утечки Информации» за июль и август 2023 года

Под раздачу попали:
- Артек
- Большая перемена
- KDL
- Хеликс
- Подружка
- Литрес
- Астро-Волга

Подробнее: https://dlbi.ru/leak-digest-july2023/

​​🔐 Connection Manager for SSH

Ásbrú Connection Manager - это менеджер удаленных подключений с интерфейсом, где можно водить мышкой по экрану и нажимать кнопки. Позволяет организовать удаленные терминальные сеансы и автоматизировать повторяющиеся рутинные задачи. Умеет интегрироваться с менеджером паролей KeePassXC. Доступен под Debian/Ubuntu, Fedora, Acrh.

Забирать с GitHub: https://github.com/asbru-cm/asbru-cm

P.S. Для староверов:
ssh + .ssh/config для алиасов + tmux для разделения окон/вкладок

Что происходит с наймом в ИТ? По версии компании Технократия

- найм увеличился;
- без Java никуда;
- почему ты еще не аналитик?

📖 Полное исследование: https://technokratos.com/blog/18

​​Потестировать HTTP-запросы

Сервис httpbin.org предназначен для тестирования HTTP-запросов, имея на борту популярные методы. Частенько бывает заказчик не сразу дает свои эндпоинты для интеграции, а дернуть запрос надо (хотя бы примерно, как оно с внешним миро взаимодействовать будет). Заглушку на Wiremock разворачивать за пределами контора как правило лень, тут то и пригодится он.

Все вызовы красиво оформлены разработчиком сервиса через Swagger UI, что сразу располагает подергать/посмотреть чего да как.

Пользуйтесь – https://httpbin.org

🎵Разработчик Максим Чингин выпустил открытый проект Yaamp
Winamp + «Яндекс Музыка»
https://yaamp.ru

• Разработчик Максим Чингин выпустил открытый проект Yaamp, клон Winamp + Яндекс Музыка.

• Приложение доступно для Windows, MacOS и Linux, код написан на JavaScript, лицензия MIT.

• Взаимодействие между Electron и Webamp через ipc, для Linux и Mac удалить или закомментировать Discord интеграцию.

• Проект открыт для любых реквестов, особенно нужна помощь со сборкой под Mac и Linux.

• В программе есть поиск, плейлисты, эквалайзер, классические скины Winamp 2.ХХ и возможность установки кастомных скинов.

• Авторизация через «Яндекс ID», основные функции «Яндекс Музыка»: плейлист, «Моя волна», «Тайник», «Дежавю», «Премьера».

​​Небольшой курс "Безопасность для разработчиков"

Snyk и Инженерная школа Тандон при Нью-Йоркском университете предлагают уроки Snyk Learn для студентов и начинающих разработчиков. Курс "Безопасность для разработчиков" направлен на повышение навыков в области безопасности. Знания в области безопасности становятся все более важными для разработки защищенных приложений и систем.

Ссылка на курс: https://learn.snyk.io/learning-paths/security-for-developers/

DataStax Bulk Loader (DSBulk) балалайка для Cassandra

Инструмент массовой загрузки и выгрузки данных под названием DSBulk от DataStax, помог посчитать колиство строк в таблице кейспейса, потому что классическим селектом этого не сделать. Вот как это делается:
- забираем DSBulk на ноду/VM
- запускаем через команду:
./dsbulk count -k inbox -t messages -h vm-hostname -port 9042 -u username -p password

Запрос отбежал за 4 минуты и выдал 39870555 строк.
Успех!

https://github.com/datastax/dsbulk

Б значит не Безумие, а Безопасность: часть 1

Читать про кибербезопасность, безопасность инфраструктуры и DevSecOps интересно, но еще интереснее (и полезнее) рассматривать эти темы на конкретных примерах.

В рамках серии статей Алексей, DevOps-инженер компании Nixys, делится реальным опытом и в первой части рассказывает про работу над проектом, который пришел с таким ТЗ:

1. Замкнутый контур;

2. Отсутствие CVE во всех используемых продуктах;

3. Контроль безопасности уже имеющейся инфраструктуры;

4. Контроль доступа до среды;

5. Автоматизация процессов.

➡️ Давайте посмотрим, что из этого вышло

Актуализация знаний у себя в черепной коробке

Начитавшись про то, как многие покупают один за одним курсы и вкладываются в себя, я решил, что тоже хочу поучиться, вложится в Bitcoin себя!
Но! Я не стал изучать что-то новое, за много тысяч рублей, а решил просто освежить знания в тех сферах, с которым я сталкиваюсь по работе, но не так часто, как хотелось бы. Взор пал на курс по Git от Яндекс https://practicum.yandex.ru/git-basics/, где прям с самых первых темах и уроках акцентируют внимание на работу с гитом из терминала. Очень доступно написано про HEAD, зачем нужен --amend и когда его нужно применять, как читать git log и git status. В общем и целом это "база", однозначно зашло.

Когда-то давно я "мучал" своих коллег-сотрудников тестами в Moodle, составляя тесты актуализировал свои знания в пассивном режиме. Тут я вижу такую же параллель, что иногда можно потратить время на знакомый материал и вспомнить какое количество символов хеша показывает git log --oneline 🙂
Тем более, когда материал опубликован бесплатно!

P. S. Это не реклама, это просто мысли вслух.

Конференция Яндекса для IT-сообщества — YaTalks 2023

Первый день про технологии, спикеры расскажут о хардовых технологиях и значимых трендах в индустрии без привязки к стекам и конкретным инструментам.

Второ день про жинь, спикеры будут рассказывать про управление в IT и научные явления, которые связаны с индустрией уже сейчас и могут серьёзно изменить мир в будущем.

Регистрация: https://yatalks2023.com/ru