MemOps 😃

Superficial Blamelessness

Для многих организаций та или иная форма отсутствия вины стала более распространенной практикой, и осознание необходимости поиска виновных набирает популярность. Однако я также заметил и антипаттерн, который я называю поверхностным (или неглубоким) отсутствием вины, и я считаю, что людям важно обращать на него внимание.

📌 Подробнее: https://resilienceinsoftware.org/news/11502437

MemOps 🤨

MemOps 😃

Познавательная статья про microVM

В статье затронуты:
— Firecracker от AWS Amazon
— Crosvm от Гугля для ChromeOS
— Virtio, паравиртуализация устройств ввода/вывода
— Cloud Hypervisor
— QEMU
— Lima (хорошо для MacOS, но нет GUI как в OrbStack)
— Kata Containers (их кстати используют в Baidu)

📌 Подробнее: https://emirb.github.io/blog/microvm-2026/

MemOps 🤨

Когда компания увольняет программистов и направляет деньги на ИИ

MemOps 😃

OpenStatus - это open-source альтернатива сервисам вроде Statuspage и Instatus.

Она позволяет создавать страницы статуса для сервисов с интеграцией в мониторинг.

Основные возможности:
- Красивые публичные статус-страницы для ваших проектов.
- Поддержка нескольких проектов и сервисов.
- Интеграция с аптайм-чекерами.
- Уведомления о сбоях и инцидентах.
- Развёртывание можно сделать у себя или использовать готовый хостинг.

📌 Подробнее: https://github.com/openstatusHQ/openstatus

MemOps 🤨

MemOps 😃

k9sight: TUI для работы с Kubernetes

k9sight – open-source проект, представляющий из себя текстовый интерфейс для работы с ресурсами Kubernetes.

Он позволяет:
— Получать информацию о Deployments, StatefulSet, DaemonSet, Job, CronJob и не только
— Просматривать логи pod, осуществлять поиск и фильтрацию
— Делать exec и port-forward
— Перезапускать ресурсы, изменять количество реплик
— Получать информацию об events, метриках и не только

А также Vim-style навигация. Подробности в GitHub-репозитории проекта, там же демонстрация его возможностей.

📌 Подробнее: https://github.com/doganarif/k9sight

MemOps 🤨

MemOps 😃

RBAC в Kubernetes часто становится последней линией защиты между скомпрометированным workload и полным захватом кластера. В докладе “RBAC Atlas: Mapping Real-World Kubernetes Permissions and Exposing Risky Projects” разбирается, насколько опасными могут быть избыточные permissions в популярных Kubernetes проектах.

Автор представил RBAC Atlas — каталог identities и overly permissive RBAC политик, найденных в реальных open source проектах. Доклад хорошо показывает, как даже небольшие ошибки в настройке прав доступа могут привести к повышению привилегий и компрометации всего кластера.

📌 Подробнее: https://rbac-atlas.github.io/

MemOps 🤨

Unused — CLI-инструмент, экспортер для Prometheus и модуль на Go для перечисления неиспользуемых дисков во всех облачных провайдерах

Этот репозиторий содержит библиотеку на Go для поиска ваших неиспользуемых постоянных дисков у разных облачных провайдеров, а также бинарные файлы для отображения этой информации в CLI или экспорта метрик для Prometheus.

В Grafana Labs мы размещаем рабочие нагрузки у разных облачных провайдеров. Оркестрация рабочих нагрузок управляется Kubernetes, и мы обнаружили, что из-за некоторых ошибок в конфигурации системы хранения у нас накапливалось множество неиспользуемых ресурсов, особенно постоянных дисков. Эти утечки ресурсов стоят денег, и, поскольку эти ресурсы больше не используются, это приводит к финансовым потерям. Эта библиотека и сопутствующие инструменты помогут вам определить такие ресурсы и очистить их.

📌 Подробнее: https://github.com/grafana/unused

MemOps 🤨

MemOps 😃

eraser — помогает администраторам Kubernetes удалить список неработающих образов со всех узлов Kubernetes в кластере.

📌 Подробнее: https://github.com/eraser-dev/eraser

MemOps 🤨

MemOps 😃

Доклад “Sandboxes, Seccomp, and Syscalls: Chasing Isolation in Kubernetes” от Mark Manning посвящён одной из самых сложных тем в Kubernetes — изоляции контейнеров и реальной безопасности sandbox-окружений.

Автор подробно разбирает, почему контейнеры сами по себе не являются полноценной границей безопасности, какие ограничения есть у seccomp и где проходит граница между виртуализацией и изоляцией. Особенно интересно, что в докладе рассматриваются не только способы защиты workload’ов, но и реальные сценарии обхода sandbox-механизмов.

Доклад будет полезен всем, кто работает с multi-tenant Kubernetes-кластерами и хочет лучше понимать риски container isolation.

📌 Подробнее: https://www.youtube.com/watch?v=AKimmv-OYgE

MemOps 🤨

Kubesplaining — CLI-инструмент для анализа безопасности Kubernetes, написанный на Go. Он позиционируется как «Cloudsplaining для Kubernetes».

В отличие от большинства сканеров (Kubescape, Trivy, Polaris), которые ищут отдельные misconfigurations, данный инструмент строит граф privilege escalation и показывает реальные многошаговые цепочки атаки от любого непривилегированного субъекта до критических:
- cluster-admin / system:masters
- node-escape (привилегированные поды + hostPath)
- доступ к секретам в kube-system

Он использует BFS поиск по RBAC + состоянию подов и выдаёт полную цепочку с объяснениями, evidence и remediation.

Ключевые возможности:
- Модули (всего ~45 правил): RBAC (wildcard, impersonation, bind/escalate и т.д.), Pod Security, NetworkPolicy, Admission Webhooks, Secrets, ServiceAccounts, Least-Privilege (на основе audit logs).
- Поддержка живого кластера, snapshot (JSON) и отдельных манифестов.
- Отличные отчёты: интерактивный HTML, JSON, CSV, SARIF (для GitHub Code Scanning).
- CI-friendly: --baseline, --ci-mode, delta-анализ.
- Полностью offline-анализ после скачивания snapshot'а.
- Хорошая документация, примеры remediation (kubectl patch, Kyverno/Gatekeeper).

Здесь можно посмотреть демо отчет.

📌 Подробнее: https://github.com/eraser-dev/eraser

MemOps 🤨