#Docker #داکر #DevOps #Kubernetes #کوبرنتیز #Dockershim #Containerd #CRI #کانتینر_داکر
〰️〰️〰️〰️〰️
©️ @DevOpsEx

🔴 منسوخ شدن داکر در کوبرنتیز

🔶 اخیرا ایژویی تحت عنوان حذف داکر از کوبرنتیز منتشر شده و باعث شده متخصصین این حوزه رو مقداری نگران کنه.
👉 Link: https://github.com/kubernetes/kubernetes/blob/master/CHANGELOG/CHANGELOG-1.20.md#deprecation

🔷 اما نیازی به نگرانی نیست، حذف داکر از کوبرنتیز تصمیمی هست که توسط تیم توسعه کوبرنتیز گرفته شده و به دلیل مشکلاتی هست که dockershim ایجاد میکرد و تصمیم به بهبود کوبرنتیز دارند. پیشنهاد میکنم این مقاله رو مطالعه کنید:
👉 Link: https://kubernetes.io/blog/2020/12/02/dont-panic-kubernetes-and-docker/

درنهایت به عنوان یک برنامه نویس احتمالا دغدغه‌ای بابت Container Runtime Interface کوبرنتیز نخواهید داشت اما به عنوان متخصص DevOps یا زیرساخت ممکن هست کمی نیاز داشته باشید با Container Runtime Interface هایی نظیر containerd یا CRI-O کار کنید که کار سختی نخواهد بود.

🔥 So, this change is coming. It’s going to cause issues for some, but it isn’t catastrophic, and generally it’s a good thing. Depending on how you interact with Kubernetes, this could mean nothing to you, or it could mean a bit of work.

پ ن ۱: اگر از داکر یا کوبرنتیز استفاده میکنید، جای هر ۲ تکنولوژی در دنیای فعلی مستحکم هست و لازم نیست نگران باشید.
پ ن ۲: درسته که کوبرنتیز گفته but it isn’t catastrophic، اما جوانب احتیاط رو درنظر بگیرید.

#Docker #داکر #DevOps #Kubernetes #کوبرنتیز #Dockershim #Containerd #CRI #کانتینر_داکر
〰️〰️〰️〰️〰️
©️ @DevOpsEx

What is Dive?
خب بازم یکمی راجب Security تو کانتینر ها حرف بزنیم ...
راه‌های مختلفی برای تحلیل ایمیج‌های داکر وجود دارد. یکی از ابزارهایی که در تحلیل و مشاهده فایل‌ها و لایه‌های مختلف ایمیج جهت حذف، ویرایش و تحلیل می‌توانیم استفاده کنیم، dive است. هم از لحاظ امنیتی، هم از لحاظ DevOps، ابزاری بسیار کاربردی است. و حتی می‌تونید تغیراتی که هر لایه ایجاد کرده مشاهده کنید.
Link:
⚡https://github.com/wagoodman/dive
#container #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

⚡️Cloud-Native Developer Tool For Kubernetes
What is DevSpace?
Building modern, distributed and highly scalable microservices with Kubernetes is hard - and it is even harder for large teams of developers. DevSpace is the next-generation tool for fast cloud-native software development.
DevSpace is a client-only, open-source developer tool for Kubernetes:
1️⃣Build, test and debug applications directly inside Kubernetes
2️⃣Develop with hot reloading: updates your running containers without rebuilding images or restarting containers
3️⃣Unify deployment workflows within your team and across dev, staging and production
4️⃣Automate repetitive tasks for image building and deployment
Links:
◾️https://github.com/loft-sh/devspace
◾️https://www.youtube.com/watch?v=kgfg8r6_zPk
#container #docker #kubernetes #opensource #devops #cloudnative
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

⚠️خب چند وقتی هست که شاهد باگ های عجیبی در بحث Privilege Escalation از ابزار sudo هستیم یک آدم خیری ابزاری به نام SUDO_KILLER رو توسعه داده که در اصل روی ماشین شما این باگ هارو چک میکنه که آیا امکان اکسپلویت کردنشون هست یا نه !!
به دوستان سیس ادمین پیشنهاد میشه بررسی کنند که مبادا Misconfiguration داشته باشن
SUDO_KILLER is a tool that can be used for privilege escalation on the Linux environment by abusing SUDO in several ways. The tool helps to identify misconfiguration within sudo rules, vulnerability within the version of sudo being used (CVEs and vulns), and the use of dangerous binary, all of these could be abused to elevate privilege to ROOT.
New - 2021
◾️Detection for CVE-2021-3156 was added
◾️Detection for CVE-2021-23240 was added
◾️Exploit for CVE-2019-18634 was added
◾️Docker environment to test CVE-2019-18634 was added
◾️Video showing exploitation of CVE-2019-18634 was added
Links:
https://github.com/TH3xACE/SUDO_KILLER
#linux #security #opensource #devops #devsecops #sudo
〰️〰️〰️〰️〰️
©️ @DevOpsEx

DevOps Security Tools
همانطور که همه دوستان مطلع هستند Vulnerability Assessment یکی از مهم‌ترین تسک‌ها در حیطه IT Security بوده و هست.
چند وقت پیش ابزار تحت عنوان trivy در بحث Container Vulnerability Scanning معرفی کردم خدمت دوستان.
امروز دو ابزار دیگر به نام های Anchore Engine و Clair را هم معرفی می‌کنم که به شدت ابزارهای جالبی در بحث Inspection و Analysis کانتینرها هستند.
اینبار می‌خوام مقاله‌ای را به شما معرفی کنم که با استفاده از این 3 ابزار، Base Image های مختلف رو اسکن می‌کند و مقایسه می‌کند کدام یک دقیقتر و بهتر عمل می‌کنند !!
پ.ن یکی از مهم ترین کاربردهای این نوع ابزارها در بحث CI هست.
Links:
✅https://raesene.github.io/blog/2020/06/21/Container_Vulnerability_Scanning_Fun/


◾️https://medium.com/dev-genius/vulnerability-management-of-containers-using-opensource-1d864ccaaf83
◾️https://medium.com/@matuzg/testing-docker-cve-scanners-part-1-false-negatives-and-what-they-mean-for-your-security-77fc4eb1b2cf

#container #ci #docker #security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx

یکی از مباحثی که همیشه تو زمینه Container Security جای خالی آن حس می‌شده، بحث Container Image Signing بوده است. این مبحث که بتوانیم آرتیفکتهایی چون ایمیج هامون رو Sign کنیم و در طول کار باهاشون، آنهارو Verify بکنیم، جزو مباحثی است که به شدت در حوزه هایی چون CI و ... کاربردی است. قابل ذکر است که پروژه Moby در حال توسعه چنین مکانیزمی می‌باشد، پروژه‌ای تحت عنوان Notary که خب مطمئن نیستم که هنوز بصورت Stable منتشر شده باشد!!
اما پروژه مد نظر ما پروژه ایست با نام Cosign زیر مجموعه شرکت Sigstore که بصورت تخصصی روی مبحث Software Signing و Transparency Service فعالیت دارند. ارزش یکبار نگاه کردن را دارد شک نکنید.🤘🤘
Link:

◾️https://raesene.github.io/blog/2021/03/21/Trying-out-cosign/

#security #opensource #devops #devsecops
〰️〰️〰️〰️〰️〰️
© @DevOpsEx