7 тенденций безопасности ПО на 2021 год
Исследователи из компании Checkmarx опубликовали прогнозы о безопасности приложений в текущем году.
🏃♂️ Безопасность будет догонять разработку. Многие стремятся к быстрой и безопасной разработке, но это не всегда получается. В этом году будут популярны инструменты для проверки безопасности приложений, быстро выявляющие уязвимости, в том числе в облачных средах, и позволяющие разработчикам сразу же их исправлять.
🗳 Стоит выбирать проверенные Open-Source-решения. Существующие решения по поиску уязвимостей все еще плохо справляются с намеренно оставленными брешами в ПО. Специалисты рекомендуют использовать известные и зрелые сторонние компоненты и стараться избегать неизвестных новинок.
🛡 Нужно изучать инфраструктуру как код (IaC). В прошлом году многие разработчики из-за спешки использовали IaC без должного обучения. В этом кроются многие проблемы с безопасностью, которые им предстоит решить в 2021 году.
📩 Безопасность будет интегрироваться в разработку. Ускоряющиеся темпы разработки вынуждают программистов уделять меньше внимания безопасности. Чтобы улучшить ситуацию, инструменты безопасности будут интегрироваться сразу же в цепочку разработки.
⛅️ Растет интерес к облачной безопасности. Компании работают над тем, чтобы интегрировать между собой разные инструменты для повышения производительности. Но каждая интеграция повышает уязвимость системы, поэтому в 2021 году ожидается повышенный интерес к облачной безопасности.
🗡 Атаки на уязвимые API. API останутся одним из главных векторов атак. Разработчикам следует внимательнее относиться к вещам вроде контроля доступа, потому что это сложная и важная задача.
🤖 Атаки на старые IoT-устройства. Пользователи не спешат отказываться от старых, но рабочих IoT-устройств. А производители со временем перестают поддерживать их. В старых моделях со временем обнаруживаются уязвимости, которые привлекают злоумышленников.
Подробнее
Исследователи из компании Checkmarx опубликовали прогнозы о безопасности приложений в текущем году.
🏃♂️ Безопасность будет догонять разработку. Многие стремятся к быстрой и безопасной разработке, но это не всегда получается. В этом году будут популярны инструменты для проверки безопасности приложений, быстро выявляющие уязвимости, в том числе в облачных средах, и позволяющие разработчикам сразу же их исправлять.
🗳 Стоит выбирать проверенные Open-Source-решения. Существующие решения по поиску уязвимостей все еще плохо справляются с намеренно оставленными брешами в ПО. Специалисты рекомендуют использовать известные и зрелые сторонние компоненты и стараться избегать неизвестных новинок.
🛡 Нужно изучать инфраструктуру как код (IaC). В прошлом году многие разработчики из-за спешки использовали IaC без должного обучения. В этом кроются многие проблемы с безопасностью, которые им предстоит решить в 2021 году.
📩 Безопасность будет интегрироваться в разработку. Ускоряющиеся темпы разработки вынуждают программистов уделять меньше внимания безопасности. Чтобы улучшить ситуацию, инструменты безопасности будут интегрироваться сразу же в цепочку разработки.
⛅️ Растет интерес к облачной безопасности. Компании работают над тем, чтобы интегрировать между собой разные инструменты для повышения производительности. Но каждая интеграция повышает уязвимость системы, поэтому в 2021 году ожидается повышенный интерес к облачной безопасности.
🗡 Атаки на уязвимые API. API останутся одним из главных векторов атак. Разработчикам следует внимательнее относиться к вещам вроде контроля доступа, потому что это сложная и важная задача.
🤖 Атаки на старые IoT-устройства. Пользователи не спешат отказываться от старых, но рабочих IoT-устройств. А производители со временем перестают поддерживать их. В старых моделях со временем обнаруживаются уязвимости, которые привлекают злоумышленников.
Подробнее
Новый отчет Sysdig 2021: популярные Open Source-технологии и тенденции применения контейнеров
В Sysdig изучили, как и когда компании внедряют проверки безопасности в жизненный цикл разработки, как они используют контейнеры и какие технологии сейчас популярны. Ниже самые интересные цифры:
✅ Более половины компаний используют 250 контейнеров или меньше. Только 4% управляют более чем 5000 контейнеров.
✅ Kubernetes по-прежнему лидирует среди оркестраторов контейнеров: его используют 75% организаций.
✅ 60% компаний разворачивают всего один кластер Kubernetes, в котором содержится от одного до пяти узлов.
✅ Безопасность смещается в сторону разработки: 74% компаний сканируют контейнеры до развертывания.
✅ За последний год в 2 раза выросла популярность таких контейнерных сред как containerd — используют 33% компаний — и CRI-O — используют 17% компаний.
✅ Docker, рост которого в прошлом году составил 79%, в этом году упал до 50%, то есть на 29%.
✅ Prometheus второй год подряд занимает первое место среди систем мониторинга, а для получения оповещений о проблемах треть пользователей выбирают Slack.
✅ Самые популярные Open Source-технологии: nginx, Go и PostgreSQL.
В Sysdig изучили, как и когда компании внедряют проверки безопасности в жизненный цикл разработки, как они используют контейнеры и какие технологии сейчас популярны. Ниже самые интересные цифры:
✅ Более половины компаний используют 250 контейнеров или меньше. Только 4% управляют более чем 5000 контейнеров.
✅ Kubernetes по-прежнему лидирует среди оркестраторов контейнеров: его используют 75% организаций.
✅ 60% компаний разворачивают всего один кластер Kubernetes, в котором содержится от одного до пяти узлов.
✅ Безопасность смещается в сторону разработки: 74% компаний сканируют контейнеры до развертывания.
✅ За последний год в 2 раза выросла популярность таких контейнерных сред как containerd — используют 33% компаний — и CRI-O — используют 17% компаний.
✅ Docker, рост которого в прошлом году составил 79%, в этом году упал до 50%, то есть на 29%.
✅ Prometheus второй год подряд занимает первое место среди систем мониторинга, а для получения оповещений о проблемах треть пользователей выбирают Slack.
✅ Самые популярные Open Source-технологии: nginx, Go и PostgreSQL.
Растет рынок носимых устройств: в 2021 году расходы пользователей на них достигнут 81,5 миллиарда долларов
Такой прогноз опубликовала компания Gartner.
👍 По сравнению с 2020 годом это рост на 18%. Ему способствовало распространение удаленной работы и повышение интереса к здоровью во время пандемии. Активнее всего развивается сегмент наушников и умных часов, потому что люди покупают их для удаленной работы, занятий спортом и отслеживания состояния здоровья.
💍 Также рынок развивается за счет уменьшения размеров датчиков. Это позволяет создавать устройства, которые практически незаметны для пользователей, вроде Oura Ring. Аналитики считают, что к 2024 году таких незаметных устройств будет 10% от всего рынка.
🌡 Также в следующие 3-5 лет рынок носимых устройств будет расти за счет совершенствования точности датчиков.
Источник на английском
Такой прогноз опубликовала компания Gartner.
👍 По сравнению с 2020 годом это рост на 18%. Ему способствовало распространение удаленной работы и повышение интереса к здоровью во время пандемии. Активнее всего развивается сегмент наушников и умных часов, потому что люди покупают их для удаленной работы, занятий спортом и отслеживания состояния здоровья.
💍 Также рынок развивается за счет уменьшения размеров датчиков. Это позволяет создавать устройства, которые практически незаметны для пользователей, вроде Oura Ring. Аналитики считают, что к 2024 году таких незаметных устройств будет 10% от всего рынка.
🌡 Также в следующие 3-5 лет рынок носимых устройств будет расти за счет совершенствования точности датчиков.
Источник на английском
Бесплатный вебинар «Разворачиваем приложение на Apache Spark в Kubernetes. Пошаговый рецепт» от Mail.ru Cloud Solutions
Cовременный DevOps-подход к работе со Spark, связанный с использованием Kubernetes, позволяет решать задачи изоляции рабочих сред, гибкого управления ресурсами и масштабирования. Популярные материалы останавливаются на запуске тестового приложения в K8s. В своем вебинаре мы идем дальше: даже начинающие научатся обрабатывать данные с помощью Spark в облаке.
На вебинаре мы вместе:
— Установим Kubernetes Operator for Apache Spark (Spark Operator);
— Запустим тестовый пример Spark-задачи/приложения;
— Соберем свой Docker-образ со Spark и кастомным приложением;
— Добавим необходимые библиотеки, креды для доступа к S3-хранилищу;
— Научимся читать из S3 и записывать в него.
По итогам вебинара вы получите готовый репозиторий с инструкцией и сможете самостоятельно повторить все действия, которые будут продемонстрированы в рамках вебинара.
👉 Ждем вас в четверг, 4 февраля, онлайн. Начало в 17:00 по Москве.
Регистрируйтесь
Cовременный DevOps-подход к работе со Spark, связанный с использованием Kubernetes, позволяет решать задачи изоляции рабочих сред, гибкого управления ресурсами и масштабирования. Популярные материалы останавливаются на запуске тестового приложения в K8s. В своем вебинаре мы идем дальше: даже начинающие научатся обрабатывать данные с помощью Spark в облаке.
На вебинаре мы вместе:
— Установим Kubernetes Operator for Apache Spark (Spark Operator);
— Запустим тестовый пример Spark-задачи/приложения;
— Соберем свой Docker-образ со Spark и кастомным приложением;
— Добавим необходимые библиотеки, креды для доступа к S3-хранилищу;
— Научимся читать из S3 и записывать в него.
По итогам вебинара вы получите готовый репозиторий с инструкцией и сможете самостоятельно повторить все действия, которые будут продемонстрированы в рамках вебинара.
👉 Ждем вас в четверг, 4 февраля, онлайн. Начало в 17:00 по Москве.
Регистрируйтесь
В 2020 году компании потеряли более двух триллионов долларов из-за ошибок в разработке, старого софта и неудачных проектов
Консорциум по качеству программного обеспечения (CISQ) опубликовал отчет об убытках компаний, связанных с низким качеством программного обеспечения. Хотя речь идет только о США, результаты интересные.
Убытки распределены по трем основным направлениям:
🛠 Сбои в работе, затраты на которые составили 1,56 трлн долларов. В основном это вызвано пандемией, так как компаниям пришлось многое разрабатывать в спешке.
🖥 Старое ПО, из-за которого компании понесли 520 млрд долларов убытков. Во многих организациях используют старый софт, от которого нельзя отказаться в одночасье. Но его нужно поддерживать и интегрировать с новыми системами.
🤷♀️ Неудачные проекты, на которых компании потеряли 260 млрд долларов. Это отмененные или слишком затратные проекты, которые не укладывались в бюджет или сроки.
Согласно отчету, компании будут стремиться к тому, чтобы ускорить создание IT-сервисов и софта, сохраняя при этом качество разработки и соблюдая требования безопасности.
Источник на английском
Консорциум по качеству программного обеспечения (CISQ) опубликовал отчет об убытках компаний, связанных с низким качеством программного обеспечения. Хотя речь идет только о США, результаты интересные.
Убытки распределены по трем основным направлениям:
🛠 Сбои в работе, затраты на которые составили 1,56 трлн долларов. В основном это вызвано пандемией, так как компаниям пришлось многое разрабатывать в спешке.
🖥 Старое ПО, из-за которого компании понесли 520 млрд долларов убытков. Во многих организациях используют старый софт, от которого нельзя отказаться в одночасье. Но его нужно поддерживать и интегрировать с новыми системами.
🤷♀️ Неудачные проекты, на которых компании потеряли 260 млрд долларов. Это отмененные или слишком затратные проекты, которые не укладывались в бюджет или сроки.
Согласно отчету, компании будут стремиться к тому, чтобы ускорить создание IT-сервисов и софта, сохраняя при этом качество разработки и соблюдая требования безопасности.
Источник на английском
На нашей платформе доступны сервисы «Акронис защита данных»
Запартнерились с «Акронис инфозащита» — российским разработчиком ПО для резервного копирования и восстановления данных. Их сервисы обеспечивают восстановление данных в минимальные сроки: можно восстановить образ всей системы, отдельные сервисы, приложения, папки и файлы.
Запартнерились с «Акронис инфозащита» — российским разработчиком ПО для резервного копирования и восстановления данных. Их сервисы обеспечивают восстановление данных в минимальные сроки: можно восстановить образ всей системы, отдельные сервисы, приложения, папки и файлы.
В отделах разработки только и разговоров, что о микросервисах, но на деле технология нужна не всем. В карточках кратко рассказываем, на какие критерии стоит ориентироваться, принимая решение о переходе на микросервисы, почитать подробнее можно по ссылке.
В Mail.ru Cloud Solutions помогли «Тендертех» сократить расходы на администрирование инфраструктуры
«Тендертех» — площадка, которая помогает компаниям получать банковские гарантии для участия в тендерах. Чтобы повысить управляемость и надежность инфраструктуры и подключить автомасштабирование, в компании перешли на Kubernetes как сервис от MCS. В кейсе — что из этого получилось.
«Тендертех» — площадка, которая помогает компаниям получать банковские гарантии для участия в тендерах. Чтобы повысить управляемость и надежность инфраструктуры и подключить автомасштабирование, в компании перешли на Kubernetes как сервис от MCS. В кейсе — что из этого получилось.
mcs.mail.ru
Тендертех: как Kubernetes в облаке помог вырасти финтех-проекту
Как построить надежную инфраструктуру и сократить расходы на ее обслуживание с помощью Kubernetes aaS.
Чек-лист: как начать работу с микросервисами
✅ Определите бизнес-потребности или функции, которым будут соответствовать будущие сервисы. На одну задачу — один микросервис.
✅ Назначьте ответственную команду для каждой бизнес-функции. Каждая команда станет экспертом в конкретной области.
✅ Подберите технологический стек. Набор технологий может отличаться у разных микросервисов, но лучше не использовать в одном приложении более 2-3 языков программирования без серьезных причин.
✅ Проработайте связи между микросервисами. Это важно, поскольку в дальнейшем изменить взаимодействие сервисов будет очень сложно.
✅ Настройте автоматическую сборку и развертывание микросервисов. Используйте конвейеры CI/CD на базе любой доступной системы: Jenkins, TeamCity, Go и так далее.
✅ Предусмотрите обработку сбоев. Существуют различные способы изоляции от сбоев, например, переборка (Bulkhead) и предохранитель (Circuits Breaker).
✅ Используйте мониторинг. Отслеживайте не только технические параметры хостов и время отклика сервисов, но и бизнес-показатели, изменение которых может указывать на сбои.
✅ Придерживайтесь принципа открытого исходного кода, используя системы контроля версий. Подход позволит вносить своевременные изменения в код даже без его автора.
✅ Утвердите стандарты в отношении ведения кода, оформления API, обработки ошибок и придерживайтесь их — это повысит эффективность совместной работы разных команд.
Подробнее
✅ Определите бизнес-потребности или функции, которым будут соответствовать будущие сервисы. На одну задачу — один микросервис.
✅ Назначьте ответственную команду для каждой бизнес-функции. Каждая команда станет экспертом в конкретной области.
✅ Подберите технологический стек. Набор технологий может отличаться у разных микросервисов, но лучше не использовать в одном приложении более 2-3 языков программирования без серьезных причин.
✅ Проработайте связи между микросервисами. Это важно, поскольку в дальнейшем изменить взаимодействие сервисов будет очень сложно.
✅ Настройте автоматическую сборку и развертывание микросервисов. Используйте конвейеры CI/CD на базе любой доступной системы: Jenkins, TeamCity, Go и так далее.
✅ Предусмотрите обработку сбоев. Существуют различные способы изоляции от сбоев, например, переборка (Bulkhead) и предохранитель (Circuits Breaker).
✅ Используйте мониторинг. Отслеживайте не только технические параметры хостов и время отклика сервисов, но и бизнес-показатели, изменение которых может указывать на сбои.
✅ Придерживайтесь принципа открытого исходного кода, используя системы контроля версий. Подход позволит вносить своевременные изменения в код даже без его автора.
✅ Утвердите стандарты в отношении ведения кода, оформления API, обработки ошибок и придерживайтесь их — это повысит эффективность совместной работы разных команд.
Подробнее
Облачные итоги-2020: рост российских облаков продолжается, рынок ждет от провайдеров комплексных услуг и новых сервисов
Независимый эксперт RCCPA подвел итоги состояния облачного рынка на конец 2020 года. Мы увидели несколько интересных тенденций:
⛅️ Российские облачные провайдеры, в том числе Mail.ru Cloud Solutions, выросли за прошедший год и активно внедряют новые сервисы, спрос на которые возник еще в начале года и продолжает расти. Это в частности произошло потому, что в облака активно переносили свои цифровые продукты довольно крупные компании. Они подключали не только IaaS, но и контейнеры, и элементы PaaS.
🏭 Компании-клиенты облачных провайдеров оказались лучше подготовлены к пандемии, а некоторые даже нарастили масштабы бизнеса и соответственно — потребление облачных ресурсов. Это также положительно сказалось на рынке российских облаков.
📉 На рынке классического хостинга наблюдается упадок — спрос на домены вырос, но компании, которые не смогли пережить кризис, перестали платить даже за сайт. Отсюда плачевное состояние тех хостеров, которые специализировались на неэластичной инфраструктуре, доменах и прочих классических хостинговых услугах. Облачные провайдеры, которые гораздо лучше умеют готовить высоконагруженные сценарии и могут оказать клиентам экспертную помощь в DevOps, у них выигрывают.
🏦 Спрос на облака может вырасти в финансовом секторе. Это связано с поправками в Налоговый кодекс, отменяющими льготы по НДС на лицензии иностранного программного обеспечения. Из-за этого любое ПО от глобальных компаний для банков фактически подорожает на 20% — в том числе софт для виртуализации, который они активно используют. Это может сподвигнуть их сменить лицензионные платформы виртуализации на облачные.
☁️ Ожидается, что в 2021 году отрыв лидеров облачного рынка от остальных игроков увеличится. Это связано с тем, что у крупных российских провайдеров больше компетентных специалистов и возможностей предоставить клиентам качественный сервис и техподдержку — это становится все важнее для компаний. При этом рост спроса усилит конкуренцию между провайдерами.
Все облачные итоги ушедшего года и прогнозы на будущий
Независимый эксперт RCCPA подвел итоги состояния облачного рынка на конец 2020 года. Мы увидели несколько интересных тенденций:
⛅️ Российские облачные провайдеры, в том числе Mail.ru Cloud Solutions, выросли за прошедший год и активно внедряют новые сервисы, спрос на которые возник еще в начале года и продолжает расти. Это в частности произошло потому, что в облака активно переносили свои цифровые продукты довольно крупные компании. Они подключали не только IaaS, но и контейнеры, и элементы PaaS.
🏭 Компании-клиенты облачных провайдеров оказались лучше подготовлены к пандемии, а некоторые даже нарастили масштабы бизнеса и соответственно — потребление облачных ресурсов. Это также положительно сказалось на рынке российских облаков.
📉 На рынке классического хостинга наблюдается упадок — спрос на домены вырос, но компании, которые не смогли пережить кризис, перестали платить даже за сайт. Отсюда плачевное состояние тех хостеров, которые специализировались на неэластичной инфраструктуре, доменах и прочих классических хостинговых услугах. Облачные провайдеры, которые гораздо лучше умеют готовить высоконагруженные сценарии и могут оказать клиентам экспертную помощь в DevOps, у них выигрывают.
🏦 Спрос на облака может вырасти в финансовом секторе. Это связано с поправками в Налоговый кодекс, отменяющими льготы по НДС на лицензии иностранного программного обеспечения. Из-за этого любое ПО от глобальных компаний для банков фактически подорожает на 20% — в том числе софт для виртуализации, который они активно используют. Это может сподвигнуть их сменить лицензионные платформы виртуализации на облачные.
☁️ Ожидается, что в 2021 году отрыв лидеров облачного рынка от остальных игроков увеличится. Это связано с тем, что у крупных российских провайдеров больше компетентных специалистов и возможностей предоставить клиентам качественный сервис и техподдержку — это становится все важнее для компаний. При этом рост спроса усилит конкуренцию между провайдерами.
Все облачные итоги ушедшего года и прогнозы на будущий
5 антипаттернов деплоя в Kubernetes
Собрали пять распространенных практик развертывания Kubernetes, для которых есть другие решения.
✅ Размещение файлов конфигурации внутри или рядом с образом Docker. Лучшая практика — хранить конфигурации общего назначения в ConfigMaps, а конфиденциальную информацию (например, ключи и секреты API) — в ресурсе Secrets.
✅ Работа без Helm или других шаблонизаторов. Так вы создаете много возможностей для ошибок. Шаблоны помогают упростить установку приложений Kubernetes и управление ими. Поскольку Kubernetes не предоставляет собственный механизм шаблонов, стоит использовать сторонние шаблонизаторы типа Helm.
✅ Смешивание производственной и непроизводственной нагрузок в одном кластере. Вместо того чтобы смешивать эти нагрузки в одном кластере, используйте отдельные кластеры для разработки/тестирования/продакшен — так вы улучшите изоляцию и повысите безопасность. Вы также должны максимально автоматизировать CI/CD, чтобы снизить вероятность человеческой ошибки.
✅ Развертывание модулей без установленных ограничений на память и/или CPU. Ограничение памяти и CPU для контейнеров в кластере позволяет эффективно использовать ресурсы, доступные на узлах кластера. Это помогает планировщику Kubernetes определить, на каком узле должен располагаться под для наиболее эффективного использования оборудования.
✅ Использование тега latest в продакшене. Использование тега latest считается плохой практикой, особенно в производственной среде. Модули неожиданно аварийно завершают работу по разным причинам, поэтому они могут в любой момент удалить докер-образы.
Еще больше антипаттернов деплоя в Kubernetes — в статье.
Собрали пять распространенных практик развертывания Kubernetes, для которых есть другие решения.
✅ Размещение файлов конфигурации внутри или рядом с образом Docker. Лучшая практика — хранить конфигурации общего назначения в ConfigMaps, а конфиденциальную информацию (например, ключи и секреты API) — в ресурсе Secrets.
✅ Работа без Helm или других шаблонизаторов. Так вы создаете много возможностей для ошибок. Шаблоны помогают упростить установку приложений Kubernetes и управление ими. Поскольку Kubernetes не предоставляет собственный механизм шаблонов, стоит использовать сторонние шаблонизаторы типа Helm.
✅ Смешивание производственной и непроизводственной нагрузок в одном кластере. Вместо того чтобы смешивать эти нагрузки в одном кластере, используйте отдельные кластеры для разработки/тестирования/продакшен — так вы улучшите изоляцию и повысите безопасность. Вы также должны максимально автоматизировать CI/CD, чтобы снизить вероятность человеческой ошибки.
✅ Развертывание модулей без установленных ограничений на память и/или CPU. Ограничение памяти и CPU для контейнеров в кластере позволяет эффективно использовать ресурсы, доступные на узлах кластера. Это помогает планировщику Kubernetes определить, на каком узле должен располагаться под для наиболее эффективного использования оборудования.
✅ Использование тега latest в продакшене. Использование тега latest считается плохой практикой, особенно в производственной среде. Модули неожиданно аварийно завершают работу по разным причинам, поэтому они могут в любой момент удалить докер-образы.
Еще больше антипаттернов деплоя в Kubernetes — в статье.
SRE-инженер или системный администратор: кто нужен вашей компании?
Компании все чаще ищут SRE-инженеров, и требования к ним похожи на те, что предъявляют к системным администраторам. В статье разбираемся, действительно ли SRE-инженер — отдельная профессия или это все тот же админ, но под новым названием.
Компании все чаще ищут SRE-инженеров, и требования к ним похожи на те, что предъявляют к системным администраторам. В статье разбираемся, действительно ли SRE-инженер — отдельная профессия или это все тот же админ, но под новым названием.
mcs.mail.ru
В чем разница между SRE-инженером и системным администратором: ищем отличия | Блог Mail.Ru Cloud Solutions
Расскажем, чем занимается SRE-инженер, что он должен уметь, чем отличается от системного администратора и что меняется в компании, когда в нее приходит SRE-инженер.
В промышленности и энергетике задействовано дорогое и сложное оборудование. Чтобы избежать его поломок и простоев, применяют методы предиктивной аналитики — предсказания различных событий. Примеры использования технологии — в карточках, еще больше кейсов — по ссылке.