DevOpsFort

Почему в стартапе важна скорость выпуска продукта Введение Стартапы и их влияние на современную экономику сложно переоценить. Стартапы способствуют иннвовациям и технологическому прогрессу, вносят значительный вклад в развитие технологий, стимулируют существующие компании к инновациям. Мне удалось успешно поработать в нескольких стартапах. Быть может ты мечтаешь сделать свой стартап или поработать в стартапе, а может быть ты уже это делаешь – строишь стартап и процессы в нем. Постараюсь помочь т...

Защитите своё облако: сократите CVE-уязвимости и повысьте безопасность Использование облачных сервисов (например, Yandex Cloud или Selectel) открывает перед компаниями и стартапами широкие возможности. Однако часто безопасность решений остаётся без должного внимания. Сторонние OCI-образы (например, из Docker Hub) могут содержать уязвимости, которые не исследуются и не устраняются своевременно. Какой масштаб проблемы? 1. 1 млрд уязвимых зависимостей загружается за месяц 2. в 7 раз увеличивается к...

Список событий на следущую неделю с 29 апреля от ДевОпсФорт: 🍒 05 мая пройдет выставка в формате онлайн. Тема: "Город 2025' Ссылка: https://expocity-vl.ru/ 🍋 29 апреля пройдет бизнес-завтрак в Санкт-Петербурге. Тема: "Технологии для бизнеса: как повысить эффективность и снизить риски' Ссылка: https://events.dp.ru/dz_it 🍐 29 апреля пройдет вебинар в формате онлайн. Тема: "Будущее контакт-центров: ключевые тренды и инновации для клиентского сервиса нового уровня' Ссылка: https://webim.ru/vebina...

Рекомендации для бизнеса в условиях возможного дефицита вычислительных ресурсов Статья в Forbes «Железная нехватка: сможет ли Россия преодолеть кризис дефицита дата-центров» поднимает важную проблему, которая может оказать значительное влияние на бизнес в России. Дефицит дата-центров и других IT-ресурсов может привести к повышению цен, снижению качества услуг и даже к сбоям в работе систем. В этой статье мы рассмотрим рекомендации для бизнеса, которые помогут минимизировать риски и адаптироватьс...

Мой опыт работы в стартапах и больших компаниях: что я понял и куда теперь иду Введение Всем привет, меня зовут Женя и это пост про мой опыт, который начался в далеком 2014 году. DevOps и взаимодействие программных систем в этот момент только набирала обороты, и я решил бросить свой выбор сюда. Сейчас я понимаю, что это было очень правильным решением. В результате я успешно участвовал в нескольких стартапах и крупных банках, помог развиваться им и достигнуть стабильности и продуктивности. Мой оп...

Насколько FinOps может сократить ваши расходы на инфраструктуру? В современном мире, где цифровые технологии становятся неотъемлемой частью бизнеса, компании сталкиваются с необходимостью оптимизации своих расходов на инфраструктуру. Одним из подходов, который может помочь в этом, является FinOps — методология, объединяющая финансовые аспекты и операционную деятельность. Что такое FinOps? FinOps (Financial Operations) — это подход, который помогает компаниям более эффективно управлять своими рас...

Почему «образ из Docker Hub» не подходит для 152-ФЗ Три причины, почему образ «с Docker Hub» — слабое место при аудите по 152-ФЗ: 1. Цепочка поставок — неизвестно, кто и где собрал образ. Регулятор и аудит спрашивают про происхождение ПО и контроль поставщика. Публичный registry этого не даёт. 2. Состав образа — пакеты, версии, зависимости не задокументированы в формате, который можно предъявить. Нужен минимум прослеживаемость (откуда что взялось) и при необходимости SBOM. 3. Доказательная база ...

Hardened-образ vs «просто отсканированный» Сканер находит CVE. Hardened-образ — это образ, в котором CVE уже устранены на этапе сборки. Сканер фиксирует факт: «в образе есть уязвимость». Дальше — ваша задача: кто устраняет, когда, как обновляет образ и как это отражается в процессах. Hardened-образ — уязвимости минимизированы до того, как образ попадает в ваш контур. Вы получаете уже подготовленный образ, а не отчёт с перечнем проблем. Когда чего достаточно: 152-ФЗ и отраслевые НДА: обычно требу...

CVE в образе: сканер находит, но кто исправляет? Сканер показал CVE в образе. Он только фиксирует факт; устранять уязвимость и нести риски — ваша зона ответственности. Что обычно делают: • Пересобрать образ сами — обновить базовый образ или пакеты, прогнать пайплайн. Плюс: полный контроль. Минус: время, экспертиза, регламент обновлений на вас. • Ждать апдейт от вендора — если образ сторонний. Плюс: не вы чините. Минус: образ может уже быть в контуре, окно уязвимости открыто, аудиту это не нравит...

как снизили CVE в образах без своего харденинга Краткий обезличенный кейс — как закрыли задачу по образам без собственной команды харденинга. Задача. Компания из финсектора переходила на контейнеры. Аудит и регуляторика требовали: управление уязвимостями в образах, прослеживаемость, документированная цепочка поставок. Своих мощностей на харденинг десятков образов не было, сканеры показывали длинные списки CVE — непонятно, кто и когда всё это правит. Решение. Подключили внешний реестр с готовыми ...