Kubesplaining — CLI-инструмент для анализа безопасности Kubernetes, написанный на Go. Он позиционируется как «Cloudsplaining для Kubernetes».
В отличие от большинства сканеров (Kubescape, Trivy, Polaris), которые ищут отдельные misconfigurations, данный инструмент строит граф privilege escalation и показывает реальные многошаговые цепочки атаки от любого непривилегированного субъекта до критических:
- cluster-admin / system:masters
- node-escape (привилегированные поды + hostPath)
- доступ к секретам в kube-system
Он использует BFS поиск по RBAC + состоянию подов и выдаёт полную цепочку с объяснениями, evidence и remediation.
Ключевые возможности:
- Модули (всего ~45 правил): RBAC (wildcard, impersonation, bind/escalate и т.д.), Pod Security, NetworkPolicy, Admission Webhooks, Secrets, ServiceAccounts, Least-Privilege (на основе audit logs).
- Поддержка живого кластера, snapshot (JSON) и отдельных манифестов.
- Отличные отчёты: интерактивный HTML, JSON, CSV, SARIF (для GitHub Code Scanning).
- CI-friendly: --baseline, --ci-mode, delta-анализ.
- Полностью offline-анализ после скачивания snapshot'а.
- Хорошая документация, примеры remediation (kubectl patch, Kyverno/Gatekeeper).
Здесь можно посмотреть демо отчет.
📌 Подробнее: https://github.com/eraser-dev/eraser
MemOps🤨
В отличие от большинства сканеров (Kubescape, Trivy, Polaris), которые ищут отдельные misconfigurations, данный инструмент строит граф privilege escalation и показывает реальные многошаговые цепочки атаки от любого непривилегированного субъекта до критических:
- cluster-admin / system:masters
- node-escape (привилегированные поды + hostPath)
- доступ к секретам в kube-system
Он использует BFS поиск по RBAC + состоянию подов и выдаёт полную цепочку с объяснениями, evidence и remediation.
Ключевые возможности:
- Модули (всего ~45 правил): RBAC (wildcard, impersonation, bind/escalate и т.д.), Pod Security, NetworkPolicy, Admission Webhooks, Secrets, ServiceAccounts, Least-Privilege (на основе audit logs).
- Поддержка живого кластера, snapshot (JSON) и отдельных манифестов.
- Отличные отчёты: интерактивный HTML, JSON, CSV, SARIF (для GitHub Code Scanning).
- CI-friendly: --baseline, --ci-mode, delta-анализ.
- Полностью offline-анализ после скачивания snapshot'а.
- Хорошая документация, примеры remediation (kubectl patch, Kyverno/Gatekeeper).
Здесь можно посмотреть демо отчет.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0hardik1/kubesplaining: Kubernetes security assessment CLI: RBAC, pod-escape, and privilege-escalation path analysis.…
Kubernetes security assessment CLI: RBAC, pod-escape, and privilege-escalation path analysis. Cloudsplaining for Kubernetes. - 0hardik1/kubesplaining
👍2
sig-storage-local-static-provisioner - это официальный проект из экосистемы Kubernetes, который автоматизирует работу с локальными дисками как с PersistentVolume.
Он сканирует ноды, находит локальные директории или блочные устройства и автоматически создает для них PersistentVolume ресурсы. Такой подход полезен, когда нужно:
- использовать быстрые локальные SSD для подов;
- минимизировать задержки по сравнению с сетевым хранилищем;
- избежать ручного управления PV.
Поддерживаются как файловые директории, так и raw-блоки. Также есть механизмы очистки после удаления PVC (wipefs, shred, rm).
Это решение активно применяют в продакшене для stateful-нагрузок, где важна производительность — например, для баз данных или кешей.
📌 Подробнее: https://github.com/kubernetes-sigs/sig-storage-local-static-provisioner
MemOps🤨
Он сканирует ноды, находит локальные директории или блочные устройства и автоматически создает для них PersistentVolume ресурсы. Такой подход полезен, когда нужно:
- использовать быстрые локальные SSD для подов;
- минимизировать задержки по сравнению с сетевым хранилищем;
- избежать ручного управления PV.
Поддерживаются как файловые директории, так и raw-блоки. Также есть механизмы очистки после удаления PVC (wipefs, shred, rm).
Это решение активно применяют в продакшене для stateful-нагрузок, где важна производительность — например, для баз данных или кешей.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - kubernetes-sigs/sig-storage-local-static-provisioner: Static provisioner of local volumes
Static provisioner of local volumes. Contribute to kubernetes-sigs/sig-storage-local-static-provisioner development by creating an account on GitHub.
boring — простой менеджер SSH-туннелей. Управляется из командной строки.
📌 Подробнее: https://github.com/alebeck/boring
MemOps🤨
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - alebeck/boring: The `boring` SSH tunnel manager
The `boring` SSH tunnel manager. Contribute to alebeck/boring development by creating an account on GitHub.
❤1
pinger — комплексный инструмент для тестирования производительности DNS, который проверяет более 60 общедоступных DNS-серверов, чтобы найти самый быстрый и надежный DNS-резолвер для вашей сети.Возможности:
— тестирует более 60 DNS-серверов, включая Google, Cloudflare, Quad9, OpenDNS, AdGuard и многие другие.
- многократные итерации тестирования: выполняет 5 тестов на каждом сервере, используя различные популярные домены.
- анализ корреляции DNS-Ping: измеряет как время выполнения DNS-запроса, так и задержку сети.
— интеллектуальная система оценки: взвешенная оценка (70% DNS, 30% ping) для оптимального выбора сервера.
— цветовая кодировка результатов: визуальные индикаторы производительности (зеленый = отлично, желтый = хорошо, красный = медленно).
— рекомендации по настройке: Предоставляет готовые к использованию варианты основного и дополнительного DNS-сервера.
MemOps
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Panchajanya1999/pingerr: Find the most optimal DNS server for your router/machine
Find the most optimal DNS server for your router/machine - Panchajanya1999/pingerr
👍1