Пятница! (давненько не было, конечно)

Игра сделана на SQL полностью, включая ИИ врагов, рендеринг, 3D raycasting и т.д.

How It Works
The game uses SQL in interesting ways:

- 3D Rendering: Uses recursive CTEs to implement raycasting
- Game state: Stored in tables (player, enemies, bullets, map)
- Physics: SQL queries handle collision detection and movement
- Rendering: Views transform the 3D world state into ASCII art
A Doom-like game using DuckDB
https://github.com/patricktrainer/duckdb-doom

Почитать подробнее как это работает можно тут
Abusing DuckDB-WASM by making SQL draw 3D graphics (Sort Of)
https://www.hey.earth/posts/duckdb-doom

Запуск происходит в WebAssembly версии DuckDB
https://github.com/duckdb/duckdb-wasm
https://shell.duckdb.org/

За наводку спасибо подписчику

QEMU один из тех проектов которым, как я считаю, может гордиться индустрия. Он прекрасен. Рад, что проект растёт и развивается.

Часть изменений
- В драйвер virtio-scsi, предоставляющий виртуальный SCSI-контроллер (SCSI Host Bus Adapter) для виртуальных машин, добавлена поддержка многоуровневой системы очередей (multiqueue), позволяющей разделить очереди для разных блочных устройств для обеспечения многопоточного доступа на многоядерных системах (разные очереди одного накопителя могут обрабатываться разными потоками ввода/вывода). По сравнению с драйвером виртуального блочного устройства (virtio-blk) виртуальный SCSI-контроллер немного отстаёт по производительности, но позволяет использовать более 28 дисков.

- В VFIO (Virtual Function I/O) улучшена поддержка проброса IGD (Integrated Graphics Device) для интегрированных GPU, используемых в 11 (Rocket Lake) и 12 (Alder Lake) поколениях процессоров Intel. Добавлена поддержка старых GPU ATI (x550). Реализована базовая поддержка PCI PM (Power Management).

- Добавлен новый режим Live-миграции "cpr-transfer" (CheckPoint and Restart), позволяющий переместить гостевую систему в новый экземпляр QEMU, запущенный на том же хосте. Режим минимизирует время приостановки за счёт того, что память гостевой системы отражается в виртуальное адресное пространство нового QEMU без копирования содержимого.

- Значительно переработана и расширена документация к протоколу QMP (QEMU Machine Protocol), позволяющему приложениям управлять QEMU.

- В эмуляторе архитектуры x86 реализована поддержка моделей процессоров Intel Xeon Clearwater Forest и Sierra Forest v2. Ускорена эмуляция инструкций для манипуляции строковыми данными.

- В эмуляторе архитектуры ARM реализована поддержка плат NPCM8445 Evaluation и i.MX 8M Plus EVK. Добавлена эмуляция расширений FEAT_AFP, FEAT_RPRES и FEAT_XS, а также физических и виртуальных таймеров EL2. Объявлена устаревшей поддержка CPU Arm PXA2xx и эмуляция инструкций iwMMXt.
Опубликован эмулятор QEMU 10.0.0
https://www.opennet.ru/opennews/art.shtml?num=63129

Если в версии 9.2 была добавлена экспериментальная поддержка Rust
Support for device models written in the Rust programming language has been added. It is considered experimental and not stable, and it is not recommended to be used for anything other than development. It is disabled by default and can be enabled by passing the flag --enable-rust to the configure script.
https://wiki.qemu.org/ChangeLog/9.2

То сейчас, оставшись экспериментальной, считается уже достаточно стабильной
Support for device models written in the Rust programming language is still considered experimental, and does not have full feature parity compared to QEMU binaries that are compiled with --disable-rust. However, it has matured enough that developing new devices can (almost entirely) be done in the safe subset of Rust.

Полный changelog
https://wiki.qemu.org/ChangeLog/10.0

В прошлом году "Экспресс 42" пришли ко мне с просьбой разместить опрос о состоянии ДевоПсов в России https://t.me/tech_b0lt_Genona/4376

Сам отчёт доступен тут
https://devopsrussia.ru/wp-content/themes/devopsrussia/assets/docs/StateOfDevOpsRussia2024.pdf

В этом году они пришли ко мне с аналогичной просьбой, что бы составить отчёт за 2025 год

На этот раз ключевая тема исследования - developer experience. А именно то, что помогает компаниям формировать позитивный опыт для разработчиков и как на него влияют внутренние платформы, ML/AI-инструменты, облачные технологии и практики ИБ.

Если есть желание, то пройти опрос можно по ссылке - https://anketolog.ru/service/survey/fill/extraLink/98347249/Qq2EcVbF

Топики, отчёта за 2024 год:

- практики и инструменты DevOps
- инфраструктурные и контейнерные платформе
- облачные технологии
- рынок труда DevOps
- роль и функцию ИТ в компаниях

В этом году отчёт обещает быть не хуже и точно будет чего в нём посмотреть.

Чем больше людей ответит на вопросы, тем качественней будет статистика и результаты, поэтому важно мнение каждого (ноль иронии).

Ну и, как обычно, все участники исследования получат отчет сразу, как только он будет готов.

ЗЫ В этот раз тоже обещают призы между участниками опроса разыграть. Список призов от мерча и промокодов до билетов на конференции Highload++ и DevOpsConf.

Тут произошла ДРАМА в камунити Matrix

Все, кто админил Matrix, а именно его наиболее известную имплементацию Synapse (https://github.com/element-hq/synapse/), тот знает, что это страшное поделие, которое жрёт кучу ресурсов.

Когда вы читает в доке At least 1GB of free RAM if you want to join large public rooms like #matrix:matrix.org, то не верьте этому (https://element-hq.github.io/synapse/latest/setup/installation.html)

Естественно, стали появляться другие реализации, в том числе на Rust (оригинальный написан на Python)

Одним из таких проектов стал Conduwuit
https://github.com/girlbossceo/conduwuit

И вот основатель проекта сгорел
conduwuit was on track, and arguably already was, to being the best actively maintained synapse alternative. the success of conduwuit stemmed primarily from my co-maintainer Jason, who i have had noticeably rough times collaborating with but overall still stuck together until yesterday.

yet, since creating conduwuit, over the past 12 months i have had nothing but constant abuse and retaliation and toxicity from all kinds of people across matrix, and none of these people getting repercussions because the world of matrix is incredibly small and they all talk to eachother and participate in eachother's rooms and activities towards me
. . .
and my ambitions for matrix are too high and my project is a threat to taking over synapse and killing all other homeserver implementations
. . .
over the past 12 months, i have faced and still am facing:
- fake security vulnerabilities made up and posted on fediverse to attack me and my project, by queer folks
- false accusations of "withholding security vulnerabilities" on fediverse and matrix
- a highly falsified and libeled document about me that has been primarily passed around the nix community, including by folks who are quite high up involved in nix, to drive away conduwuit users or potential ones, including even posting it in my own rooms, and even recurring donators cancelling their donations
- my servers ACL'd and transfem.dev users banned from queer-owned rooms just because the homeserver is conduwuit
- threats of attempting mass defederation just because i dont participate in spec pedantry so conduwuit "is a threat to federation stability"
- baselessly labeled a zoophile, dogfucker, pedophile, etc on fediverse and on matrix, by queer folks
- getting posted on 4chan, kiwifarms and harassed by those users
- attempts at trying to take control of my project or trying to strong-arm it into a way i dont agree with, primarily by the "rustaceans"
- harassed by docker users and nix users for failing to ensure "stability", "maintainability", better tagging, more frequent stable releases, and other completely minute and miniscule things that are not relevant to focus or worry about
- transfem.dev ddosed, mass-spam registrations, forced to block tor exit nodes and VPNs
- copyright trolls demanding i delete all their commits from conduwuit or face legal action
- an attempt at harassing my previous employer
- demands i ban my primary co-maintainer and being given falsified evidence or opinions of their "actions towards matrix"
Полностью тут
https://girlboss.ceo/~strawberry/conduwuit.txt

На самом деле камунити вокруг Matrix, а точнее альтернативные реализации, будто проклято. Почитать про все срачи можно тут (я орал)
Problems with Matrix homeserver implementations
https://hedgedoc.computer.surgery/s/qMd17DXxP

А теперь немного про проекты

https://gitlab.com/famedly/conduit - известная реализация. Автор замешан в срачах.

https://github.com/matrix-construct/tuwunel - позволяет переехать с закрывшегося Conduwuit, но нельзя с Conduit и Synapse. Автор замешан в срачах и помогал пилить Conduwuit.

https://gitlab.computer.surgery/matrix/grapevine - форк Conduit, который появился потому что разработка первого, да и в целом Matrix, в говне. Автор замешан в срачах.

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://t.me/tech_b0lt_Genona/4983

Слово автору @root_thedevscave

---
Когда я только начинал свой путь программиста, я влюбился в опен-сорс, открытость и комьюнити единомышленников. После накопления своего багажа знаний, я подумал что хочу внести свой вклад и поделиться им. Так я создал вебсайт, где объясняю различные темы связанные с программированием простыми словами
На данный момент самыми популярными статьями (опираясь на гугл аналитику) являются:
1. Статические vs Динамические библиотеки
2. Что такое сокет
3. OSI модель в деталях
4. Процесс сборки на С
5. Как данные перемещаются в сети

Помимо статтей я могу еще предложить вступить в наш небольшой Telegram чат, где иногда обсуждаются какие-то идеи и я выкладываю обновления по сайту. Именно из чата я узнал, что как минимум нескольким людям мой вебсайт помог разобраться в темах, которые им были непонятны. И поэтому я уже горжусь тем, что помог кому-то углубить свои знания

На сайте или в телеграм чате нет абсолютно никакой рекламы, потому что единственной целью которую я преследую является расширить знания людей. Я считаю что знания должны быть доступны каждому и хочу поспособствовать этому лично

Если тебя также как и меня будоражит все что связано с программированием и тебе интересно все айтишное, то я буду рад видеть тебя в нашем чате и буду надеяться что ты сможешь подчерпнуть для себя что-то новое в какой-то из статтей на моем вебсайте
Спасибо :)
---

В феврале этого года энтузиаст запустил Windows XP на Apple TV (1st generation)

https://x.com/dosdude1/status/1891662119315046801

И вот в начале апреля вышло видео с подробностями (перезалил к посту)
How I ported Windows XP to the Original Apple TV
https://www.youtube.com/watch?v=YkjrEXtZoWM

00:00 Introduction
01:21 Part 0: The Beginning
07:59 Part 0x3F8: The Descent
09:18 Part General Protection Fault: The Bootloader
15:56 Part 0xB4: The Video Driver
19:19 Part 0xA5: The HAL Problem(s)
24:52 Part 0x1D: The Video Driver 2: Electric Bootloop
28:02 Part 0xA: Revenge of the HAL
31:23 Part 777: Success, Failure, and Fame
35:12 Conclusion

Описание процесса создания прослойки лежит в отдельной доке
How I ported Windows XP to the original Apple TV
https://github.com/DistroHopper39B/NTATV/blob/main/Docs/Write-Up.md

Но и это ещё не всё. На AppleTV можно запустить и ReactOS 🌝
https://github.com/DistroHopper39B/reactos

Репозиторий проекта
The NTATV Project: Bringing Windows NT (Windows XP, Windows 2003, ReactOS) to the original Apple TV
https://github.com/DistroHopper39B/NTATV

Проблемы с Инвалидизацией сессий в telegram

Привет котятки😻.

Моя генеральная версия что мой клиент потерял 200 млн рублей на таком! Так что да, важно)

Если вы когда-либо авторизовывались через Telegram-виджет на сторонних сайтах, особенно во встроенном браузере Telegram, то стоит иметь ввиду что все ваши данные могут быть уже скомпрометированы. Переписки, личные заметки и так далее. Такие авторизации могут создавать сессии с повышенными правами -  они позволяют читать чаты, принимать звонки, и при этом не требуют cloud-пароля и не выдают никаких оповещений впринципе.  Чтобы чуть обезопасить себя, в первую очередь очистите историю встроенного браузера Telegram, отключите все активные веб-сессии и виджеты, которые могли получить доступ. Это можно сделать в Telegram, зайдя в «Настройки» → «Устройства»  и завершить там все подозрительные или лишние сессии.

Отдельно стоит очистить историю и удалить все куки встроенного браузера: открыть его-настройки- куки/хранилище и тд, всё очистить.

Также рекомендуется перейти в раздел «Настройки» → «Конфиденциальность и безопасность» и проверить, какие сайты и боты получили доступ к вашему аккаунту через Telegram Login. Удалите те, которым вы не доверяете или которыми давно не пользовались. Это поможет закрыть возможные уязвимости, особенно если в момент авторизации были использованы нестандартные браузеры или открытые сети. После этих шагов желательно перезапустить Telegram, с полным перелогином, но в данном случае даже это не очень помогает и если вы довереяете телеграм персональные данные — вовсе пересоздайте аккаунт с нуля. (!) И, что самое важное, не использовать встроенный браузер! Лучше так и вообще отключить его «Настройки» → «чаты» → «открывать ссылки во встроенном браузере»

❤️


А уж в свете того что во время расследования и ремонта в тг, так уж совпало, что (!)незапно, и как в меме, "никто ничего...", а Павел Дуров сообщает о том, что ни байта информации не слил, подозреваю что это было намеренно и дыркой пользуются широко. В таком случае ориентирована на правозащитников, активистов и политиков.

#gold

> Одмен, а в чем прикол делать дистр с фулл статик линковкой? У тебя пост на канальчике про это есть какой-нить?

У меня про это много чего написано, достаточно погрепать канал по "статическая".

В целом, аргументация такая:

* динлинковка - это вынужденная мера, появившаяся, когда у компухтеров было мало памяти
* динамическая линковка - сложнее, тулинг хуже (санитайзеры требуют, чтобы почти весь код (кроме того, что перехватывается), был собран статически, отладчик работает хуже, код ходит через GOT/plt, а не напрямую).
* динамическая линковка - сложнее, например, во взаимодействии с другими системами (fork(), threads, tls, etc)
* динамический загрузчик - сложный, а еще он suid, есть известные проблемы с безопасностью
* плагины лежат хз где, и часто их не хватает, потому что приложения не могут сказать, чтобы в gstreamer был такой-то #plugins
* в целом, загружать в runtime сторонний код в свое приложение (не в песочнице) - очень странная идея, потому что CI с ним, у вас, скорее всего, не было, и как он будет ездить по вашим данным - неизвестно. Для плагинов сейчас норм решение - #WebAssembly в песочнице, или там https://github.com/libriscv/libriscv
* code bloat, больше поверхность для rop
* #ABI - это бич C/C++
* #perf - 5 - 10% CPU на дороге не валяются
* динамически слинкованные бинари дольше запускаются

В общем, я не за статлинковку, я против динамической.

Статлинковка простая, как 5 копеек, и современные окружения (go, rust) это понимают.

2001 - Подводная лодка №02

В GitLab 17.11 завезли полезную фичу. Теперь отстрелить ногу себе при конфигурировании pipeline стало сложней, что замечательно.

> Inputs provide advantages over variables including type checking, validation and a clear contract. Unexpected inputs are rejected.

https://docs.gitlab.com/ci/inputs/?tab=Parent-child+pipeline#for-a-pipeline

EPIC
The problems described below are generally related to being able to specify inputs when triggering a pipeline. Today, when creating a pipeline we rely on CI variables to inject dynamic content to the pipeline. Using the new spec:inputs feature instead of CI variables make inputs more structured:

- Only the specified inputs can be passed.
- Inputs support basic types of validations.
- Inputs lifecycle is scoped to the pipeline creation via text interpolation.

Here below are some of the usages we could have with inputs.
https://gitlab.com/groups/gitlab-org/-/epics/16321

Описание релиза
GitLab 17.11 Release
https://about.gitlab.com/releases/2025/04/17/gitlab-17-11-released/

Пока выходные, есть время обозреть ReTerminal.

Ембед на удаленке требует не только ноутбук, но и некоторое железо. Ходить в лабу постоянно лениво, да и надоел зоопарк девайсов, поэтому я приобрел себе ReTerminal от Seeed Studio, и весьма им надо сказать доволен.

Итак, за 200 евро вы получаете:

- Raspberry Pi 4 с 5" тач-экраном (720p)
- Офигенского качества корпус, как для такого девайса, с четырьма кнопками на фронте (по-умолчанию A-S-D-F, легко мапить), плюс SLEEP (совершенно дебильный выбор, так как на малине нет понятия слипа и мапить это можно нормально только через танцы с libinput)
- Совершенно отстойный софт с ужасно тормозящим UI - сносить иксы первым делом
- Самое главное - GPIO выведено наружу, для чего собственно мне и нужен постоянно этот девайс - нет проблем как дергать-слушать пины, так и подключать I2C-периферию
- Некоторые другие свистелки (встроенный акселерометр, RTC, датчик освещения, криптопроцессор, управляемые LED-индикаторы), которыми я не пользуюсь.
- Вполне влазит в карман, прикручивается на штатив
- LTS, обещают производить до 2030 года
- Питается от обычного USB
- Есть еще 10"-версия с немного другой периферией - её не щупал

Мои основные задачи - работа с GPIO. При этом на тач выводится weston + интерфейс на егуях, который может что-то отображать и иметь кнопки контрола. Хардварные кнопки маплю тоже на контрол чего-нибудь полезного, в зависимости от задачи. В целом, работать стало быстро и приятно.

К нему же можно докупить за 120 евро расширение под названием E10-1, тут ощущения двойственные:

- Девайс становится довольно большим, в карман уже не влезет, но в небольшую сумку еще можно кинуть. На штативах, впрочем, стоит без проблем
- Требует питание 12V - главный отстой конструкции
- Можно всунуть две 18650 - слегка компенсирует предыдущий пункт и делает девайс автономным, в принципе Pi4 на двух батареях может работать довольно долго. Второй отстой - невозможно посмотреть уровень заряда, контроллер пропиетарный и нет возможности снять даже текущий вольтаж
- Позволяет поставить M2, но только SATA, по сути там USB-мост. Хреново, но лучше чем встроенное eMMC
- Есть разъемы для 4/5G, LoRA, но сами модули нужно покупать отдельно
- Есть RS232 (DP9) и CAN - эти в комплекте и работают. За CAN спасибо, хороший, socketcan его видит.

Вывод после трех месяцев пользования. ReTerminal - однозначно мастхев, E10-1 - 50/50.

Ссылки не даю, в гугле никого надеюсь не забанили.

3d printed budget Egg Painter (eggbot MOD)
https://github.com/ProbotXYZ/EggBot/

В репозитории есть примеры
https://github.com/ProbotXYZ/EggBot/tree/master/Samples

Видео взял отсюда
https://t.me/riscv_mcu/153623

Наверняка много кто знает сайт https://0.30000000000000004.com/

Я его тоже когда-то скидвал сюда https://t.me/tech_b0lt_Genona/2186

На этом сайте собраны примеры для разных языков программирования в которых выполняют операцию (простую) 0.1 + 0.2 и получают неожиданный результат (не 0.3)

Сегодня я хочу поделиться статьёй/видео про то почему получается разный результат при вычислении log, exp, sin и т.д. в одной и той же программе, которая собрана разными компиляторами.

На YouTube есть отличное видео (я его к посту прикрепил тоже)

Table-Maker's Dilemma: почему почти все трансцендентные элементарные функции округляются неправильно
https://www.youtube.com/watch?v=XF5OSU2477Q

Текстом
https://habr.com/ru/articles/519966/

это не научная, а научно-популярная статья, прочитав которую, вы кратко познакомитесь вот с чем.

- Трансцендентные элементарные функции (exp, sin, log, cosh и другие), работающие с арифметикой с плавающей запятой, округляются некорректно, иногда они допускают ошибку в последнем бите.
- Причина ошибок не всегда кроется в лени или низкой квалификации разработчиков, а в одном фундаментальном обстоятельстве, преодолеть которое современная наука пока не смогла.
- Существуют «костыли», которые позволяют худо-бедно справляться с обсуждаемой проблемой в некоторых случаях.
- Некоторые функции, которые должны делать вроде бы одно и то же, могут выдавать различный результат в одной и той же программе, например, exp2(x) и pow(2.0, x).

Оказывается и Linux пришлось защищать свои сервера от ИИ-индексаторов (прошлый пост на эту тему - https://t.me/tech_b0lt_Genona/5122)

https://social.kernel.org/notice/AsgziNL6zgmdbta3lY

Полный отчёт
Benchmarking PostgreSQL Storage
Performance on Kubernetes
A Performance Analysis Using Percona Operator for PostgreSQL
https://learn.percona.com/hubfs/Whitepapers/Kubernetes-Storage-Performance-Benchmark-with-PostgreSQL.pdf

Пост в блоге Percona
Run PostgreSQL on Kubernetes: A Practical Guide with Benchmarks & Best Practices
https://www.percona.com/blog/run-postgresql-on-kubernetes-a-practical-guide-with-benchmarks-best-practices/

Очень люблю такие новости

Код HACL* написан на подмножестве функционального языка F*, предлагающем систему зависимых типов и уточнений, позволяющих задавать точные спецификации (математическую модель) и гарантировать отсутствие ошибок в реализации при помощи SMT-формул и вспомогательных инструментов доказательства. Эталонный код на F* транслируется в код на языке Си при помощи компилятора KaRaMeL и доступен для интеграции с другими проектами.
. . .
Проведение верификации подразумевает определение подробных спецификаций, описывающих все варианты поведения программы, и формирование математического доказательства, что написанный код полностью соответствует подготовленным спецификациям. Верификация даёт гарантию, что программа будет выполняться только как задумали разработчики и в ней отсутствуют определённые классы ошибок, такие как переполнение буфера, разыменование указателей, обращение к уже освобождённым областям памяти или двойное освобождение блоков памяти. В процессе компиляции обеспечивается жёсткая проверка типов и значений - один компонент никогда не передаст другому компоненту параметры, не соответствующие спецификации, и не получит доступ ко внутренним состояниям других компонентов.
В Python задействованы криптофункции с математическим доказательством надёжности
https://www.opennet.ru/opennews/art.shtml?num=63104

Оригинал
15,000 lines of verified cryptography now in Python
https://jonathan.protzenko.fr/2025/04/18/python.html

Вообще, эта задача реально сложная для более или менее крупного проекта

> Работа по переходу на функции с математическим доказательством надёжности велась с 2022 года и была инициирован после выявления переполнения буфера в реализации алгоритма SHA3, используемой в Python-модуле hashlib.

> Процесс перехода на верифицированный код занял два с половиной года и потребовал доработки библиотеки HACL*, функциональность которой была расширена возможностями, необходимыми для прозрачной замены имеющейся функциональности hashlib.

Самый крупный известный мне проект в котором было подобное - seL4 (https://github.com/seL4). Это микроядро для которого было проведено доказательство корректности, что в свою очередь гарантировало отсутствие переполнения буфера, дедлоков и т.д. и т.п. Там, кстати, Haskell использовали для проведения доказательства.

Вот whitepaper, где достаточно компактно рассказано, что да как
The seL4 Microkernel - An Introduction
https://sel4.systems/About/seL4-whitepaper.pdf

Если кому-то интересно, то могу посоветовать статью (она правда от 2018 года, но читается легко)
Formally Verified Software in the Real World
https://cacm.acm.org/research/formally-verified-software-in-the-real-world/

Перевод на Хабре
Микроядро seL4. Формальная верификация программ в реальном мире
https://habr.com/ru/articles/437406/

> Предполагалось, что DCCP позволит повысить эффективность потокового вещания и интернет-телефонии
> Разработчик Multipath DCCP . . уже несколько лет не выходит на связь

Получается эффективность не повысил 🌝

Удаление DCCP из ядра Linux устранит преграды, мешающие переработать структуру данных inet_connection_sock для повышения эффективности работы стека TCP. В настоящее время структура inet_connection_sock совместно используется в TCP и DCCP, что не позволяет реализовать для TCP некоторые оптимизации без переделки кода DCCP. В частности, переделка структуры inet_connection_sock даст возможность более эффективно использовать процессорный кэш при ускоренной обработке пакетов для уже установленного TCP соединения (TCP fastpath).
В ядре Linux 6.16 будет прекращена поддержка протокола DCCP
https://www.opennet.ru/opennews/art.shtml?num=63096

Дата почтенная, так что всех причастных с праздником!

Сегодня отмечается Всемирный День Радиолюбителя - World Amateur Radio Day, WARD.

18 апреля 1925 года в Париже был основан Международный союз радиолюбителей (англ. International Amateur Radio Union, IARU)

Kernel-Hack-Drill: Environment For Developing Linux Kernel Exploits

Alexander Popov (me) published the slides from his talk at Zer0Con 2025. In this talk, he presented the kernel-hack-drill open-source project and showed how it helped him to exploit CVE-2024-50264 in the Linux kernel.

Долго думали с ребятами из DC, что можно интересного придумать с аддончиками, а то накопилось их уже много, но они лежат в коробке. Чтож, давайте спасать их от этой незавидной участи))
Мы вдохновились прошлогодним кубом-подставкой с OFFZone и создали свою настенную модульную версию - платформу под аддоны "HEXADDON"
Первая ревизия уже вовсю трудится, но на этом останавливаться я не планирую, думаю развести некоторое количество различных модулей с разнообразным дизайном. Точно в планах с логотипами DC и OFFZone вместо крестов, а ещё идеи и пожелания принимаются в комментариях^^

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://t.me/tech_b0lt_Genona/4983

В этот раз я принял небольшое участие в проекте, потому что тоже занимался вычиткой, частичной проверкой написанного и т.д. и т.п. для предфинальной версии

Слово автору @Dobry_kot

---

Почти два года, тысячи перезапусков, багов, а также сотни пересобранных кластеров и море мата (в голове ☹️) — и всё это вылилось в одну, но очень насыщенную статью.

Kubernetes вручную, от и до, без kubeadm и прочих поблажек.

Я собрал:
— полный пошаговый гайд по сборке Kuberentes.
— удобные alias’ы, функции и обёртки
— десятки скриптов, которые реально работают в бою
— важные моменты, о которых молчат в туториалах

https://docs.dobry-kot.ru/blog/kubernetes-the-hard-way/

https://github.com/PRO-Robotech/in-cloud-docs

Канал - @bezumniy_kot_work
---

Правительство США возобновило финансирование деятельности MITRE на 11 месяцев

> BleepingComputer has learned that the extension of the contract is for 11 months.

CISA extends funding to ensure 'no lapse in critical CVE services'
https://www.bleepingcomputer.com/news/security/cisa-extends-funding-to-ensure-no-lapse-in-critical-cve-services/

Так же объявлено о создании фонда

> This concern has become urgent following an April 15, 2025 letter from MITRE notifying the CVE Board that the U.S. government does not intend to renew its contract for managing the program. While we had hoped this day would not come, we have been preparing for this possibility.
> In response, a coalition of longtime, active CVE Board members have spent the past year developing a strategy to transition CVE to a dedicated, non-profit foundation. The new CVE Foundation will focus solely on continuing the mission of delivering high-quality vulnerability identification and maintaining the integrity and availability of CVE data for defenders worldwide.

CVE Foundation
https://www.thecvefoundation.org/

И третий анонс

На следующей неделе 26 апреля я буду выступать на DC7831 в Нижнем Новгороде

В этот раз хотелось бы расширить и сдвинуть ближе к рантайму мой воркшоп с прошлого года https://t.me/tech_b0lt_Genona/4306 и посмотреть/показать. Надеюсь, что что-то получится 🌝

Программа (пока ещё уточняется и дополняется)

11:00 - Открытие конференции. Приветственное слово от DC7831

11:10 - Название уточняется

12:00 - FROM im:age to Kind:Cluster / @rusdacent, DC7812, Санкт-Петебург

14:30 - 2fa не 2fa / Эмиль Алтынбаев, ГК "Солар"

15:20 - Веб-Анархия 4 или Да может хватит уже? / @deadroot, DC78422, Ульяновск

16:40 - Понаписали тут, а мне проверяй... Ода лени при проведении проверок на НДВ / Ilya Smit, TwoDrunkMen

Регистрация - https://docs.google.com/forms/d/e/1FAIpQLSehx31V9byaZumAWfw4FIMwjZkzMz6k8BKOnafzvVY08GKM4Q/viewform?usp=sharing
Страница мероприятия - https://it52.info/events/2025-04-26-defcon-nn-0x0f
Сайт - https://defcon-nn.ru/
Чат - @defcon_nn

День сегодня такой, мероприятий организовалось много 🌝

Завтра, 17 апреля, будет встреча сообщества РБПО в Питере, места оффлайн отсутствуют, но будет трансляция

Программа

~18:50-19:00 Приветствие, кратко про РПБО-сообщество ФСТЭК России и ИСП РАН, Питерскую ветку, и как мы пришли к этой встрече: тема и цель

19:00-19:15 Три кита нотаций в РБПО / Фобос-НТ

19:20-19:40 Модель угроз != картинка / Лаборатория Касперского

19:50-20:00 Опыт применения нотаций в большом телекоме / ИСП РАН

20:00-20:20 Разработка CASE средств визуального моделирования ПО. Основные проблемы и возможные решения / ИСП РАН

20:20-20:40 Нарисовать граф зависимостей, чтобы было не так больно / КодСкоринг (Профископ)

20:40-21:00 Когнитивный диссонанс парадигм или опять по пачке "беломора" / Юбител

21:00-21:20 Декларативный подход как путь в светлое будущее / Luntry

21:20-21:40 Traceability. Через тернии в доксиген / Axiom JDK

21:40-22:00 Описание архитектуры продукта. Подходы, принципы, инструменты, плюсы и минусы - на примерах из жизни / YADRO

22:20 - ∞ Процессное моделирование в сертификации РБПО / ИСП РАН

Чат сообщества - @SDL_Community_SPb

Если всё будет хорошо, то трансляция будет тут
https://vkvideo.ru/video-211119196_456239046

23 апреля в Санкт-Петербурге состоится Big Monitoring Meetup 12 по адресу Аптекарский проспект, 4к2 (это Амфитеатр Ленполиграфмаш, станция метро Петроградская)

Поднимаемые темы

- концепции и подходы реализации мониторинга
- мониторинг инфраструктуры/сети/приложений
- метрики и алертинг
- взаимодействие бизнеса и мониторинга

Часть докладов

- Облачная система мониторинга радиовещания. / Александр Орлов, Тракт-Софт

- Мониторинг — это просто. / Вадим Исаканов, Платформа контейнеризации «Боцман»

- 3D визуализация в мониторинге: модный тренд или рабочий инструмент? / Андрей Никифоров, ТРИТВИН

Регистрация и полная программа
https://monhouse.tech/big-monitoring-meetup12/

Канал - @monhousetech
Чат - @monhouse_tech
ВК - https://vk.com/monhouse.tech
YT - https://www.youtube.com/@Monhouse

Ни на что не намекаю, но у БДУ пока не закрывают 🌝
https://bdu.fstec.ru/vul

Министерство внутренней безопасности США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE.

На момент написания новости содержимое БД CVE обновляется, а сайт cve.mitre.org продолжает работать (в США пока ночь, отключение может быть произведено после начала рабочего дня). В случае прекращение работы сервисов MITRE исторические данные об уже выданных CVE-идентификаторах сохранятся в зеркале на GitHub.
MITRE не получил финансирование для продолжения ведения базы CVE-индентификаторов уязвимостей
https://www.opennet.ru/opennews/art.shtml?num=63085

Оригинал
https://infosec.exchange/@briankrebs/114343835430587973

+
CVE Program
https://github.com/CVEProject

Инструменты программирования с поддержкой искусственного интеллекта (ИИ) всё больше влияют на разработку программного обеспечения и приводят к проблеме в безопасности: генерации несуществующих имён пакетов. ИИ модели как коммерческие, так и открытые, иногда предлагают код с указанием пакетов, которых не существует. Согласно недавним исследованиям, это происходит в 5.2% случаев у коммерческих моделей и в 21.7% - у открытых моделей.

Обычно это приводит лишь к ошибке установки, но злоумышленники начали использовать эти "галлюцинации" в своих целях, размещая вредоносные пакеты под этими вымышленными именами в публичных репозиториях, таких как PyPI или NPM. Такая стратегия превращает галлюцинации ИИ в новый вектор атак на цепочки поставок ПО.

Постоянно повторяющиеся имена особенно привлекательны для атак. Эта стратегия, похожая на "тайпсквоттинг", была названа Сетом Майклом Ларсоном из Фонда Python "слопсквоттингом" - от слова slop (бесполезный выход ИИ).

Руководитель компании Socket Феросс Абухадиджех (Feross Aboukhadijeh) указывает на культурный сдвиг в сообществе разработчиков в сторону "вaйб-кодинга" (vibe coding) - когда ИИ подсказки копируются без проверки. Это поведение повышает риск установки вредоносных пакетов. Иногда разработчики даже не замечают, что пакет не существует - особенно если его имя уже занято злоумышленником. Такие вредоносные пакеты часто выглядят вполне убедительно: с фальшивыми документациями, поддельными репозиториями на GitHub и даже блогами, создающими видимость легитимности.

Ситуацию усугубляет тот факт, что ИИ-системы подтверждают галлюцинации друг друга. Например, Gemini от Google уже предлагал пользователям вредоносные пакеты, описывая их как надёжные и поддерживаемые — просто повторяя информацию из поддельного README.

Отмечается случай с киберпреступником по имени "_Iain", который на форуме в даркнете делился методами создания ботнета на основе блокчейна, используя тысячи тайпсквоттинг-пакетов в NPM. С помощью ChatGPT он автоматически сгенерировал множество имён, похожие на реальные.
ИИ как новый вектор атаки на разработчиков ПО
https://www.opennet.ru/opennews/art.shtml?num=63062

Оригинал
The Rise of Slopsquatting: How AI Hallucinations Are Fueling a New Class of Supply Chain Attacks
https://socket.dev/blog/slopsquatting-how-ai-hallucinations-are-fueling-a-new-class-of-supply-chain-attacks

Ссылка на исследование (PDF скину в комменты)
https://arxiv.org/pdf/2406.10279

TARIFF is a fantastic tool that lets you impose import tariffs on Python packages. We're going to bring manufacturing BACK to your codebase by making foreign imports more EXPENSIVE!

import tariff

# Set your tariff rates (package_name: percentage)
tariff.set({
"numpy": 50, # 50% tariff on numpy
"pandas": 200, # 200% tariff on pandas
"requests": 150 # 150% tariff on requests
})

# Now when you import these packages, they'll be TARIFFED!
import numpy # This will be 50% slower
import pandas # This will be 200% slower

How It Works
When you import a package that has a tariff:

1. TARIFF measures how long the original import takes
2. TARIFF makes the import take longer based on your tariff percentage
3. TARIFF announces the tariff with a TREMENDOUS message

Example Output
JUST IMPOSED a 50% TARIFF on numpy! Original import took 45000 us, now takes 67500 us. American packages are WINNING AGAIN! #MIPA

https://github.com/hxu296/tariff

После последней нашей публикации про «отечественную» микросхему Flash памяти GSN2516Y якобы разработанную в GS Group мы получили достаточно большой фидбэк от наших читателей. И один из них сказал, что может переслать нам счетчик электроэнергии в котором стоит эта микросхема.
. . .
Что же получается у нас в результате?

Даже если предположить, что все остальные требования 719 ПП РФ компанией Энергомера выполнены:

- Печатные платы сделаны в России (+ 12 баллов)

- Весь счетчик собран в России (+15 баллов)

- Все корпусные детали сделаны в России (+ 15 баллов)

- Реле нагрузки сделано в России (+ 5 баллов) (на самом деле с ним мы еще не разобрались, но любые сомнения в пользу подозреваемого)

- Измерительный шунт сделан в России (+ 5 баллов) (с ним мы тоже еще не разобрались, но любые сомнения в пользу подозреваемого)

- Датчик магнитного поля сделан в России (+ 3 балла) (мы пока его не нашли, возможно его и нет, но опять сомнения в пользу подозреваемого)

- Микросхемы питания (+ 5 баллов) (мы пока не нашли явно российских, возможно там и затесалась какая либо LDOшка от Микрона)

- Микросхема памяти от GSnano (+12 баллов) (при всех наших сомнениях и особых мнениях)

- Микросхема АЦП (0 баллов из 13)

- Центральный микроконтроллер (0 баллов из 28)

- Интерфейсные микросхемы (0 баллов из 12)

В итоге получается, что счетчик электроэнергии Энергомера СЕ207 R7 набирает максимум 72 балла, но никак не 113 или даже заявленные 117 баллов в реестре. Таким образом, под большим сомнением теперь статус отечественности на этот счетчик, и как следствие возникают вопросы к достоверности победившей заявки в тендере Татэнергосбыта на сумму 992 449 333,55 рублей. Татэнергосбыт хотел отечественные счетчики с максимальными баллами, а получил похоже перемаркированные китайские микросхемы.
Наше расследование: ищем отечественные микросхемы в «отечественных» счетчиках электроэнергии
https://habr.com/ru/articles/899116/

Предыдущие посты от них на эту же тему

Наше расследование: мониторы LightCom, блогеры и все все все…
https://habr.com/ru/articles/810835/

Наше расследование: Блогеры и все все все… Часть 2
https://habr.com/ru/articles/819237/

Спасибо подписчику за ссылку

Зачем эти полумеры? Надо ставить 1 день, а потом двигаться к новому сертификату на каждый коннект

Участники ассоциации CA/Browser Forum, являющейся площадкой для координации совместной работы производителей браузеров и удостоверяющих центров, проголосовали за сокращение максимального времени жизни TLS-сертификатов. Максимальное время действия TLS-сертификатов будет сокращено с 398 до 47 дней, если в дальнейшем CA/Browser Forum не пересмотрит принятое решение.
. . .
Изменение намерены продвигать постепенно: начиная с 15 марта 2026 года максимальный срок действия TLS-сертификатов будет уменьшен до 250 дней, с 15 марта 2027 года - до 100 дней, а с марта 2029 года - до 47 дней.
. . .
За новое сокращение времени жизни TLS-сертификатов проголосовали 29 участников, 6 воздержались и никто не отдал голос против. Участники, проголосовавшие "за": Apple, Google, Microsoft, Mozilla, Amazon, Asseco Data Systems SA (Certum), Buypass AS, Certigna (DHIMYOTIS), Certinomis, DigiCert, Disig, D-TRUST, eMudhra, Fastly, GlobalSign, GoDaddy, HARICA, iTrusChina, Izenpe, NAVER Cloud Trust Services, OISTE Foundation, Sectigo, SHECA, SSL.com, SwissSign, Telia Company, TrustAsia, VikingCloud, Visa. Участники, которые воздержались: Entrust, IdenTrust, Japan Registry Services, SECOM Trust Systems, TWCA.
. . .
Предполагается, что генерация короткодействующих сертификатов позволит быстрее внедрять новые криптоалгоритмы в случае выявления уязвимостей в ныне действующих, а также сократит угрозы безопасности.
. . .
Кроме того, короткодействующие сертификаты станут стимулом для внедрения автоматических систем управления сертификатами, избавленными от человеческого фактора. При этом, изжитие практики ручного обновления сертификатов может привести и к негативным последствиям. Отмечается, что некоторые устройства, допускающие загрузку сертификатов только в ручном режиме, могут остаться с недействительными сертификатами из-за сложности организации ручного обновления каждые полтора месяца. Изменение также может негативно повлиять на бизнес удостоверяющих центров, не предоставляющих API для автоматического получения сертификатов.
Максимальное время жизни TLS-сертификатов сократят с 398 до 47 дней
https://www.opennet.ru/opennews/art.shtml?num=63069

Оригинал
https://mstdn.social/@jschauma/114325519681641946

Поехали!

🛠 VmWare & Hardware version debug

Jenkins runs a powershell script and it creates a VM. Normally it works, but this morning I got this:


Virtual Machine [xxx] does not exist
Importing new Virtual Machine
New-VM : 4/4/2025 9:55:27 AM New-VM An invalid argument "configSpec.guestId" was specified.
At C:\...\powershell\commonScripts\Initialize-VM.ps1:247 char:14
+ ... $newVM = New-VM -Name $VMName -ContentLibraryItem $templateObj -Da ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : NotSpecified: (:) [New-VM], ViError
+ FullyQualifiedErrorId : ViCore_VMServiceImpl_DeployFromLibraryItem_ViNetException,VMware.VimAutomation.ViCore.Cm dlets.Commands.NewVM

The first idea was that something has been changed in the powershell wrapper. But with the terraform I got more a less the same error. It was complaning about unsupported guest ID. In packer we explicitly specify rhel8_64Guest, but just in case I also decided to specify it in terraform https://registry.terraform.io/providers/hashicorp/vsphere/latest/docs/resources/virtual_machine#guest_id-1 and got different errors:

rhel8_64Guest:

│ Error: deploy error: An invalid argument "configSpec.guestId" was specified.
│
│ with module.Personal.vsphere_virtual_machine.ld-lgonchar-2,
│ on modules/Personal/ld-lgonchar-2.example.local.tf line 2, in resource "vsphere_virtual_machine" "ld-lgonchar-2":
│ 2: resource "vsphere_virtual_machine" "ld-lgonchar-2" {

rockylinux_64Guest:
│ Error: cannot find OS family for guest ID "rockylinux_64Guest": could not find guest ID "rockylinux_64Guest"
│
│ with module.Personal.vsphere_virtual_machine.ld-lgonchar-2,
│ on modules/Personal/ld-lgonchar-2.example.local.tf line 2, in resource "vsphere_virtual_machine" "ld-lgonchar-2":
│ 2: resource "vsphere_virtual_machine" "ld-lgonchar-2" {

However in the docs https://knowledge.broadcom.com/external/article/321876/determine-the-guest-os-from-a-vm-configu.html both of them exist. The next idea was to epoxrt list of guest IDs:

[VMware.Vim.VirtualMachineGuestOsIdentifier].GetEnumValues()

...
rhel8_64Guest
...
rockylinux_64Guest
almalinux_64Guest

and again... both of them exist. Also the windows VM were created without any problems. However, my workmate spotted that the different hardware version is available for customezation in web UI. I also found it in the doc https://registry.terraform.io/providers/hashicorp/vsphere/latest/docs/resources/virtual_machine#hardware_version-1. So, If I set the hardware_version param to 21 it works because rockylinux_64Guest is introduced.

What happens?
1. We used to have the VM hardware compatibility set to version 19. And the templates we created used to be detected as RHEL8. And compatibility for version 19 supported RHEL 8.
2. Weekly template rebuild happens
3. what's happening right now?
- The template is still defined as RHEL 8
- During deployment VMWare automatically detects it as Rocky Linux 8
- Vmware sets the Guest OS to rockylinux_64Guest.
- rockylinux_64Guest is not compatible with VM version 19
- When the VM is startted it get the error The guest operating system 'rockylinux_64Guest' is not supported.
4. The compat level in packer template was increased to 21 and rebuilt.

Why it happens?

1. The first idea was that VMWare tools was updated(we are installing the latest one). but it's the same
2. The Vcenter version is also the same.
3. The code is also the same.
4. Something else has been updated inside the VM template(we also install all updates) like firmware but i've not find the diff yet. also the kernel https://oraclelinux.pkgs.org/8/ol8-baseos-latest-x86_64/kernel-4.18.0-553.46.1.el8_10.x86_64.rpm.html was suspicious but I found nothing interesting in the release notes
5. i also upgraded rocky 8.6->8.10 at a test VM just to exclude the changes in the /etc/redhat-release

so.. I don't know why.. wip..

#vmware #debug #terraform

Поздравляю @aenix_io и @cozystack/@cozystack_ru

Бизнес-модель Ænix заключается в продаже подписки на Ænix Enterprise for Cozystack, в которую входят техническая поддержка с гарантиями по SLA, сопровождение платформы, professional services, а также энтерпрайзная функциональность (например, White Labeling и система биллинга).

Андрей Квапил, CEO Ænix: «Мы долго искали и тщательно выбирали инвестора — команду, которая понимает ценность того, что мы делаем, у которой есть опыт успешного инвестирования в похожие проекты, связи с институциональными инвесторами и потенциальными клиентами, а также опыт консультирования стартапов. И мы рады, что нашим партнером на этом пути стала именно команда Prospective Technologies. Кроме того, я благодарен всей нашей команде, ребятам из Ænix, внешнему сообществу пользователей и контрибьюторов, а также клиентов, которые поверили в нас и оказали серьезную поддержку».

Сергей Негодяев, Управляющий Партнер, Prospective Technologies: «Ænix решает важнейшую задачу для компаний, которым необходим контроль над своей инфраструктурой без потери гибкости современного облака. Вклад Cozystack в CNCF демонстрирует их приверженность инновациям с открытым исходным кодом, и мы рады поддержать их путь».
Ænix, основной разработчик open source-платформы Cozystack, привлек 300 тысяч долларов на стадии seed
https://habr.com/ru/companies/aenix/news/899586/

Прикольная история успеха, как стартанув с "нуля" студент смог заработать денег

This post shares the story of the nice!nano; a wireless, Pro Micro-compatible microcontroller board I made in my freshman year of college. The nice!nano powers tens of thousands of keyboards, has inspired many, and changed my life.

Over my first winter break in college, I created what I called the Dissatisfaction65, a wireless 65% keyboard inspired by the Satisfaction75. I don’t remember exactly why, but I wanted to try making a DIY wireless keyboard after having made a few wired ones. The Adafruit 32u4 Bluefruit LE microcontroller was used to accomplish wireless since the open-source QMK keyboard firmware supported Bluetooth with this specific board. The project looked great in the end, but its performance was awful. The typing latency was nearly unusable, and it only lasted a few days on battery even with a huge battery inside.
. . .
The weekend (yes, the whole thing was designed in a weekend) I created the nice!nano.It was just me, KiCad, Nordic’s Infocenter2, nRFMicro wiki, and the Adafruit nRF52840 Feather schematic. I put together the schematic and BOM, laid out the PCB, and routed (and re-routed) the connections. On the other side I came out with the thinnest Pro Micro compatible nRF52840 based board.
. . .
Over the next week I created a name and found my PCB assembler. The name is based on my online username, “Nicell”. I wanted to continue the spirit of metric naming of the Pro Micro and came up with “nice!nano”.After reaching out to a few assemblers, the cheapest option for producing five was about $100.
. . .
As a college student, I didn’t have the money to bank roll a purchase of 1,000 nice!nanos, so I ran a group buy pre-purchase. At the time I had set a minimum purchase amount of 200 pieces for the order to go through and a maximum of 1,000 because I didn’t think I could handle more than that.
. . .
Within just seven hours all 1,000 nice!nanos had been sold, ending the group buy. In the next two months I got all the product in and shipped out the 400+ unique orders with the help of my family.
. . .
The million dollar product#

Ok, so the title is a bit of click-bait, but if you made it this far, I suppose it worked. The nice!nano might have been designed in my dorm room, but this was a multi-year journey. To date, over 50,000 nice!nanos have been sold at various online retailers around the world representing over a million dollars in sales. It’s hard to wrap my head around still, and I’m extremely grateful.
I Made a Million Dollar Product from My Dorm Room
https://nick.winans.io/blog/nice-nano/

ЗЫ Это мог быть ваш четверговый проект, но в этот четверг никто не пришёл 🌝
https://t.me/tech_b0lt_Genona/4983

FlowExporter is a sidecar that runs alongside all Netflix workloads in the AWS Cloud. It uses eBPF and TCP tracepoints to monitor TCP socket state changes. When a TCP socket closes, FlowExporter generates a flow log record that includes the IP addresses, ports, timestamps, and additional socket statistics. On average, 5 million records are produced per second.
. . .

FlowCollector, a backend service, collects flow logs from FlowExporter instances across the fleet, attributes the IP addresses, and sends these attributed flows to Netflix’s Data Mesh for subsequent stream and batch processing.
. . .
As noted in our previous blog post, our initial attribution approach relied on Sonar, an internal IP address tracking service that emits an event whenever an IP address in Netflix’s AWS VPCs is assigned or unassigned to a workload.
. . .
Attributing local IP addresses for container workloads running on Netflix’s container platform, Titus, is more challenging. FlowExporter runs at the container host level, where each host manages multiple container workloads with different identities. When FlowExporter’s eBPF programs receive a socket event from TCP tracepoints in the kernel, the socket may have been created by one of the container workloads or by the host itself. Therefore, FlowExporter must determine which workload to attribute the socket’s local IP address to. To solve this problem, we leveraged IPMan, Netflix’s container IP address assignment service.
How Netflix Accurately Attributes eBPF Flow Logs
https://netflixtechblog.com/how-netflix-accurately-attributes-ebpf-flow-logs-afe6d644a3bc

Предыдущий пост из этой серии
How Netflix uses eBPF flow logs at scale for network insight
https://netflixtechblog.com/how-netflix-uses-ebpf-flow-logs-at-scale-for-network-insight-e3ea997dca96

Спасибо подписчику за наводку

Коллеги, добрый день!

В уже далеком по времени, но близком сейчас по погоде январе был проведен небольшой Хакатон составом ИСП РАН, Профископ, Базальт СПО и НТЦ Фобос-НТ.

Целью данной встречи было исследование возможности применения инструмента Natch при анализе решений в контейнерном исполнении, в виде распределенной архитектуры.

Модельным примером стал продукт CodeScoring.

В результате встречи была подтверждена корректность анализа работы инструмента (ожидание совпало с результатами анализа), а также подготовлены методические рекомендации по подготовке подобных решений для анализа более тяжелыми инструментами динамического анализа.

Более подробно с процессом подготовки и результатами можете ознакомиться в статье на Хабр!

🫡

https://t.me/webstrangler/4133

Когда я сделал недавно серию постов про "железо", которое не ваше я же не шутил, а обозначил вполне конкретную проблему и будущее в которое не хотелось бы двигаться, но мы в него движемся

https://t.me/tech_b0lt_Genona/5163
https://t.me/tech_b0lt_Genona/5166
https://t.me/tech_b0lt_Genona/5195 (почему-то многие подумали, что про "облачные" кондиционеры я придумал, нет это реальный производитель с реальными кондиционерами)

Оцените ход Nintendo

Теперь вы покупаете приставку и контроллер, в который по умолчанию встроена кнопка для рекламы. С выходом Nintendo Switch 2 компания решила внедрить кое-что новое — кнопку C, которая активирует встроенный голосовой чат, показ экрана и даже возможность стримить с веб-камерой прямо с консоли. Прорыв? Почти, только в другой части.

Как выяснилось, использовать эти функции бесплатно можно будет только до 31 марта 2026 года. После этого доступ к C-кнопке потребует подписки на Nintendo Switch Online — минимум $20 в год (на текущий момент). Без нее кнопка на корпусе консоли превращается в ссылку на рекламу платного сервиса.
. . .
Представитель Nintendo Билл Тринен в интервью Polygon подтвердил: «Если вы нажмете кнопку без подписки, вы узнаете о преимуществах NSO». То есть, чтобы воспользоваться функцией на консоли за $450, вы должны доплатить, чтобы она вообще работала.
Кнопка для рекламы. Nintendo объяснила работу кнопки «С» в контроллере Switch 2 без активной подписки
https://gameguru.ru/publication/knopka-dlya-reklamy-nintendo-obyasnila-rabotu-knopki-s-v-kontrollere-switch-2-bez-aktivnoj-podpiski/

Оригинал
Nintendo confirms you'll have to pay a monthly or yearly fee to use the Switch 2's C button once the free trial period is up
https://www.gamesradar.com/platforms/nintendo-switch-2/nintendo-confirms-youll-have-to-pay-a-monthly-or-yearly-fee-to-use-the-switch-2s-c-button-once-the-free-trial-period-is-up/

Хвалюсь тулзой на основе VictoriaLogs: https://github.com/vrutkovs/audit-log-stats
Нам часто приходится анализировать audit log кубернетесовских аписерверов и вытягивать оттуда инфу о том какой юзер чаще всего достает ресурсы, сколько времени занимает ответ и разбивка этого времени на части - etcd / webhook / сериализация и т.д. В графане сразу сделан дашборд, который позволяет быстро найти виновника тормозов.

Сами аудит логи это простой jsonl, но зато их очень много и кардинальность улетает в небеса. После долгого мучения с перфомансом локи переделал на VLogs и теперь всё 🚀быстро🚀

cc @valyala

Хорошие новости для Лёши Перцева продолжаются

In a memo, the agency said it will no longer pursue criminal charges against crypto exchanges, mixing services, or holders of cold wallets in most cases.

The DOJ’s National Cryptocurrency Enforcement Team (NCET) has been disbanded effective immediately according to the memo, which was sent to agency staff last night by Deputy Attorney General Todd Blanche.

Further, the DOJ will no longer pursue criminal charges against crypto exchanges, crypto mixing services, or holders of cold wallets for “acts of their end users or unwitting violations of regulations” unless those violations include crimes like embezzlement, scams, rug pulls, and hacks.
DOJ Will Shutter Crypto Unit, Back Off Services Like Tornado Cash
https://decrypt.co/313898/doj-will-shutter-crypto-unit

DOJ - Department of Justice - Министерство юстиции США

Дима у себя в посте https://t.me/k8security/1495 рассказал про свежий доклад с KubeCon EU 2025 о том как скрывать всякие непотребства в виде уязвимостей в образе контейнера, что бы сканеры рассказывали как всё хорошо.

Enhancing Software Composition Analysis Resilience Against Container Image Obfuscation (слайды в комменты закину тоже)
https://static.sched.com/hosted_files/kccnceu2025/01/KubeConEU25.pdf

Но не упомянул отдельно, что помимо бенчмарка (https://github.com/kube-security/container-obfuscation-benchmark), так же открыли код тулы, которая использовалась в экспериментах - https://github.com/kube-security/orca

Мне было интересно посмотреть, а какую информацию она в принципе выдаёт и вот информация по слоям о количестве обнаруженных пакетов мне видится интересной. Особенно это интересно в контексте сколько всего осталось в слоях после организации очистки в Dockerfile.

В качестве подопытного у меня под рукой был образ, который идёт в составе @cozystack
https://github.com/cozystack/cozystack/pkgs/container/cozystack%2Fkubeovn/388045179?tag=v1.13.3

$ docker history kubeovn:v1.13.3
IMAGE CREATED CREATED BY SIZE COMMENT
0fa873c6e4e4 3 weeks ago RUN /bin/sh -c setcap CAP_NET_ADMIN,CAP_NET_… 4.31MB buildkit.dockerfile.v0
3 weeks ago WORKDIR /kube-ovn 0B buildkit.dockerfile.v0
3 weeks ago RUN /bin/sh -c /kube-ovn/iptables-wrapper-in… 3.15kB buildkit.dockerfile.v0
3 weeks ago COPY /kube-ovn /kube-ovn # buildkit 256MB buildkit.dockerfile.v0
3 weeks ago COPY /source/dist/images/grace_stop_ovn_cont… 1.39kB buildkit.dockerfile.v0
3 weeks ago COPY /source/dist/images/logrotate/* /etc/lo… 1.79kB buildkit.dockerfile.v0
. . .
7 weeks ago RUN |3 DEBIAN_FRONTEND=noninteractive DUMB_I… 26.7MB buildkit.dockerfile.v0
. . .
7 weeks ago RUN |2 DEBIAN_FRONTEND=noninteractive DUMB_I… 94.5MB buildkit.dockerfile.v0
7 weeks ago RUN |2 DEBIAN_FRONTEND=noninteractive DUMB_I… 63kB buildkit.dockerfile.v0
. . .
7 weeks ago RUN |1 DEBIAN_FRONTEND=noninteractive /bin/s… 0B buildkit.dockerfile.v0
7 weeks ago RUN |1 DEBIAN_FRONTEND=noninteractive /bin/s… 230MB buildkit.dockerfile.v0
. . .
2 months ago /bin/sh -c #(nop) ARG RELEASE 0B

$ orca kubeovn:v1.13.3

blobs/sha256/4b7...41d - Found 170 packages. Indexed 4961 filed over a total of 2946 - Remaining files -2015
blobs/sha256/f09...b37 - Found 550 packages. Indexed 8670 filed over a total of 7081 - Remaining files -1589
blobs/sha256/3ac...7d2 - Found 0 packages. Indexed 0 filed over a total of 0 - Remaining files 0
blobs/sha256/9b6...403 - Found 0 packages. Indexed 0 filed over a total of 4 - Remaining files 4
blobs/sha256/660...8f3 - Found 119 packages. Indexed 4 filed over a total of 8 - Remaining files 4
blobs/sha256/3c4...c97 - Found 327 packages. Indexed 504 filed over a total of 323 - Remaining files -181
blobs/sha256/1e3...0da - Found 0 packages. Indexed 0 filed over a total of 6 - Remaining files 6
blobs/sha256/7b0...98d - Found 0 packages. Indexed 0 filed over a total of 6 - Remaining files 6
blobs/sha256/cba...2a6 - Found 170 packages. Indexed 4 filed over a total of 42 - Remaining files 38
blobs/sha256/f4c...58b - Found 0 packages. Indexed 0 filed over a total of 6 - Remaining files 6
blobs/sha256/5f7...6ef - Found 0 packages. Indexed 0 filed over a total of 0 - Remaining files 0
blobs/sha256/d47...a82 - Found 0 packages. Indexed 0 filed over a total of 11 - Remaining files 11

Первое что приходит в голову, это желание пойти посмотреть, а что же там такого в слоях интересного (или нет) наоставалось 🌝

Что? Да!

Автор себе придумал челлендж, что бы запустить go-шное приложение на второй плойке.

MIPS есть в списке поддерживаемых платформ, но PlayStation 2 там нет, так как в PS2 идёт MIPS R5900
https://go.dev/wiki/MinimumRequirements#mips-big-endian-and-mipsle-little-endian

В качестве подопытного был взят TinyGo (специальная версия для embedded и подобного)
https://tinygo.org/

Go can actually build code for MIPS already, which should save me some time, but not a lot, as I need to get TinyGo to work on it. TinyGo relies on LLVM 19, which does support MIPS-III, but not the R5900 CPU directly.

Дальше идёт over 9000 технических подробностей про низкоуровневые проблемы, взаимодействие с C и т.д. и т.п.

Отдельно рассматривается история с инструкцией DDIVU (Divide Doublewords Unsigned)

The DDIVU (doubleword divide unsigned) is a instruction defined in MIPS-III (source) responsible for doing the division of 2 unsigned 64bit integers.

However, that doesn’t work in the PS2, as we saw before. You see, the DDIVU instruction is not defined (source) in the PS2 MIPS instruction set - only DIVU is. This introduces a major problem, as now all int64 (with DDIV) and uint64 (with DDIVU) divisions won’t execute - or will execute incorrectly if it ends up matching some other instruction. We need to avoid that, and either split this division inside the Go compiler in a way that would not do the 64bit version of it, or modify the LLVM so that it won’t use this instruction, even on a mips3 CPU. Or maybe we can implement a custom CPU inside the LLVM - the r5900, like ps2dev’s GCC.

Golang on the PlayStation 2
https://rgsilva.com/blog/ps2-go-part-1/

Этот пост прочитал с большим удовольствием, всем интересующимся рекомендую. Автор обещает продолжение, так что будем подождать.

Тут в комментах у https://t.me/psauxww/1381 задались вопросом, а где можно пройти Mario за Билла Райзера (и не только)

Я не знаю, что там за версия в видосе оригинального поста, но у меня есть ответ на запрос в целом

Когда-то давно я играл в такую модификацию, поэтому делюсь

1. Сначала качаем игру тут
https://archive.org/details/SuperMarioCrossoverOffline

2. Так как сама игра сделана на Flash'е, то качаете под вашу платформу проигрыватель для него
https://web.archive.org/web/20220316063802/https://www.adobe.com/support/flashplayer/debug_downloads.html

3. Запускаем

...

4. PROFIT111!!

Все файлы, как обычно, положу в комменты, так что можете организовать интенсивную подготовку к понедельнику

ЗЫ Записал демку небольшую с примером того, как и что можно выбирать. Писал с экрана, так как окно нормально не захватывалось, поэтому есть небольшие подлагивания 🌝

Решил не форвардить по отдельности про Flipper One, а скинуть сейчас, когда инфы поднабралось

https://t.me/zhovner_hub/2109
https://t.me/zhovner_hub/2110
https://t.me/zhovner_hub/2111

Пока выглядит так, что буду брать себе 🌝

Название как-то не докручено. Надо было NeHelm назвать 🌝

Nelm — это Open Source CLI-утилита для управления Helm-чартами и их развёртыванием в Kubernetes. Взяв за основу кодовую базу Helm 3, Nelm не только делает почти все то, что может делать Helm, но делает это лучше, а также предлагает дополнительную функциональность. Nelm обратно совместим с Helm-чартами и Helm-релизами, что сильно упрощает процесс миграции для пользователей Helm. Если вы уже работали с werf, то Nelm — это werf, но без гитерминизма, сборки, доставки и очистки образов.
. . .
Начать стоит с того, что подсистема развёртывания, унаследованная от Helm, в Nelm была переписана с нуля. В процессе развёртывания Nelm формирует направленный ациклический граф (Directed Acyclic Graph, DAG), включающий все операции, которые предполагается выполнить в кластере при релизе, после чего те выполняются.
. . .
Во время деплоя Nelm находит поды развёртываемых ресурсов релиза и периодически выводит логи их контейнеров в консоль.
. . .
Команда nelm release plan install генерирует детальный план предстоящих изменений в кластере при следующем релизе. Она выводит точные diff'ы между текущей конфигурацией ресурсов в кластере и их ожидаемым состоянием после развёртывания.
Вышел Nelm 1.0: совместимая с Helm-чартами альтернатива Helm 3
https://habr.com/ru/companies/flant/articles/896846/

Подробный разбор инцидента от 30 марта в Яндекс Облаке

Что случилось?

В период с 30.03.2025 12:25 по 31.03.2025 00:00 (МСК) сервисы Yandex Cloud, расположенные в зоне ru-central1-b, были недоступны. Инцидент был вызван двойным отказом по питанию из-за сбоя на городской высоковольтной подстанции, питающей ряд областных и промышленных объектов, включая дата-центр Яндекса.
. . .
Предотвращение

Корневая причина инцидента – потеря напряжения на двух независимых источниках питания одновременно. Команда Yandex Cloud анализирует возможные варианты предотвращения этого риска (включая вариант добавления третьего независимого источника питания). Об итоговом решении мы сообщим дополнительно.
Резюме по инциденту
https://status.yandex.cloud/ru/incidents/1129

Don’t become a forever junior who lets AI do all their work. If you want to become a programmer, learn to program yourself. Be curious, put in the time and effort to learn how things really work, and how things work in the layer below that. It really pays off. Learning how everything works under the hood and using that is amazing, just keep learning, don’t be a prompt engineer (if you can even call that engineering). Believe me, it’s more fun to be competent9.

Even though AI might be smarter than you, never blindly trust the AI output. Don’t build your whole workflow around it. Sometimes try to work without it for a few days. The better at programming you are, the more AI will get in your way for the more complex work.

If you learn to code now, keep building your skills instead of letting AI do all the heavy lifting, you’ll be capable of fixing the messes that vibe coding is now creating. I don’t want to sound elitist, but if you don’t want to learn to go beyond vibe coding, maybe coding isn’t for you. Because positions where all work can be done by vibe coding are the ones that will be eliminated first when AI becomes more powerful.

And remember: if you cannot code without AI, you cannot code.
Why I stopped using AI code editors
https://lucianonooijen.com/blog/why-i-stopped-using-ai-code-editors/

Четверг, а значит время проектов от подписчиков! 🌝

Тем, кто пропустил, что такое четверговые проекты от подписчиков, можно прочитать тут - https://t.me/tech_b0lt_Genona/4983


Слово автору @cofob

---

Fastside (https://fastsi.de/) это умный шлюз перенаправления различных сервисов. Он предоставляет ссылки, которые автоматически перенаправляют на работающие экземпляры альтернативных фронтендов, ориентированных на приватность, таких как Nitter, Libreddit и т.д. Это позволяет пользователям получить более надежный доступ к общедоступным экземплярам конкретного сервиса, а также помогает более равномерно распределить трафик между всеми экземплярами и избежать узких мест в производительности и ограничения скорости.

Например https://fastsi.de/https://www.youtube.com/watch?v=zLGDE2j_n5c

Сделал я фастсайд изначально из-за того что farside.link сервис грузил редиректы с задержкой в 1 секунду, в основном из-за того что их сервер в США, ну и логика редиректа там медленная по какой-то причине. Я посчитал что этот проект будет довольно просто переписать на Rust с дополнительной функциональность и сделал это)

Я его использую в связке с Kagi поисковиком, в котором я настроил подмену Youtube ссылок на фастсайд, таким образом сразу захожу из поисковика на живой инстанс Invidious. Либо подобное можно настроить через libredirect расширение на уровне браузера.

Из доп фишек по сравнению с фарсайдом:
- страничка с конфигурацией фильтров (исключить Cloudflare можно, либо редиректить только на TOR-инстансы)
- веб-сервер умеет в http3, т.е. это немного сокращает тлс хэндшейк и уменьшает задержку ещё сильнее
- есть cached редиректы. Это такие редиректы, которые кэшируются со стороны браузера и для редиректа не требуется http-запросов вообще на сервер, если ответ есть в кэше
- система автообновления списка инстансов, работающая через GitHub Actions
- есть сторонний инстанс, fs.bloat.cat, который не в бане в РФ
- есть версия работающая на Cloudflare workers, т.е. пинг будет меньше из-за CDN Cloudflare (но пока не готова функциональность на 100%, global.fastside.link)

GitHub - https://github.com/cofob/fastside
---

Автоботы, трансформируемся суверенизируемся! 🫡

Linux Foundation Europe, the nonprofit organization enabling mass innovation through open source in Europe and around the world, today announced the official launch of the NeoNephos Foundation. This new initiative is dedicated to fostering collaboration and innovation around open cloud infrastructure, digital sovereignty, and next-generation cloud-native technologies in Europe.
. . .
NeoNephos will focus on several key areas, including:

- Cloud Infrastructure: Developing and promoting open, interoperable cloud technologies tailored to the needs of European enterprises and governments.
- Digital Sovereignty: Ensuring that organizations retain full control over their data and infrastructure while maintaining compliance with European regulations.
- Collaboration & Innovation: Providing a vendor-neutral environment where contributors can build, deploy, and scale cloud-native solutions that support a thriving digital economy.
The Linux Foundation Announces the Launch of NeoNephos to Advance Digital Autonomy in Europe
https://linuxfoundation.eu/newsroom/the-linux-foundation-announces-the-launch-of-neonephos-to-advance-digital-autonomy-in-europe

Over the past week, she’s made very good progress independently but once a day she would get stuck because the AI isn’t doing what she’s expecting. Unfortunately, she doesn’t know full-stack development well enough to prompt it towards resolution or how to edit the code herself. When that happens, I come to her rescue.
. . .
Many software engineers I speak to have the wrong outlook on this matter and don’t see the danger they are really in.

“AI can never replace me”.

They say. And they are right, but the critical thing they don’t understand is:

It doesn’t need to.

It just needs to be able to deliver 80% of your output at 20% of your cost to find your role on the chopping block very fast. It makes ruthless financial sense if you think about it.

The impact of AI adoption is guaranteed to be a net displacement of labor. Where a company would previously have 30 software engineers working on a product or feature, in 5 to 10 years, they will have 20 AI prompters and only 10 software engineers.
. . .
The way to survive in this changing world is to stay ahead of the curve. Those who thrive in the transitions will have one of two things going for them, or ideally both:

- They become seriously great at architecture and system design to gatekeep the subpar code the AI coders will pump out.

- They invest heavily in soft skills since the ability to lead and manage groups of semi-coders will become more valuable.

All in, the future looks bright for the opportunist but bleak for the complacent.
The Death of the Software Engineer by a Thousand Prompts
https://verdikapuku.com/posts/the-death-of-the-software-engineer-by-a-thousand-prompts/

Когда хожу в спортзал, хочется включить подкаст по-тупее. Организм качает кровь в мышцы, мозгу остается меньше, и айкью падает на 10-15 пунктов. Идеально заходит Завтракаст: бодро, весело, глупо, неважно.

И есть у них один товарищ, который постоянно пересказывает критику решений Евросоюза в сторону Эпла. Типа, душат, гады, бедную корпорацию. И оно звучит, эээ, странно. «Евросоюз потребовал от Эпла открыть Эйрдроп для Андроида» — «вот негодяи, вот тупые». Но, собственно, почему? Мы же, как пользователи, только выиграем? Как может кто-то в здравом уме требовать более закрытой экосистемы (ну кроме самого Эпла, конечно)? Это же чистые минусы! Или с магазинами сторонних приложений — ну это же кайф, если их откроют, какие минусы-то? При этом сам же этот чел в следующей новости рассказывает, как играет в игры с Нинтнендо Свич и Плейстейшн на эмуляторе и нигде у него не ёкает.

В девяностых, когда компьютеры только начинались, человечество делало протоколы. TCP, IMAP, IRC, XMPP, HTTP — вот тебе спека, мы все по ней работаем, можешь наше приложение взять, можешь стороннее, можешь сам написать. И писали! Ты мог читать почту и сидеть в чатах из сотен разных программ, были получше, были похуже, были очевидные лидеры, но в целом никто не диктовал тебе, что делать. Производителям же, чтобы конкурировать, приходилось реально стараться — побеждал лучший, а не тот, у кого сервер. Лучший для пользователя, а не для корпорации.

С программами та же фигня. Во-первых, ни у кого не надо было спрашивать разрешения, чтобы написать программу. Просто пишешь и продаешь — на дискетах, дисках, через интернет. Вот прям скомпилял бесплатным компилятором, перекинул на соседний комп и вперед.

Это было идеальное время. Это то, какими компьютеры должны были быть. Мы с интересом смотрели в будущее, потому что все было возможно. Мы были ограничены только возможностями компьютерами, а не выдуманными барьерами типа «кто владеет магазином». Ты брал и делал себе идеальное окружение — частично из софта, который ты купил, частично — из того, что нашел и накачал, частично мог сам что-нибудь подкрутить. Также это было время чистой конкуренции — побеждало то, что было объективно лучше для пользователя, потому что других критериев не было, а пользователь сам себе не дурак. Компьютеры того времени реально можно было любить.

Потом пришли корпорации и сообразили, что если пользователю ничего не давать и замкнуть на себе, то можно заработать больше денег. Так эру протоколов заменила эра SaaS, когда ты вынужден пользоваться официальными клиентами, потому что неофициальных нет и АПИ тоже нет. Пропала конкуренция, упало качество, продукты стали обслуживать интересы компаний, а не пользователей. Наступила эншиттификация.

Если бы компьютер придумывали сейчас, у нас не было бы даже языков программирования (см. айфон/айпад, на которых нельзя программировать, такое просто не пускают в стор).

Ну вот. Я не жалуюсь, просто хочу, чтобы все четко все понимали — мы в довольно хреновой и неудобной для нас (пользователей) ситуации, и любой способ выхода из нее — благо. Даже если это государственное регулирование. МЫ ВСЕ ТОЛЬКО ВЫИГРАЕМ, если Евросоюз заставит Эпл открыть магазин приложений или протокол Эйрплей. Это буквально в наших, пользователя, интересах. МЫ НИЧЕГО НЕ ТЕРЯЕМ.

Свобода — это прогресс, она всегда выгодна человечесвту в целом. Но отдельно взятые компании могут не заработать всех денег. Чего я в этой ситуации не понимаю, так это людей, которые добровольно впрягаются за корпорации. Ребят, они переживут что угодно, какая вам разница, на миллиард больше или на миллиард меньше заработает Эпл в этом году? Вот буквально вам, лично вам, какая разница?

Да, мы пришли туда, куда пришли, исключительно рыночными методами. Я могу понять разочарование в идеалах, что рынок всегда находит наилучшее решение. Но что ж делать? Раз уж не нашел, давайте ему поможем. В крайнем случае, не забывайте, на чей вы стороне (своей), а корпорации как-нибудь и без нас выживут.

В этот замечательный день хочу отметить одного из преданных подписчиков, который нет-нет, да нагрянет почитать посты (а может быть и не читает). Обязательно массово отметится реакциями соответствующими на нескольких постах сразу и будет таков.

С праздником тебя, фанат! ❤️