🧣 Топ-вакансий для девопсов за неделю

Senior devops engineer — гибрид в Москве

DevOps инженер — до 400 000 ₽, удалёнка

DevOps engineer — удалёнка

➡️ Еще больше топовых вакансий — в нашем канале Devops Jobs

🐸Библиотека devops'a

#вакансия_недели

⭐️ Быстрый поиск по файлам

krep — это консольная утилита для поиска строк, написанная на C. Альтернатива grep и ripgrep, заточенная под максимальную скорость через SIMD-инструкции и многопоточность.

Вышла версия 2.0.0. Что изменилось:

• Переработан путь выполнения в search_file: добавлен быстрый однопоточный режим для небольших файлов и снижены накладные расходы при использовании пула потоков. Меньше оверхеда — выше скорость на реальных данных.

• Добавлен воспроизводимый скрипт сравнения с ripgrep — test/benchmark_krep_vs_rg.sh. Теперь можно самостоятельно проверить, кто быстрее, на стандартном датасете субтитров весом ~1 ГБ.

• Расширено покрытие: добавлены тесты консистентности при многопоточном поиске и интеграционные тесты рекурсивного обхода директорий.

• Сборка и тесты теперь проходят на Ubuntu и macOS. Включены юнит-тесты и директорийные интеграционные тесты.

• Исправлена ошибка рекурсивного обхода — теперь корректно пропускаются минифицированные файлы (*.min.*).

Проверить на собственном железе:

curl -LO 'https://burntsushi.net/stuff/subtitles2016-sample.en.gz'
gzip -dk subtitles2016-sample.en.gz
make bench-rg

➡️ Release Notes

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

💿 Живучие данные

Компания списывала старые диски. IT-специалист просверлил одно отверстие в центре корпуса — стандартная практика для физического уничтожения данных перед утилизацией.

Диск оказался на вторичном рынке. Новый владелец обнаружил, что он прекрасно работает — и данные компании никуда не делись.

Что не так?

Сотрудник просверлил корпус SSD, но современные диски могут использовать короткие платы, а пластик остаётся для сохранения формата диска. В итоге сотрудник промахнулся.

Одной дырки недостаточно. Нужно либо вскрыть корпус и убедиться, что попал в чипы NAND, либо сделать несколько отверстий в разных местах. Tom's Hardware Ещё надёжнее — сначала сделать secure erase, и только потом физически уничтожать. Для крупных компаний с сотнями дисков существуют специализированные сервисы и устройства — шредеры для накопителей.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#разбор_полётов

🔄 KDE Plasma 6.6

Вышла новая версия рабочего окружения KDE Plasma.

Из заметного: сохранение оформления как глобальной темы с ночным режимом, подключение к Wi-Fi по QR-коду через камеру, регулировка громкости колёсиком из панели задач.

Новый фильтр для дальтоников, лупа теперь держит курсор в центре экрана, поддержка «медленных клавиш» в Wayland. Spectacle теперь распознаёт текст на скриншотах.

➡️ Источник

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пульс_индустрии

🧑‍💻 Управление сессиями в systemd

loginctl — утилита из состава systemd-logind для управления пользовательскими сессиями, пользователями и физическими рабочими местами прямо из терминала.

Просмотр сессий:

loginctl list-sessions

Показывает все активные сессии: ID, UID, пользователь, seat, TTY. Если в TTY видите pts/0 — это SSH, tty2 — виртуальный терминал.

Детали конкретной сессии:

loginctl show-session 3
loginctl session-status 3

show-session — машиночитаемый вывод свойств. session-status — читаемый статус + cgroup-дерево процессов.

Работа с пользователями

loginctl list-users
loginctl user-status alice
loginctl show-user alice

Завершение сессий

# Завершить одну сессию
loginctl terminate-session 5

# Завершить все сессии пользователя
loginctl terminate-user bob

# Жёстко убить все процессы сессии
loginctl kill-session 5 -s SIGKILL

# Заблокировать / разблокировать экран
loginctl lock-session 3
loginctl unlock-session 3

terminate завершает корректно через logind. kill -s SIGKILL — крайняя мера, убивает всё без разбора.

По умолчанию пользовательские systemd --user сервисы умирают, когда пользователь выходит из системы. Linger это отключает:

loginctl enable-linger alice
loginctl disable-linger alice

# Проверить
loginctl show-user alice | grep Linger

Это для ботов, воркеров и сервисов на серверах, где пользователь заходит редко, но процесс должен жить постоянно. Небольшой, но ёмкий инструмент.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

❓ Тройной вопрос на собеседовании

На собеседовании могут поймать на мелочах, а ещё спрашивать эти мелочи друг за другом. Предлагаем подготовиться сразу по трём вопросам:

1. COPY vs ADD — вроде просто
2. ARG vs ENV — где грань между билдом и рантаймом
3. Как реально уменьшить размер образа

Выдохните и дайте ответ, а затем сверяйтесь с нашим.

➡️ Ответы: в канале с ответами за собесы

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#задача_со_звёздочкой

🙂 Гендерный разрыв в зарплате

Женщины в IT получают 99 тыс. руб., мужчины — 156 тыс. Разрыв в 40% выглядит как приговор системы. Но всё сложнее.

Декрет, синдром самозванца, выбор специализации — или всё-таки предвзятость и стеклянный потолок?

➡️ Разбираем весь путь от студенчества до кресла CTO

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

🪟 Утилита для прокачки системного трея Windows

Вышла третья версия Trayy — небольшого приложения для Windows, которое превращает системный трей в полноценный инструмент управления рабочим пространством.

Главная идея проекта — убрать лишнее с рабочего стола: приложения, ярлыки и PWA-сервисы сворачиваются в трей и запускаются одним кликом. Поддерживаются уведомления, настройка иконок и управление многооконными процессами.

В обновлении 3.0 логика захвата окон полностью перенесена в фоновый процесс.Добавлено кэширование, ускоряющее запуск, и улучшена автоматическая настройка кнопок управления в графическом режиме.

Ещё одно заметное нововведение — поддержка регулярных выражений в списке приложений: теперь заголовки окон можно сопоставлять точнее с помощью префикса regex: и синтаксиса ECMAScript.

➡️ Репозиторий

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

😎 Обновления и новости недели

Собрали все релизы за неделю и щепотку материалов.

— man-pages 6.17

— Vim 9.2

— Linux заблокировали

— krep 2.0.0

— KDE Plasma 6.6

— Гендерный разрыв в зарплате

— Trayy 3.0

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#дайджест_недели

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#пятничный_деплой

💳 1000+ проверок безопасности IaC до того, как код ушёл в прод

Checkov — статический анализатор IaC и SCA-инструмент. Он читает файлы конфигурации и проверяет их по базе из более 1000 встроенных политик безопасности для AWS, Azure и GCP.

Checkov проверяет это на этапе сборки, до того как что-то уедет куда не надо.

SCA-сканирование: ищет CVE в open source пакетах и образах контейнеров.

Обнаружение секретов: находит AWS credentials, API-ключи и другие секреты в Userdata, переменных окружения и конфигах — через регулярки, ключевые слова и анализ энтропии.

Граф-based сканирование: понимает зависимости между ресурсами, не только отдельные блоки.

Вывод результатов: CLI, JSON, JUnit XML, SARIF, CSV, CycloneDX — выбирайте под свой CI.

➡️ Репозиторий

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

📎 Мониторинг Kubernetes прямо из Python

Когда кластер растёт, следить за состоянием подов вручную через kubectl становится неудобно.

Минимальный скрипт для получения статуса всех подов во всех неймспейсах выглядит так:

from kubernetes import client, config

def check_kubernetes_status():
    config.load_kube_config()  # Загружаем конфиг из ~/.kube/config
    v1 = client.CoreV1Api()
    pods = v1.list_pod_for_all_namespaces(watch=False)

    for pod in pods.items:
        print(f"Pod: {pod.metadata.name}, Status: {pod.status.phase}")

if __name__ == "__main__":
    check_kubernetes_status()

config.load_kube_config() подхватывает конфиг из ~/.kube/config — тот же, что использует kubectl. Если скрипт запускается внутри кластера, замените на config.load_incluster_config().
list_pod_for_all_namespaces() возвращает все поды сразу. Хотите фильтровать по неймспейсу — используйте list_namespaced_pod(namespace="your-namespace").

Хорошая отправная точка для собственного инструмента мониторинга без лишних зависимостей.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

⚠️ Почему сервер тормозит под нагрузкой

Если во время бэкапа или тяжёлых запросов к БД сервер резко замедляется — скорее всего, дело в I/O wait. Процессы простаивают в ожидании диска, пока ресурс занят.

Как диагностировать:

iostat -x 1 5 — смотрим колонку %wa. Значение выше 20% — тревожный сигнал.

iotop — покажет конкретные процессы, которые грузят диск прямо сейчас.

strace -p PID — поможет выявить зацикленные системные вызовы у подозрительного процесса.

Как лечить:

Снизить агрессивность записи грязных страниц в памяти:

echo 1000 > /proc/sys/vm/dirty_expire_centisecs

Расставить приоритеты для процессов через ionice — например, понизить приоритет бэкапа, чтобы не мешал продакшну.

Если проблема системная — переход на SSD кардинально меняет ситуацию.

Оптимизировать сами приложения: лишние запросы к диску, неиндексированные таблицы, запись без буферизации — всё это бьёт по I/O.

Главное правило: сначала измерить, потом лечить. iostat и iotop дадут полную картину за пару минут.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

🐳 Локальный AI-агент без облака и утечек ключей

Docker Sandboxes — новый примитив в экосистеме Docker: изолированные микро-ВМ для запуска AI-агентов. Сеть проксируется, доступ к произвольным хостам блокируется, а API-ключи инжектируются через прокси — агент их вообще не видит и не может слить.

Запускаем OpenClaw на локальной модели через Docker Model Runner. Без API-ключей, без облака, полностью приватно.

Быстрый старт — буквально 2 команды:

# Тянем модель
docker model pull ai/gpt-oss:20B-UD-Q4_K_XL

# Создаём sandbox
docker sandbox create --name openclaw -t olegselajev241/openclaw-dmr:latest shell .
docker sandbox network proxy openclaw --allow-host localhost
docker sandbox run openclaw

# Внутри sandbox
~/start-openclaw.sh

Облачные модели тоже работают. Если в окружении хоста есть ANTHROPIC_API_KEY или OPENAI_API_KEY — прокси сам их подставит. Ключи внутрь sandbox не попадают.

➡️ Блог Docker

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера

👨‍💻 Своя таблица kubectl за 30 секунд

Стандартный kubectl get pods не показывает образы. kubectl get pods -o wide показывает, но вместе с кучей колонок, которые сейчас не нужны.

Есть способ лучше:

kubectl get pods -o custom-columns='NAME:.metadata.name,IMAGE:.spec.containers[*].image'

Флаг -o custom-columns позволяет собрать таблицу из любых полей манифеста. Формат простой: ЗАГОЛОВОК:jsonpath. Точка — это корень объекта, дальше обычный путь по структуре.

[*] в пути — итерация по всем контейнерам в поде, включая sidecar-ы. Если их несколько, образы выведутся через запятую в одной ячейке.

Можно расширить под себя — например, добавить namespace и статус:

kubectl get pods -A -o custom-columns='NAMESPACE:.metadata.namespace,NAME:.metadata.name,IMAGE:.spec.containers[*].image,STATUS:.status.phase'

Работает с любыми ресурсами, не только с подами. Те же кастомные колонки применимы к деплойментам, нодам, сервисам — везде, где есть YAML-манифест.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#root_prompt

🧑‍💻 Генерация комплаенс-отчётов: аудит shell-доступа

Простой скрипт для аудита — кто из пользователей системы имеет доступ к bash. Полезно как отправная точка для комплаенс-проверок.

import subprocess

def check_security_policies():
    report = []

    # Безопаснее subprocess, чем os.popen
    result = subprocess.run(["cat", "/etc/passwd"], capture_output=True, text=True)
    users = result.stdout.strip().split("\n")

    for user in users:
        if "/bin/bash" in user:
            username = user.split(":")[0]
            report.append(f"User with shell access: {username}")

    with open("compliance_report.txt", "w") as f:
        f.write("\n".join(report))

    print(f"Compliance report generated. Found {len(report)} users with shell access.")

if __name__ == "__main__":
    check_security_policies()

Что делает скрипт: читает /etc/passwd и находит всех пользователей, у которых в качестве shell прописан /bin/bash. Результат пишет в файл.

Как улучшить: добавить проверку пустых паролей через /etc/shadow, сервисных аккаунтов с UID < 1000, или прикрутить вывод в JSON для интеграции с SIEM.

На реальных проектах для этого используют библиотеки типа pwd — она читает /etc/passwd нативно, без системных вызовов.

📍 Навигация: Вакансии • Задачи • Собесы

🐸 Библиотека devops'a

#арсенал_инженера